Krankenhäuser sind ein beliebtes Ziel der Cyber-Gangs. Die Hoffnung auf hohe Lösegeldzahlungen lässt Ransomware-Erpresser jeglichen Anstand vergessen, sie nehmen dafür sogar Tote in Kauf. Gleich zwei Regelwerte sollen die Sicherheitsstandards im Gesundheitssektor erhöhen.
US-amerikanische Sicherheitsbehörden warnen aktuell vor Angriffen auf Krankenhäuser und Kliniken durch nordkoreanische Hacker. Diese sollen Ransomware-Attacken mit einer Malware namens Maui durchführen. Die gewählten Ziele seien aufgrund ihrer gesellschaftlichen Sensibilität ausgewählt worden. Angreifer gehen demnach davon aus, dass in diesen Einrichtungen der Security-Schutz eher gering und die Bereitschaft zur Zahlung von Lösegeld besonders hoch ist. Zwischen 2020 und 2021 hat sich die Zahl der Angriffe auf Gesundheitseinrichtungen fast verdoppelt.
Schon länger gelten Ransomware-Angriffe gegen kritische Infrastrukturanbieter, insbesondere Gesundheitseinrichtungen, für Cyberkriminelle als besonders lukrativ. Längere Ausfallzeiten sind hier nicht tolerabel. Entsprechende Einblicke lieferten vor einiger Zeit die ans Licht der Öffentlichkeit geratenen Chats der
Conti-Gruppe . Die russischen Kriminellen nahmen sehr gezielt US-amerikanische Kliniken ins Visier. Die besondere Relevanz des Gesundheitssektors während der Hochphase der Corona-Pandemie rückte diesen Sektor ins Zentrum. Was zugleich zeigte, dass die Kriminellen vor nichts zurückschrecken, sei es gesundheitlicher Schaden oder gar der Tod von Menschen.
Zusätzlich führte der Ukraine-Konflikt zu Befürchtungen, dass Angriffe auf kritische Infrastruktur (KRITIS) verstärkt würden und größere Schäden anrichten könnten. Bisher ist das jedoch ausgeblieben. Ein Grund dürften die bestehenden Sicherheitsanforderungen im KRITIS-Sektor
sein, die unlängst nochmals verschärft wurden, wie an anderer Stelle im Beitrag beschrieben.
Patienten-Datenschutz-Gesetz fördert IT-Security
Mit der KRITIS-Novelle in Folge des neuen IT-Sicherheitsgesetzes wurden bereits 2021 Auflagen für KRITIS-Kliniken verschärft. Darüber hinaus steigen die Sicherheitsvorgaben für Kliniken und Krankenhäuser auch durch das Patienten-Datenschutz-Gesetz (PDSG). Künftig müssen nicht mehr nur KRITIS-Kliniken ihre Sicherheitsmaßnahmen an einem spezifischen Sicherheitsstandard ausrichten. Mit dem PDSG existieren erstmals konkrete gesetzliche Vorschriften für die IT-Security in Krankenhäusern aller Größen. Gemäß Paragraf 75c des Sozialgesetzbuchs sind seit dem 01.01.2022 alle deutschen Krankenhäuser verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zu treffen, um die Sicherheit ihrer informationstechnischen Systeme zu gewährleisten.
Allerdings sind Krankenhäuser, die nicht unter die KRITIS-Regulierung fallen, durch das PDSG aktuell nur gefordert, ihre IT-Sicherheit an das Niveau von KRITIS-Einrichtungen
anzugleichen. Sie müssen ihre Sicherheitsmaßnahmen weder extern zertifizieren lassen, noch die übrigen Auflagen der KRITIS-Verordnung erfüllen, wie etwa eine Registrierung beim BSI oder die Meldung kritischer Komponenten.
So wichtig die IT-Sicherheit von Krankenhäusern aufgrund ihrer gesellschaftlichen Bedeutung ist, so herausfordernd gestaltet sich die Einführung eines einheitlichen Sicherheitskonzepts angesichts der fachspezifischen Geräte und Software-Systeme. Überall müssen sensible Daten und mögliche Angriffsflächen abgesichert werden, vom Krankenhausinformationssystem bis zur Labortechnik. Im hektischen Krankenhausalltag bei laufenden Untersuchungen und Behandlungen gestaltet sich das durchaus schwierig und kostenintensiv.
Experten rechnen daher mit einer personeller Aufstockung im Security-Bereich. Eine finanzielle Unterstützung für diese Maßnahmen sind bereits im Krankenhauszukunftsgesetz (KHZG) vorgesehen. Ferner liefert die europäische IT-Sicherheitsagentur
ENISA Unterstützung mit speziellen Ratgebern.
Autor: Uwe Sievers
