IT-Sicherheit in Krankenhäusern

von Rico Barth

Wenn Cyberangriffe auf Krankenhäuser in die Schlagzeilen geraten, ist die öffentliche Bestürzung groß. Diese Vorfälle sind besonders erschreckend, weil die Auswirkungen konkret und leicht fassbar sind. Und mitunter sogar lebensbedrohlich. Nach solchen Angriffen fordern die Verantwortlichen meist Fördergelder, um die IT in Kliniken besser zu schützen. Das ist aber nur eine Möglichkeit von vielen. Wir haben schon in mehreren Krankenhäusern den IT-Service aufgebaut. In diesem Zug wurde auch die Cybersecurity optimiert.

Rico Barth

Im Juli 2019 mussten sich DRK-Krankenhäuser in Rheinland-Pfalz und im Saarland gegen einen Hackerangriff zur Wehr setzen. Das komplette Netzwerk des Verbands Süd-West war betroffen. Die Gesundheitsministerin von Rheinland-Pfalz forderte daraufhin mehr Budget, auch für kleinere Krankenhäuser, um in die IT-Sicherheit investieren zu können.

Das war auch notwendig. Größere Kliniken, die in einem Verbund organisiert sind, stehen beim Thema IT-Sicherheit schon länger im Fokus und sind deshalb auch besser aufgestellt: Sie haben mehr IT-Budget, geschultes Personal und das Management ist sensibilisiert. Nicht zuletzt durch die vermehrten Hackerangriffe auf Krankenhäuser in den letzten Jahren. Kleinere Häuser investieren da weit weniger. Oft, weil sie eh schon an allen Ecken und Enden sparen müssen. Bei Cyberangriffen waren bisher immer die Verwaltungssysteme betroffen. Gar nicht auszudenken, was passiert, wenn Hacker andere Systeme übernehmen. Da sind sehr schnell Leben in Gefahr.

Was ich sehr bedenklich finde, ist die gesetzgeberische Ungleichbehandlung von Kliniken. Größere Krankenhäuser müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) über ihre Maßnahmen gegen Cyberkriminalität und Angriffe gegen ihre Systeme Bericht erstatten, erhalten aber auch mehr Geld für die IT-Sicherheit. Kleinere Krankenhäuser in ländlichen Gegenden sind häufig die einzige Notfallversorgung für eine ganze Region. Sie stellen ebenso eine „kritische Infrastruktur“ dar wie größere und besser ausgestattete Kliniken. Allerdings stuft der Gesetzgeber sie momentan nicht so ein. Sie müssen weniger strenge IT-Auflagen erfüllen, aber ihnen fehlen eben auch Ressourcen.

Im Kampf gegen Cyberkriminalität sind sie deshalb absolut benachteiligt. Vorschriften zur IT-Sicherheit sollten für alle Häuser gelten. In der TÜV-Cybersecurity-Studie vom November 2019 wird auch genau das und sogar mehr eingefordert: eine Ausweitung des IT-Sicherheitsgesetzes auf alle Bereiche der Wirtschaft, über die kritische Infrastruktur hinaus. Knapp zwei Drittel der befragten Unternehmer waren sich einig, dass gesetzliche Bestimmungen entscheidend für die IT-Sicherheit in Deutschland sind. Und natürlich sollten die kleineren Krankenhäuser dann auch entsprechend vom Staat mit Geld ausgestattet werden.

„In Kliniken liegt der Schwerpunkt auf Medizinequipment. Die IT ist einfach nur Mittel zum Zweck, sie muss funktionieren und macht eigentlich nur auf sich aufmerksam, wenn es mal Probleme gibt. Der Blick auf die IT sollte sich auch hier wandeln: hin zu einer proaktiven, vorausschauenden Umgangsweise. Da stehen wir noch ganz am Anfang.“

Rico Barth

Krankenhäuser sind grundsätzlich offene Gebäude, die jeder ohne Weiteres betreten kann. In Gerichten und Gefängnissen gibt es strenge Personenkontrollen und andere Sicherheitsmaßnahmen. Aber eine Klinik erfordert eben radikale Offenheit, die trotzdem abgesichert werden muss. Management, Chefärzte und das gesamte Personal sollten darauf sensibilisiert werden. In der Industrie lag lange Zeit der Fokus auf der Optimierung der Produktionsprozesse und erst jetzt, im Zuge von Industrie 4.0, nehmen die Verantwortlichen die IT-Sicherheit in der gesamten Prozesskette ins Visier.

