"Menschen in der Medizin und der Pflege werden auch in Zukunft eine herausragende Rolle spielen"

DMEA 2019 – Nachgefragt! mit Torben Klagge, Manager IT-Security bei Sopra Steria Consulting

Hallo Herr Klagge, im April traf sich die Gesundheitsbranche auf der DMEA 2019. Was beschäftigt das Gesundheitswesen derzeit?

Die Schlagworte Digitalisierung und künstliche Intelligenz (KI) ziehen sich natürlich als roter Faden durch die größte Fachmesse der Branche. Wirklich alle Bereiche im Gesundheitswesen beschäftigen sich damit, auch die personalintensiven Abteilungen. Menschen in der Medizin und der Pflege werden auch in Zukunft eine herausragende Rolle spielen und sind absolut unverzichtbar. Digitalisierung und KI setzen daher bei Prozessen an, die den Menschen ihre Arbeit abseits der eigentlichen Pflegetätigkeit erleichtern. Am Ende bleibt dann mehr Zeit für das Zwischenmenschliche. Das ist aus meiner Sicht ein sehr sinnvoller Schwerpunkt.

Sie haben auf der DMEA 2019 einen Vortrag darüber gehalten, wie Anbieter „den vernetzten Patienten auf dem Radar behalten“. Was meinen Sie damit?

In einer typischen Klinik gibt es eine ganze Menge IT: Server, PCs, Laptops, Smartphones und Tablets zum Beispiel. Natürlich brauchen Klinikunternehmen diese Form von IT, aber ein Großteil der ärztlichen Versorgung erfolgt über spezielle medizinische Geräte, die untereinander, aber auch mit der „normalen“ IT vernetzt sind. Speziell auf diesen Geräten sind meistens sehr sensible Patientendaten gespeichert. Daher dürfen diese nicht aus dem Blickwinkel der IT-Sicherheit verloren werden.

Genau das aber kann passieren, wenn Kliniken sie nicht als vernetzte Hardware betrachten, sondern als rein medizinisches Equipment. Um einmal die Größenordnung zu verdeutlichen, um die es geht: Ein typisches Klinikum betreibt vielleicht fünf- bis achttausend klassische IT-Geräte, aber 30.000 bis 40.000 medizinisch genutzte Geräte, darunter zum Beispiel für bildgebende Diagnostik wie Ultraschall- oder Röntgenapparate, EKG und EEG, in Zukunft aber immer häufiger auch intelligente Wearables und Implantate. Patienten sind also immer mehr vernetzt, sobald sie sich in Behandlung befinden, und müssen daher besonders geschützt werden.

Wie kann die Branche hier für Sicherheit sorgen?

Wir erleben bei unseren Kunden oft, dass speziell im Bereich der Medizintechnik viele der aus der IT bekannten Sicherheitsstandards und -prozesse einfach noch nicht angekommen sind. Das liegt unter anderem daran, dass Anbieter ihre Geräte oft nur nach funktionalen Gesichtspunkten entwickelt und die Vernetzung erst nachträglich hinzugefügt haben. Gängige, sinnvolle und notwendige Sicherheitsstandards aus dem Bereich der IT-Sicherheit sind dabei oft einfach zu kurz gekommen.

Daher müssen wir in unseren Projekten mit Kliniken häufig zunächst viel Basisarbeit leisten: Wir erkennen und beschreiben die kritischen Prozesse und Systeme in der stationären Patientenversorgung und entwickeln mit den Klinikbetreibern und den IT-Verantwortlichen Maßnahmen für den Schutz auch der medizinisch genutzten Infrastrukturen. Das betrifft technische Anpassungen sowie Veränderungen der Prozesse. Ziel ist, diese Dinge auf ein Sicherheitslevel zu heben, das für die IT-Infrastruktur heute schon selbstverständlich ist.

Auf der DMEA sind Sie speziell auf das Thema KRITIS@Health eingegangen. Wie lassen sich kritische Infrastrukturen im Gesundheitswesen wirksam schützen und gleichzeitig sicher managen?

Das IT-Sicherheitsgesetz der Bundesregierung und die EU-Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) verpflichten Unternehmen unterschiedlicher Branchen, kritische Infrastrukturen (KRITIS) eines Landes besonders zu schützen. Ich habe auf der DMEA aus unseren Erfahrungen bei der Umsetzung der Verordnungen in drei Kliniken berichtet, darunter ein Klinikverbund und ein städtisches Klinikum.

