KRITIS: Cyber-Security im Gesundheitssektor

No
08. März 2017

Im zweiten Quartal 2017 wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) entscheiden, welche Security-Standards die Netzwerke und IT-Systeme medizinischer Versorger nach einer zweijährigen Übergangsfrist erfüllen müssen. Bis 2019 sollten jedoch weder Krankenhäuser noch Labore oder Pharmaunternehmen warten.

Zu sogenannten Kritischen Infrastrukturen – kurz KRITIS – zählen Einrichtungen und Organisationen mit besonderem Schutzbedarf, die von großer Bedeutung für das staatliche Gemeinwesen sind. Das IT-Sicherheitsgesetz verpflichtet alle KRITIS-Betreiber, ihre Netzwerk- und IT-Systeme in Ausnahmesituationen vor Störungen oder gar Totalausfällen zu schützen. Für den Gesundheitssektor werden diese Fachvorgaben sowie die konkret betroffenen Unternehmen/Kliniken im Rahmen des zweiten Teils der „Verordnung zur Bestimmung Kritischer Infrastrukturen“ (BSI-KritisV) in diesem Frühjahr veröffentlicht und bindend. Ein sogenanntes Information Security Management System (ISMS) ist dabei bereits als Mindestanforderung gesetzt. IT-Verantwortliche insbesondere größerer Häuser sollten daher so früh wie möglich auf die zu erwartenden Anforderungen reagieren. Denn angesichts der Umsetzungskomplexität ist die vom Gesetzgeber eingeräumte Zweijahresfrist eine durchaus sportliche Zeitvorgabe.

Ein erhöhtes IT-Sicherheitsniveau gerade im Gesundheitsmarkt zahlt sich ganz unabhängig von rechtlichen Verpflichtungen aus, selbst wenn eine Krankenhausgruppe, ein Medizinlabor oder Pharmahersteller nicht unter die BSI-KritisV-Kriterien fällt. So werden dank höherer Systemresistenz gegenüber Cyber-Gefahren nicht nur Schäden vermieden, sondern auch ein Reputationsgewinn erlangt, der sich zum Beispiel aus einem nachweislich sorgsamen Umgang mit sensiblen Patientendaten ergibt. Das durch ein ISMS geschaffene Vertrauen wirkt wie ein Gütesiegel im Wettbewerb der digitalen Ära.

Im Zuge der fortschreitenden IP-Vernetzung unterliegen Operational-Technology-(OT-)Systeme, also die  produktionsnahen technischen IT-Systeme wie zum Beispiel MRTs, denselben Sicherheitsrisiken wie ein Office-PC oder ein Datenbankserver. Bezogen auf medizintechnische Anwendungen wird dies am Beispiel radiologischer Diagnosesysteme deutlich: Häufig sind diese teuren Investitionsgüter schon viele Jahre im Einsatz und wurden erst nachträglich in das IP-basierte Klinikinformationssystem eingebunden, um digitale Röntgen- oder MRT-Bilder in die elektronische Patientenakte einzufügen. Ähnlich wie bei vielen industriellen OT-Systemen sind regelmäßige Sicherheits-Patches bei der klinischen OT oftmals schwierig, weil dadurch unter Umständen die Herstellergewährleistung oder die Gerätezulassung gefährdet ist.

Bei bislang bekannten Angriffen auf Krankenhäuser handelte es sich um relativ ungezielte Attacken auf klassische IT-Systeme. Ungleich dramatischer wären die Folgen einer gezielten Attacke auf die OT-Systeme einer Klinik: Bei einer unbemerkten Manipulation etwa eines automatischen Arzneimittelmanagementsystems stünden aufgrund falscher Medikation und Dosierung Leben und Gesundheit von Patienten unmittelbar auf dem Spiel. Vor diesem Hintergrund führt früher oder später kein Weg daran vorbei, die gesamte OT eines Krankenhauses in ein ganzheitliches ISMS mit einzubeziehen sowie, wie aktuell vom Gesetzgeber gefordert, gerade auch die OT-Systeme nach dem aktuellen Stand der Technik abzusichern.

Besuchen Sie uns auf der conhIT, Europas führender Veranstaltung für Gesundheits-IT: Vom 25. bis 27. April 2017 informieren wir in Halle 4.2, am Stand E-115 auf dem Berliner Messegelände rund um das Thema KRITIS im Gesundheitswesen und bieten an allen drei Tagen spannende Live-Hackings und Expertengespräche zum Thema BI.

Mehr Informationen zu unseren KRITIS-Leistungen

Haben Sie noch Fragen?
Sprechen Sie uns an ...

Torben Klagge
Tel.: +49 40 22703-0
health-care.de@soprasteria.com