In Kliniken liegt der Schwerpunkt auf Medizinequipment. Die IT ist einfach nur Mittel zum Zweck, sie muss funktionieren und macht eigentlich nur auf sich aufmerksam, wenn es mal Probleme gibt. Der Blick auf die IT sollte sich auch hier wandeln: hin zu einer proaktiven, vorausschauenden Umgangsweise. Da stehen wir noch ganz am Anfang.

Security-Management-Systeme direkt einzubinden, ist heute absolut gefordert und nicht etwa „nice to have“. Mit unserer Software KIX geht es darum, sämtliche Serviceabläufe unserer Kunden zu unterstützen und bei Bedarf zu automatisieren, sei es IT, Haustechnik oder halt Medizingerätetechnik. Ziel ist es immer, alle Bereiche mit individuellen Lösungen abzudecken – eine IT-Monokultur wäre sogar eher eine Gefahr. Jede Klinik verfügt schon jetzt über eine gewachsene IT-Infrastruktur. Es bietet sich an, diese spezialisierten Lösungen über offene Schnittstellen miteinander kommunizieren zu lassen und nahtlos in ein IT-Sicherheitsmanagement zu integrieren, natürlich nach dem BSI-Standard.

Die Anforderungen des IT-Grundschutzes vom Bundesamt für Sicherheit in der Informationstechnik decken schon recht viel ab. Sie müssen nur durchgesetzt werden, was ja auch sukzessiv passieren kann. Wichtig ist zum Beispiel die sogenannte Härtung des Serversystems. Das System muss so schlank wie möglich gehalten werden, um Hackern keine Einstiegsmöglichkeiten zu bieten. Der Einsatz von Open-Source-Software ist dabei unbedingt zu empfehlen, denn so kann jede Organisation den Quellcode einsehen und auf Risiken und Schwachstellen überprüfen lassen.

Jedes Krankenhaus behält damit seine digitale Souveränität. Selbstverständlich gehört auch eine Einbeziehung des Personals dazu: Nicht nur im Alltag muss es souverän mit der IT umgehen können, es muss genau wie auf Brände und Naturkatastrophen auch auf Cyberangriffe vorbereitet werden.

Medizinische Geräte werden immer häufiger in Netzwerke integriert, sodass etwa Ärzte aus anderen Krankenhäusern Geräte übers Internet steuern können. Sobald sie einmal zertifiziert sind, dürften sie eigentlich nicht verändert werden, also auch keine Sicherheitsupdates erhalten. Diese sind jedoch wichtige Vorsorgemaßnahmen in der IT.

Da wir digital immer komplexer zusammenwachsen, gilt das auch für alle Bereiche, die durch IT miteinander verbunden sind. Mit diesem Dilemma hat zum Beispiel auch Tesla zu kämpfen, sie dürften in Deutschland eigentlich keine Sicherheitsupdates an ihren Autos durchführen.

Früher war bei einem Medizingerät nur die Safety zu bedenken, also der Schutz von Mensch und Umwelt vor physischem Schaden. Jetzt müssen wir auch die Security, insbesondere die IT-Security, gewährleisten. Safety und Security wachsen zusammen, genauso wie IT, Medizingerätetechnik und Gebäudeautomation. Das birgt Risiken, aber vereinfacht auch die Konfiguration und die Überwachung. Da Medizingeräte nach identischen Standards kategorisiert sind, haben wir mittlerweile eine gute Blaupause entwickelt, um die Medizingeräteverwaltung einzurichten. Und das sowohl in den Abläufen wie zum Beispiel der Mitarbeitereinweisung als auch der Dokumentation, also den Geräte-Logbüchern.

