Wie sich Kliniken vor Cyberangriffen schützen können
Einrichtungen im Gesundheitswesen werden immer häufiger zum Ziel von Cyberangriffen. Die möglichen Folgen reichen vom Ausfall einzelner PCs über den Diebstahl sensibler Patientendaten bis hin zum Totalausfall der gesamten IT-Infrastruktur. Einnahmeausfälle durch ausgefallene Behandlungen können Krankenhäuser schnell in finanzielle Schieflage bringen – dazu kommen oft Kosten für die Behebung des Schadens durch externe Dienstleister oder die Anschaffung neuer Hardware. Vom Schaden für eigene Reputation gar nicht erst zu reden. Höchste Zeit also, die digitale Infrastruktur gegen Attacken von Cyberkriminellen zu schützen, bevor im schlimmsten Fall sogar Menschenleben gefährdet werden, wenn etwa Notfallpatienten in entferntere Kliniken umgeleitet werden müssen.
Welche Arten von Cyberangriffen gibt es?
Ein typischer Cyberangriff ist beispielsweise der Versuch, Malware auf Krankenhaus-Rechnern zu installieren, also schädliche Software wie Viren oder Ransomware. Ransomware sind Erpresserprogramme, die Computersysteme blockieren oder Betriebs- und Nutzerdaten verschlüsseln, um Lösegeld zu erpressen. Malware wird zumeist dann aufgespielt, wenn Nutzer unvorsichtigerweise infizierte Dateien oder E-Mail-Anhänge öffnen.
Bei SQL-Injektionsangriffen hingegen versuchen Angreifer, Schwachstellen auf SQL-Servern auszunutzen, um an sensible Daten wie Kreditkartennummern oder Login-Daten zu kommen. Solche Schwachstellen in Krankenhaus- und Unternehmenssystemen werden heute sogar im Darknet zum Kauf angeboten. Ähnlich funktionieren Cross-Site-Scripting-Angriffe, bei denen über den Webbrowser schädliche Skripte in die angegriffene Website eingebettet werden.
Ebenfalls verbreitet sind Denial-of-Service-Angriffe (DoS-Angriffe), bei denen Websites durch eine riesige Flut von Datenverkehr überlastet und lahmgelegt werden, sowie Session-Hijacking, bei dem Angreifer bestehende Benutzer-Sessions kapern, etwa durch den Diebstahl von Session-Cookies. Oft gelangen Hacker aber auch ganz ohne ausgefeilte Technologien an sensible Daten, etwa indem sie Zugangsdaten stehlen oder gutgläubige Nutzer dazu bringen, diese aus freien Stücken preiszugeben (Social Engineering).
Wirksame Strategien gegen Cyberangriffe
Angesichts dieser Bedrohungen ist eine wirksame, klinikweit kommunizierte Cybersecurity-Strategie aller Art für jedes Krankenhaus essentiell – und das nicht allein aus Eigeninteresse: Als Teil der kritischen Infrastruktur KRITIS sind Kliniken gesetzlich dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme zu treffen. Weitere Regelungen wie die EU-Richtlinie NIS2 schreiben darüber hinaus umfassende Maßnahmen zur Risikobewertung, Sicherheitsimplementierung und zur Reaktion auf Angriffe vor. Um solche gesetzlichen Anforderungen überhaupt erfüllen zu können, müssen viele Krankenhäuser kräftig nachrüsten und in die Modernisierung ihrer IT-Infrastruktur investieren: Sicherheitstechnologien auf den neuesten technischen Stand bringen, auf alle Systeme automatisch alle erforderlichen Sicherheitsupdates aufspielen und alte Geräte austauschen, für die es solche Updates nicht mehr gibt.
Cybersecurity im Krankenhaus fängt in der Chefetage an und sollte alle Mitarbeiterinnen und Mitarbeiter mit einbeziehen. Dem Global Risk Report des Weltwirtschaftsforums zufolge sind neun von zehn Cyber-Vorfällen auf menschliches Versagen zurückzuführen. Durch aufmerksames Nutzerverhalten lassen sich viele Angriffsversuche erkennen und vereiteln, weshalb die Belegschaft regelmäßig für Bedrohungen sensibilisiert und geschult werden sollte. In Awareness-Schulungen und Notfallübungen kann das richtige Verhalten im Umgang mit IT trainiert werden – von der Wahl des richtigen Passworts über den Schutz sensibler Daten bis zum Vorgehen bei einem Angriff. Notfallpläne können zusätzlich dabei helfen, im Ernstfall die richtigen Schritte und Gegenmaßnahmen in die Wege zu leiten. Denn je schneller und gezielter das Eingreifen, desto geringer hinterher die Folgen und Spätfolgen für das betroffene Haus.
Cybersecurity im Krankenhaus: Fördermaßnahmen prüfen
Eine hundertprozentige Cybersecurity gibt es nicht. Je mehr die Digitalisierung im Krankenhaus voranschreitet, desto größer wird auch die Angriffsfläche für Hacker. Durch zielgerichtete Schutzmaßnahmen, die sinnvoll ineinandergreifen, sich in das Gesamt-Sicherheitskonzept der Klinik einfügen und die Belegschaft einbeziehen, lassen sich die Risiken jedoch minimieren. Die dafür erforderlichen Investitionen können sich Krankenhäuser durch verschiedene Fördermöglichkeiten bezuschussen lassen. Wer vor 2025 beispielsweise eine Förderung aus dem Krankenhauszukunftsgesetz (KHZG) beantragt hat, hat noch bis Ende 2025 Zeit, das geförderte Digitalisierungsprojekt umzusetzen. Auch der Transformationsfonds stellt unter bestimmten Bedingungen Mittel für die digitale Sicherheit bereit, etwa wenn im Zuge der Vernetzung von Kliniken oder des Ausbaus der Telemedizin die IT-Infrastruktur neue Sicherheitsstandards erfüllt werden müssen. Aber auch ohne Förderung lohnen sich Investitionen in die IT-Sicherheit im Krankenhaus immer. Denn der Schaden durch einen erfolgreichen Cyberangriff ist am Ende immer teurer.
Autor: Frank Kleemann, IT-Experte Health bei Accenture
Weitere aktuelle Meldungen erhalten Sie über unseren KU Newsletter: Jetzt anmelden!
