Video Tipp
Aktuelle News
Weitere News
Vor-Ort-Reportagen
Verlagsprodukte
Service
Termine     [Weitere...]
RSS-Feed Aktuelle News
Multimedia
 
  







Veröffentlicht: 17.02.2016


Cyberattacken:
Der Bundesverband KH-IT meldet sich zu Wort



"Kliniken massenhaft mit

Mails beschossen"





Heiko Ries, 1. Vorsitzender im Vorstand des KH-IT – Bundesverband der Krankenhaus - IT - Leiterinnen / Leiter e. V. : In der Healthcare–IT hat es in der vergangenen Woche ein Erdbeben gegeben, das viele schon länger erwartet haben. Die Sicherheit der Kliniken in Deutschland zum Schutz von Patienten- und Mitarbeiterdaten war in zahlreichen Fällen durchbrochen worden. Die trügerische Ruhe der Vergangenheit – keine sicherheitsrelevanten Vorfälle, zumindest in der Öffentlichkeit – wurde angesichts der nicht mehr geheim zu haltenden Vorfälle ernsthaft erschüttert.


Nach dem jetzigen Kenntnisstand wurden Kliniken massenhaft mit Mails beschossen, mit Trojanern im Gepäck; dies in mehreren Angriffswellen (bspw. 27.1.16 und 6.2.16). Benutzt wurden als Adressaten auch gültige eMail-Adressen in Kliniken, deren Bekanntheit heutzutage kaum zu verhindern ist. Mit einem Klick – ohne ernsthaft vorher nachgedacht zu haben – wurde dann eine ausführbare Datei im Anhang gestartet, die in der Folge alle für den jeweiligen Benutzer zugänglichen Datenspeicher verschlüsselt.

Vielfach werden IT-Störungen zur Vermeidung eines Imageschadens im Interesse der Klinik eher geheim gehalten. Dennoch ist nach den vorliegenden Erkenntnissen zumindest eine zweistellige Zahl von Kliniken betroffen, wobei man hier wohl nur von der Spitze des Eisbergs sprechen kann.

Wir können also nicht länger so tun, als sei die IT-Sicherheit in unseren Krankenhäusern automatisch gegeben. Es stellt sich vielmehr heraus, was Fachleute schon vom ersten Gespräch an mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) betont haben:

1. Die IT-Landschaften sind nicht homogen und auch nicht überall gleich sicher eingerichtet. IT-Sicherheit stand bisher im tiefsten Schatten hinter anderen Prioritäten der Kliniken.

2. In der (Schul-)Bildung fehlt es an entsprechenden Themen und Inhalten für entsprechend mündige Nutzer von moderner Elektronik (Smartphones, PCs, Tabletts, Apps, Cloudspeicher, Virenschutz, Schutz persönlicher Daten usw.).

3. Der leichtsinnige Umgang im privaten Bereich findet zumeist auch im betrieblichen Umfeld statt. Entsprechende „Sensibilisierungsmaßnahmen“ der Datenschützer finden einfach zu spät statt, wenn sich leichtfertiges Verhalten schon oft genug eingeschliffen hat.

4. Benutzer arbeiten (insbesondere unter hoher Arbeitslast) oft fahrlässig lässig mit digitalen Daten. Nachdenken setzt oft erst nach dem Klick ein. Im Text der Meldung heißt es lapidar „Das Virus ist in einem Anhang per E-Mail verschickt und vermutlich unbewusst von einem Krankenhaus-Mitarbeiter geöffnet worden.“

5. Die so genannte Sensibilisierung der Mitarbeiter ist schlicht nicht gut genug.

6. Gut informierte Firewall Administratoren mit ausreichend Ressourcen zur permanenten Justierung der Einstellungen haben schon Tage im Voraus von den Gefahren gelesen und agieren können.

7. Es zeigt sich einmal mehr: IT-Sicherheit bedarf auch Geld und Personal.

8. Auch wenn es meist keine dezidierten Sicherheitsbudgets gibt, dürfte klar sein: Der bisherige Aufwand reicht nicht aus, selbst wenn es 100% Sicherheit nicht geben wird.

9. Wo aufs äußerste gespart und IT-Abteilungen personell und budgetmäßig stark unter Druck stehen, kann das Ergebnis kaum anders aussehen als jetzt geschehen. Am Beispiel eines Jongleurs, der ständig damit ausgelastet ist, alle Bälle in der Luft zu halten, würde man von ihm erwarten, zeitgleich noch ein Sicherheitsnetz aufzuspannen.

10. Industrielösungen zu Virenschutz und Firewall müssen ständig eingestellt und aktuell gepflegt werden. Der Ansatz „kaufen, einschalten, vergessen“ funktioniert eben nicht. Die perfekte Industrielösung gibt es einfach nicht.

