Hacker legen immer häufiger ganze Kliniken lahm. Notaufnahmen müssen vom Netz, die Kommunikation nach außen ist nicht mehr möglich. Cyberkriminelle schleichen sich über Sicherheitslücken in die Klinik-IT ein, kundschaften die Netzwerke aus, bis sie schließlich zuschlagen und wertvolle Daten mithilfe von Schadsoftware verschlüsseln. Bis der Datenklau entdeckt ist, ist es meist schon zu spät. Die Erpressung startet.
Jüngste Opfer sind der Medizin Campus Bodensee im Januar oder die SRH Holding und das Städtische Klinikum Dessau im September 2021. In der aktuellen f&w-Titelstrecke berichtet Informationstechniker Frank Schöbel vom Dessauer Haus, wie der Angriff aufgeflogen ist und warum das Klinikum dann doch noch glimpflich davongekommen ist.
Eine wahre Hackerindustrie floriert im Darknet. Auf illegalen Markplätzen werden die sensiblen Informationen zum Verkauf angeboten. Das Business ist rentabel und rundum organisiert. Services und Call-Center wickeln Erpressung und Geldwäsche im Hintergrund professionell ab, wie Götz Schartner, IT-Security-Spezialist, im f&w-Interview berichtet.
Immer neue Sicherheitsrisiken in Softwares setzen Krankenhäuser unter Druck. Die Bedrohungslage ist „angespannt bis kritisch“, urteilt das Bundesamt für Sicherheit in der Informationstechnik (BSI) im „Bericht zur Lage der IT-Sicherheit in Deutschland 2021“. Zum Jahreswechsel schaltet das BSI die Cybersicherheitswarnstufe auf Rot wegen einer neuen kritischen Schwachstelle (Log4Shell in der Java-Bibliothek Log4j).
Um die Informationssicherheit in Kliniken anzutreiben, hat der Gesetzgeber zum Jahreswechsel neue Regeln in Kraft treten lassen. Mit dem neuen § 75 c im Patientendatenschutzgesetz (PDSG) sind seit 1. Januar 2022 auch Nicht-Kritis-Häuser dazu verpflichtet, „nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind“, heißt es im PDSG. Kritis-Häuser - mit mehr als 30.000 vollstationären Fällen pro Jahr - sind schon seit Juli 2015 im Zuge des IT-Sicherheitsgesetzes dazu aufgefordert, ihre IT-Sicherheitsstandards nachweislich auf dem aktuellen Stand zu halten. Und auch das Krankenhauszukunftsgesetz (KHZG) fordert, falls Kliniken Fördergelder aus dem Krankenhauszukunftsfonds erhalten, mindestens 15 Prozent der Investitionsmittel eines bewilligten Fördertatbestands in IT-Sicherheitsmaßnahmen zu investieren.
Das Universitätsklinikum Münster (UKM) hat beispielsweise einen Teil der KHZG-Fördermittel in ein hauseigenes Security Operation Center (SOC) investiert. Das ist ein 24/7-Überwachungssystem, das Anomalien im Datenfluss mithilfe Künstlicher Intelligenz (KI) sofort erkennt und mögliche Cyberattacken direkt meldet. Zehn weitere Tipps für mehr IT-Sicherheit fasst der f&w-Beitrag „Immer up to date“ zusammen.
Doch angesichts wachsender Anforderungen an die IT-Sicherheitsstandards stoßen vor allem Nicht-Kritis-Häuser an ihre personellen und finanziellen Limits. „Kleinere Häuser werden mehr auf Dienstleister setzen müssen, um die gesetzlichen Vorgaben erfüllen zu können“, sagt beispielsweise Lars Forchheim, stellvertretender Vorsitzender der Krankenhaus-IT-Leiterinnen/Leiter von Anregiomed in Ansbach. Finanzspritzen, wie die Fördermittel aus dem Krankenhauszukunftsfonds, seien dabei zu kurzfristig gedacht, urteilen IT-Experten in der f&w-Titelstrecke. Die Zeit sei knapp bemessen, um die notwendigen Schritte umzusetzen.