„Security-Management-Systeme direkt einzubinden, ist heute absolut gefordert und nicht etwa „nice to have“. „

Obwohl Einigkeit darüber herrscht, dass IT-Sicherheit immens wichtig ist, scheint es für die meisten Menschen noch immer ein lästiges Thema zu sein. In den letzten Jahren hat da sicherlich ein Umdenken begonnen, aber manchmal wünsche ich mir, dass es schneller ginge. Der Chefarzt ist und bleibt natürlich in erster Linie Mediziner. Wenn der sich ein neues Röntgengerät anschafft, denkt er nicht automatisch daran, was das für Arbeitsprozesse in der IT-Abteilung und beim technischen Personal in Gang setzt. So ein Röntgengerät hat ja auch einen Netzwerkanschluss und muss in ein System eingepflegt werden, die Mitarbeiter müssen eingewiesen, das Gerät muss gewartet und das Ganze muss regelmäßig wiederholt werden. Und natürlich alles mit lückenloser Dokumentation.

Hier können wir mit KIX helfen, strukturierte Arbeitsabläufe und eine sichere Betriebsführung zu ermöglichen. So wird die Dokumentation quasi automatisch erledigt. Spätestens wenn der Auditor seinen jährlichen Besuch im Krankenhaus abstattet und eine 1-a-Dokumentationslage vorfindet, werden alle Krankenhausmitarbeiter dankbar für diesen Service sein. //


Open Source Service-Management Überblick

KIX Pro bietet Organisationen und Unternehmen ein umfassendes System für technischen Service, IT-Service sowie Instandhaltungsmanagement. Die modular aufgebaute und auf Open-Source-Basis beruhende Software ist sowohl lokal als auch in einer Cloud installierbar und mit ihrer hohen Spezialisierung auf den Servicebereich schnell einsatzbereit.
Es handelt sich um die einzige Software dieser Art, die über eine Android- und iOS-App für Smartphone und Tablet verfügt und damit Außendienstmitarbeiter auch im Offline-Modus bei ihrer Arbeit unterstützt. Durch die offene, einfache und integrationsfreudige Software-Architektur ist KIX Pro 18 ideal für heterogene IT-Umgebungen. Es bietet eine Reihe an Features:

Service-Management

Unternehmen ohne Service-Management-System sind heute kaum noch vorstellbar, KIX unterstützt in folgenden Bereichen:
  • zentrale Steuerung aller IT-Service-Abläufe und IT-Arbeitsaufträge Systematisierung, Klassifizierung und Beantwortung von Kundenanfragen
  • Abwicklung von Beschaffungsanträgen
  • Bewerber-Management
  • On- und Offboarding von Mitarbeitern
  • Bereitstellung von Arbeitsabläufen als zentrale Dienstleistungen (Self Services)
  • Wissensdatenbank
  • übergreifende Meßbarkeit und Kostenkontrolle aller Serviceaktivitäten



IT-Service-Management

KIX hilft, den Überblick über die IT-Infrastruktur zu behalten:
  • Betreuung der PC-Arbeitsplätze
  • übergreifendes Management des IT-Equip­ments (Drucker, Server, Mobile Devices etc.)
  • Automatisierung und Vereinfachung der Arbeitsabläufe im IT-Service
  • Überwachung von zentralen IT-Diensten
  • zentrale Dokumentation aller Tätigkeiten und Änderungen in der IT


Maintenance & After-Sales-Service

Strukturieren und Automatisieren von Abläufen:
  • Dokumentation und Koordination von Störungen und ungeplanten Instandhaltungen
  • Planung von regelmäßigen Wartungsarbeiten
  • Erinnerung an Wechsel von Verschleißteilen
  • Organisation von regelmäßigen Bestellungen
  • Einsatzplanung der Service-Techniker


Facility-Management

Lösungen für Immobilienverwaltung:
  • Annahme und Strukturierung von Eigentümer- oder Mieter-Meldungen


Kontaktieren Sie den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.