Kliniken dürfen sich bei der Umsetzung nicht auf die Kern-IT beschränken, sondern müssen unbedingt die vernetzte Gesundheits-IT und Medizintechnik in ihre Sicherheitskonzepte einbeziehen. Das ist aber mit den Standard-Sicherheitslösungen und -vorgaben nicht ohne weiteres möglich. Dafür braucht es spezielle Lösungen für den so genannten Nicht-IT-Bereich. Angesichts der Fülle zu überwachender Geräte und Prozesse eignet sich ein Klinik-Security-Operations-Center (K-SOC).
Ein K-SOC ist speziell für Überwachung und Monitoring von Medizintechnik entwickelt worden: Es ermöglicht die Auswertung klinikspezifischer Daten und Kommunikationsprotokolle sowie die Steuerung der IT-Sicherheit über KPIs, und es lässt sich in das bestehende Security Information and Event Management (SIEM) einbinden. Darüber hinaus empfiehlt sich ein an die Notfallhandbücher angelehntes Klinisches Kontinuitätsmanagement sowie die Nutzung spezieller technischer Lösungen – zum Beispiel dedizierte Geräte zum Virenscannen von USB-Sticks.

Wie spüren Sie strategische und operative Lücken in den IT-Sicherheitssystemen von Krankenhäusern auf, und was haben Sie darüber herausgefunden?

Zum einen betrachten wir in einer Gap-Analyse vorhandene und gelebte Prozesse sowie deren Dokumentation. Dabei fällt uns oft erfreulicherweise auf, dass die Klinikmitarbeiter viele sicherheitsrelevante Dinge schon richtig machen – oft allerdings eher aus Gefühl oder durch Zufall. Viele dieser Prozesse sind nämlich weder gefestigt noch genau definiert oder vernünftig dokumentiert. Das wollen wir ändern.

Zum anderen führen wir so genannte Penetrationstests durch. Dabei verhalten wir uns wie Angreifer und nutzen Hacker-Werkzeuge, um real existierende Schwachstellen in der (IT-)Sicherheit des Klinikums aufzuspüren.

Während die Gap-Analyse der Prozesse als Top-down-Ansatz sicherstellt, dass alle nötigen Vorgaben und Regelungen vorhanden sind und genutzt werden, ist der Penetrationstest ein Bottom-up-Ansatz. Mit ihm werden Schwachstellen oder Gaps mit den Mitteln und Werkzeugen realer Angreifer identifiziert.

Über die Ergebnisse dieser Tests kann ich aus Sicherheitsgründen nicht sprechen, aber wir finden aufgrund der heterogenen und historisch gewachsenen IT in den Kliniken praktisch alle Formen von individuellen Anfälligkeiten und Lücken. Dazu kommen die angesprochenen Probleme bei der Operational Technology (OT), also den vernetzten Medizingeräten.

 

Digitale Medizintechnik lebt von Daten, die in Form von persönlichen Patientendaten besonderen Schutz benötigen. Wie lässt sich dieser umfassende Schutz erreichen, ohne auf fundierte Datenanalysen und datengetriebene Dienste verzichten zu müssen?

Für den DSGVO-konformen Schutz von personenbezogenen Daten haben Kliniken in den vergangenen Jahren Datenschutz-Management-Systeme (DSMS) aufgebaut. Im Rahmen unserer KRITIS-Projekte können wir direkt auf diese Systeme zugreifen und darauf aufbauen. Wir schärfen an einigen Stellen nach, erweitern an anderen Stellen den Geltungsbereich und entwickeln zusammen mit den Kliniken technische Lösungen, um eben diese Sicherheit der Daten auch zu gewährleisten.

Wichtig ist eine Balance zwischen sinnvoller und notwendiger Datennutzung. Ein durchgehend vernetzter Patient erzeugt viele Daten. Aus Gründen der Datensparsamkeit, des Datenschutzes und der Datensicherheit müssen Klinikbetreiber stets abwägen, welche Daten sie verwenden müssen und wer Zugriff auf diese Daten hat. Diese Balance herzustellen, ist eine unserer Kernaufgaben im Rahmen der Umsetzungen des IT-Sicherheitsgesetzes bei unseren Kunden.

 

Torben Klagge
Torben Klagge
Manager IT-Security