IT-Sicherheit im Krankenhaus

Welche Rolle spielt das „Gesetz für ein Zukunftsprogramm Krankenhäuser“ bei der Absicherung der digitalen Systeme in den Kliniken? 

Über das Krankenhauszukunftsgesetz werden für Krankenhäuser zusätzliche Mittel für die Weiterentwicklung der Digitalisierung bereitgestellt. Mindestens 15 Prozent dieser Mittel müssen dabei in Investitionen in die IT-Sicherheit fließen. Ein weiterer Teil des Fonds ist explizit für IT-Sicherheitslösungen vorgesehen. Das wird auf jeden Fall einen positiven Einfluss auf die Gesamtsicherheit der IT-Landschaft in Krankenhäusern haben. 

Was sind aus Ihrer Sicht die wichtigsten Eckpunkte des Krankenhauszukunftsfonds?

Bund und Länder möchten mit diesem 4,3 Milliarden-Fonds den Verantwortlichen Mittel in die Hand geben, um wichtige Teile der Krankenhausinfrastrukturen auf den Stand der Zeit zu bringen. Deshalb enthält ein Bestandteil des Fonds Fördermittel, die speziell für IT-Sicherheitsprojekte in den Krankenhäusern aufgewendet werden sollen. Für die Verantwortlichen ist es sehr wichtig, dass die Förderung nicht nur auf die Anschaffung neuer IT-Produkte fokussiert. Im Unterschied zu früher umfasst der Fonds auch Beratungsleistungen und den Betrieb der IT-Systeme. Das ist aus meiner Sicht eine deutliche Verbesserung, denn in der Vergangenheit mussten die IT-Verantwortlichen die Installation der Systeme selbst hinbekommen.

Welches sind aus der Sicht eines Krankenhauses wichtige Kriterien bei der Auswahl einer IT-Sicherheitslösung? 

Im Vergleich zu anderen kritischen Infrastrukturen haben Krankenhäuser spezifischen Kriterien bei der Auswahl von IT-Sicherheitslösungen zu folgen. Natürlich fordert der Gesetzgeber für die Gesundheitsdaten der Patienten einen besonderen Schutz. Andererseits stellt die Vielzahl unterschiedlichster medizinischer Geräte ein hohes Risiko dar. Weil diese Geräte eine lange Nutzungsdauer haben, arbeiten viele mit veralteter Software und haben deshalb keine optimale Absicherung gegen Angriffe. Eine umfassende Sicherheitslösung muss also alle IT-Systeme und alle operationalen Systeme im Krankenhaus überwachen. 

Wie läuft ein solcher Angriff ab und welche Security-Lösungen bieten den nötigen zusätzlichen Schutz?

Wenn Hacker eine Attacke auf ein Krankenhaus starten, suchen sie über das Internet nach schlecht geschützten Geräten und implementieren hier die Schadprogramme. Dann breiten sich die Angreifer Schritt für Schritt aus. Solange sie im Datenstrom mitschwimmen, sind sie für die IT-Abteilung nahezu unsichtbar. Deshalb hat der Gesetzgeber in den neuen IT-Sicherheitsgesetzen festgeschrieben, dass in kritischen Infrastrukturen zusätzliche technische Methoden implementiert sein müssen, um Angriffe frühzeitig zu erkennen. Und da spielen Security-Monitoring-Lösungen wie IBM QRadar eine entscheidende Rolle. Denn das Security-Team kann in Echtzeit sehen, ob etwas Verdächtiges im Netzwerk passiert.

Welche Rolle spielt dabei eine intelligente Software als Kern eines Sicherheitssystems? 

Eine Security-Monitoring-Lösung dient zur Überwachung und frühzeitigen Erkennung von Bedrohungen, die auf die gesamte IT-Infrastruktur eines Krankenhauses abzielen. In der Anfangsphase „lernt“ die Software das normale Verhalten der IT-Systeme und der Anwender durch Beobachtung von Aktivitäten und Analyse des Datenverkehrs kennen. Später kann das System Abweichungen vom normalen Zustand erkennen und Alarme erzeugen. Ein Team von Security-Analysten kann diese Alarme auswerten, die Ergebnisse mit dem Management und der IT-Abteilung diskutieren und zum Beispiel bei Angriffen entsprechende Gegenmaßnahmen vorschlagen.

Welche Argumente sprechen für die Zusammenarbeit mit einem Dienstleister? 

Der Betrieb von IT-Sicherheitslösungen ist sicherlich nicht Teil des Geschäftszwecks eines Krankenhauses. Die hohe Komplexität solcher Systeme und der notwendige Aufwand für den Betrieb – insbesondere, wenn eine Rund-um-die-Uhr-Beobachtung notwendig ist – sind Argumente, die für die Zusammenarbeit mit einem spezialisierten Dienstleister sprechen. Dieser verfügt über das notwendige Know-how und auch die personellen Kapazitäten, um unabhängig von den alltäglichen Betriebsaufgaben der IT-Verantwortlichen im Krankenhaus die Sicherheitssituation im Blick zu behalten.