IT-Sicherheit für Kliniken und Krankenhäuser

Organisationen aus dem Gesundheitswesen – insbesondere Krankenhäuser – werden immer wieder von Cyberangriffen heimgesucht, was eine schmerzliche Unterbrechung ihrer lebensnotwendigen Aktivitäten für die Zivilgesellschaft nach sich zieht.

Um den Bedrohungen im Gesundheitssektor konsolidiert entgegenzuwirken, sind verschiedene Gesetze und Richtlinien – z.B. B3S, NIS2, IT-Sicherheitsgesetz 2.0, Krankenhauszukunftsgesetz (KHZG) – eingeführt worden, die fast alle Gesundheitsdienstleister betreffen, da sie KRITS-relevant sind.

Gesetzgeber fordern Cybersecurity-Mindeststandards

So sind Krankenhäuser und Gesundheitsdienstleister seit 1. Januar 2022 verpflichtet, Mindeststandards an die IT-Sicherheit ihres Geschäftsbetriebs zu erfüllen. Sie müssen also angemessene organisatorische und technische Vorkehrungen zum Schutz Ihrer IT treffen.

Das schließt eine weitere Lücke: Lange Zeit gab es großen Nachholbedarf in Kliniken & Co., denn Investitionen und Innovationen in die IT-Sicherheit wurden aufgeschoben. Angesichts aktueller und künftiger Bedrohungen müssen diese Einrichtungen ihren Cyber-Risiken nun aber mit einem branchenspezifischen, pro-aktiven Ansatz begegnen. Dabei ist der Schutz des gesamten IT-Systems – von den Endpoints über das gesamte Netzwerk – von entscheidender Bedeutung. Nur so kann sowohl die Cybersicherheit als auch die betriebliche Widerstandsfähigkeit gewährleistet werden.

Die Gesetzeslage – Wer ist betroffen?

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat am 22. Oktober 2019 die Eignung des Branchenspezifischen Sicherheitsstandards (B3S) zur Umsetzung der Anforderungen des § 8a Abs. 2 BSI-Gesetz festgestellt. Krankenhäuser, die mehr als 30.000 vollstationäre Fälle verzeichnen, müssen den B3S als Nachweis ihrer IT-Sicherheit erbringen, also den gesetzlichen Anforderungen gerecht werden.

Seit Oktober 2020 gibt es im Rahmen des Patientendaten-Schutz-Gesetz (PDSG) eine Neuerung in Bezug auf die IT-Sicherheit, die auch kleine Krankenhäuser in die Pflicht nimmt. Sie müssen ebenfalls ausreichende Schutzmaßnahmen für ihre IT-Systeme schaffen, um die Sicherheit von Patientendaten zu gewährleisten. Mit dem PDSG wurde ein neuer § 75c in das Sozialgesetzbuch (SGB) V eingefügt.

Nach dem neuen § 75c SGB V sind seit dem 1. Januar 2022 alle deutschen Krankenhäuser verpflichtet, angemessene organisatorische und technische Vorkehrungen zur IT-Sicherheit zu treffen. Das Ziel: Durch die Einhaltung des „Stand der Technik“ sollen sämtliche Störungen der Verfügbarkeit, Integrität und Vertraulichkeit vermieden werden. Außerdem soll so der Schutz der informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der Krankenhäuser maßgeblich sind, gewährleistet werden – inklusive der verarbeiteten Patienteninformationen.

Woran orientiert sich der BS3?

Organisationen aus dem Gesundheitswesen können sich an folgenden Leitlinien orientieren, die relevant für die Umsetzung des branchenspezifischen Sicherheitsstandards sind:

• Norm ISO 27001 für ein Informationssicherheits-Managementsystem
• Branchenspezifischen Anforderungen von ISO 27799
• Geltungsbereich relevanten Risiken
• Stand der Technik

Die Grundlage des B3S ist ein Informationssicherheits-Managementsystem (ISMS) gemäß der Norm ISO 27001. Sie bietet einen systematischen Ansatz zur Erreichung der genannten Ziele im Bereich Informationssicherheit, da ihre Herangehensweise prozessorientiert und risikobasiert ist.

Schutz der medizintechnischen Hardware

Das Herzstück der IT-Ressourcen einer Klinik sind die medizinischen Hardware-Komponenten. Sie werden aber oft nur unzureichend kontrolliert. Da sie in der Regel allerdings allesamt mit dem Netzwerk verbunden sind, können sie große Cyber-Risiken bergen.

Das Groß der Aktivitäten zur Verbesserung der IT-Sicherheit in Krankenhäusern richtet sich deshalb auf Endpoint Protection Platforms (EPPs), um diese Hardware auf lokaler Ebene zu schützen. In Anbetracht der Entwicklung von Angriffsmethoden sind viele Organisationen dadurch jedoch angreifbar für Advanced Persistent Threats (APT).

NDR für mehr Cybersicherheit im Gesundheitswesen

Eine Network Detection and Response-Lösungen kann die Sicherheitslücke schließen. Das macht NDR zu einer Schlüsseltechnologie in der Cyberstrategie für Gesundheitsdienstleister. Da NDR im Netzwerk positioniert wird, ist die Lösung in der Lage, alle externen Geräte und Anlagen, die mit dem Netzwerk verbunden sind, zu identifizieren, zu überwachen und sogar erste Gegenmaßnahmen einzuleiten, wenn Anomalien bzw. Angriffsversuche festgestellt werden. – Automatisiert, so dass auch die IT-Analysten im SOC unterstützt und entlastet werden. Die False Positives fallen mit NDR im Einsatz auch eher selten an.

Sicher dank AI und Machine Learning

Innovative NDR-Lösungen nutzen KI-Ansätze und Machine Learning, um Anomalien zu erkennen, Bedrohungen vorherzusagen und die Reaktion auf Vorfälle zu automatisieren. Dadurch werden Tools wie NDR besonders interessant für Kliniken, die nicht über ausreichende personelle Ressourcen in der IT bzw. Im Cybersecurity-Bereich verfügen. Denn sie bieten zuverlässige Unterstützung auf Basis automatisierter Abläufe.

Wissenswert: NDR-Technologien erhalten den Netzwerkfluss aufrecht, wenn eine Bedrohung erkannt wird. – Und damit den Krankenhausbetrieb.

Ihr ganzes Potenzial kann eine NDR-Lösung entfalten, wenn sie richtig in das Portfolio der bereits im Klinikbetrieb aktiven Cybersicherheitstechnologien integriert ist. Dann komplementiert und verstärkt sie die vorhandenen Tools, um Bedrohungen zu erkennen, die durch Aktivitäten im Netzwerk signalisiert werden, sowie jene schwachen Signale, die Vorboten von Cyberangriffen sind.