Einmal mehr können wir nur empfehlen, die Initiative des KH-IT zur IT-Sicherheit, die im letzten Jahr zur Gründung des Branchenarbeitskreises Gesundheitsversorgung im UP-KRITIS des BSI geführt hat, zu unterstützen. Die Kliniken können durch ihre kostenfreie Mitgliedschaft dadurch früher informiert werden und auch besser vernetzt national Erkenntnisse austauschen.

Wenn alle alles geheim halten, werden wir dadurch nicht sicherer angesichts zunehmender Bedrohungen. Die Internationalität der Bedrohungslage sollte spätestens seit dem mehrtägigen IT-Totalausfall des Melbourne Royal Hospital jedem klar sein.


IT-Sicherheit in unseren Krankenhäusern - ein besorgter Blick auf die Aktivitäten

Angesichts der aktuellen sicherheitsrelevanten Ereignisse für die Healthcare IT haben nunmehr auch weitere politische Ebenen Aktionen entwickelt. So soll das CERT-rlp, das Computer Emergency Response Team Rheinland-Pfalz im Bundesland einen weiteren Verteiler mit den jeweiligen Ansprechpartnern in den Kliniken für kritische Infrastrukturen und entsprechenden Meldungen/Informationen einrichten. Im Landesbetrieb Daten und Information richtete sich der Fokus bisher die IT der Landesverwaltung, Behörden etc.
Neben der beschrieben Maßnahme des Ministeriums für Soziales, Arbeit, Gesundheit und Demografie in Rheinland-Pfalz hat am 16.2.2016 das Ministerium für Wirtschaft, Klimaschutz, Energie und Landesplanung eine Studie über die Beratungssituation zur IT-Sicherheit ausgeschrieben.

Große Sorge bereitet allerdings, was in der Presse schon kommuniziert wurde. Wenn die anstehende Durchführungsverordnung des Gesetzgebers zum IT-Sicherheitsgesetz als kritische Infrastruktur in Deutschland nur die Krankenhäuser der Maximalversorgung identifiziert, dann opfert der Gesetzgeber gleichsam alle anderen Häuser im Land. Kann das unser Anspruch sein?
Das wäre, wie wenn man bei der Bankensicherheit bspw. nur die Deutsche Bank und die Postbank berücksichtigen würde.

Meldepflicht für Cyberattacken

Darüber hinaus arbeiteten die Datenschutzbeauftragten der Länder an einer Verordnung für die so genannten "sensiblen Bereiche der Daseinsversorgung", worunter auch Krankenhäuser fallen. Grundlage dafür ist das IT-Sicherheitsgesetz, das bereits in Kraft getreten ist. Nun müsse es in konkrete Verordnungen gegossen werden. So sollen Krankenhäuser mit Maximalversorgung ausfindig gemacht und ihnen eine Meldepflicht für Cyberattacken auferlegt werden. Angegriffene Krankenhäuser müssen die Attacke bei dem Bundesamt für Sicherheit in der Informationstechnik melden. Dieses bewertet dann die entsprechenden Fälle und kann andere Kliniken warnen und gegebenenfalls gefährdete Häuser aufrüsten. (Quelle: WDR, 12.2.16)

Was wir brauchen ist keine Reduktion der IT-Sicherheit auf einzelne Krankenhäuser, sondern eine möglichst breit aufgestellte, wehrhafte, miteinander vernetzte Gemeinschaft. Dazu sind Mittel und Personal bereitzustellen, anstatt den Kopf in den Sand zu stecken und zu glauben: „IT-Sicherheit ist gesetzt, also eh da. Für die Umsetzung des IT-Sicherheitsgesetzes bedarf es folglich nur des finanziellen Aufwandes für die Meldepflicht.“ So lautet jedenfalls die gegenwärtige Planung.

Das sind keine guten Aussichten für die Zukunft!

Lesen Sie dazu auch:

Virus legt IT im Lukas Krankenhaus Neuss lahm

Cyberattacken auf Krankenhäuser - Wie sicher ist die Healthcare IT ?

Lukas Krankenhaus in Neuss offline- Ein Experte meldet sich zu Wort
-

Drucker geeignete Seite Sende diesen Artikel einem Freund


Aktuelle Ausgabe

Inhalt 3/2016


Entscheiderfabrik Jubiläumsausgabe
wird mit Ausgabe 3/2016 ausgeliefert

Alle bisher erschienenen Ausgaben auf DVD

eHealth Mobility Journal Sonderdruck


Inhalt





Bestellung unter antares@medizin-edv.de