„IT-Prävention ist unsexy, aber wichtig“ Manuel Atug (KRITIS-Experte beim Chaos Computer Club) über IT-Sicherheit im Krankenhaus
Deutsche Krankenhäuser sind im Hinblick auf ihre IT-Sicherheit mittelmäßig aufgestellt, sagt Manuel Atug. Warum ist das so? Im Gespräch mit webtvcampus gefragt erklärt der Experte für kritische Infrastrukturen beim Chaos Computer Club (CCC), worauf es in punkto Datenschutz und Datensicherheit in Krankenhäusern wirklich ankommt.
Cybersicherheit ist ein großes Wort, das viele verunsichert. Vielleicht ist das der Grund dafür, dass Deutschland in dieser Kategorie im unteren Mittelfeld angesiedelt ist.
Besonders verheerend sind die Folgen von Cyberkriminalität, wenn sie kritische Infrastrukturen trifft. Denn jede Cyberattacke auf eine solche Institution gefährdet auch weite Teile der Zivilbevölkerung. Zur kritischen Infrastruktur zählen Krankenhäuser, wenn sie auf 500.000 Personen auf 30.000 Bettenbelegungen pro Jahr kommen.
Kritische Infrastrukturen brauchen eine hohe Cyber-Resilienz
Krankenhäuser, die zur kritischen Infrastruktur zählen, müssen sich an die Vorgaben des Bundesamt für Sicherheit in der Informationstechnik (BSI) halten. Das BSI-Gesetz fordert den Einsatz eines Informationssicherheits-Management-Systems, sodass Informationen im Cyberumfeld angemessen verwaltet und Sicherheit als Prozess etabliert wird. Ein Business-Continuity-Management (BCM) muss sicherstellen, dass eine Einrichtung bei einem Versorgungsengpass oder -ausfall relativ schnell wieder handlungsfähig wird. Die BSI-Vorgaben sollen einem Ausfall der IT möglichst vorbeugen.
Hackerangriff & Krankenhaus: Corona hat die Situation verschärft
Die Corona-Pandemie hat zu einem weiteren Anstieg der Cyberattacken auf Krankenhäuser geführt. Die Gründe: eine zunehmende Arbeit aus dem Homeoffice und der Digitalisierungssprint, der oft nicht mit der Gründlichkeit einhergehen konnte, die notwendig gewesen wäre.
Gewinnmaximierung auf Kosten der Sicherheit: Wird an der falschen Stelle gespart?
Sparen auf Kosten der Sicherheit? Davor warnt Atug ausdrücklich. Oft wird eher in eine neue Firewall und ein paar Server investiert. Das vorgeschriebene Mindestniveau ist damit zwar erfüllt, doch wo ist das Know-how? Es muss bei den Mitarbeitern platziert werden, und zwar vom Geschäftsführer über den Mitarbeiter der Verwaltung bis hin zu Ärzten und Pflegepersonal.
IT-Sicherheit & Datenschutz: Krankenhaus-Mitarbeiter müssen geschult sein
Hier kann man viel tun, sagt der Experte für IT-Sicherheit Manuel Atug. Die Wahrnehmung durch spezielle Schulungen zu schärfen ist nicht teuer, aber effizient. Hierzu zählt auch Wissen zum Thema Datensicherheit. Mitarbeiter müssen zum Beispiel auch dafür sensibilisiert sein, dass Gesundheitsdaten noch kritischer sind, als allgemein personenbezogene Daten.
Sicherheit ist kein Zustand, sondern ein kontinuierlicher Prozess
Ein Zyklus aus Feedback und darauf abgestimmten Maßnahmen ist essenziell. Daher muss das Thema Sicherheit als Dauerprozess etabliert und in alle Abläufe integriert sein.
Nach Meinung von Atug wird der Sicherheitsaspekt von vielen Entscheidern – auch der Politik – nicht ernst genug genommen. Prävention ist nun mal nicht sexy.
Cyberangriffe sind Teil eines knallharten Geschäftsmodells des organisierten Verbrechens. Mit Erpressung und der Verschlüsselung von Daten und dem Verkauf von kopierten Daten lässt sich viel Geld verdienen. Im schlimmsten Fall verkaufen die Hacker die sensiblen Daten dann sogar auf dem freien Markt oder veröffentlichen sie im Internet. Gleichzeitig ist die Chance geschnappt zu werden, nach wie vor sehr gering. Hinzu kommt, dass Hackerangriffe meist zu spät bemerkt werden.
Cyberwelt, schwarze Magie? Was wir nicht verstehen, ist gefährlich
Eine Ursache besteht darin, dass es für das Thema IT-Sicherheit so wenig Verständnis gibt.
Die Cyberwelt ist virtuell und somit nicht physisch greifbar. Das macht es für viele so kompliziert und unbegreiflich. Wichtig ist, dass Mitarbeiter in Gesundheitseinrichtungen verstehen, dass die persönlichen Daten ein hohes Gut sind, dass sie missbraucht, aber auch geschützt werden können.
Dreh- und Angelpunkt: die Schwachstelle Mensch
Da die IT-Infrastruktur eines Krankenhauses immer von Menschen betrieben wird, ist sie risikoanfällig. Umso wichtiger also, ein Bewusstsein für das Thema IT-Sicherheit und die damit verbundenen Schwachstellen zu schaffen. Alle Mitarbeiter sollten Präventionsmaßnahmen kennen. Awareness-Schulungen vermitteln nicht nur Know-how, sondern sensibilisieren auch für die Folgen eines einzigen Klicks, der mit Schadsoftware verseucht ist.
Wichtig ist auch, dass Mitarbeitern ein Handlungsfaden vertraut ist, dem sie folgen müssen und dass die Firmenkultur eine Sicherheitskultur ist, erklärt Manuel Atug. Das bedeutet: gemeinsam Feedback geben, Kritik ernst nehmen. Kein Mitarbeiter sollte aus Angst vor einer Abmahnung verschweigen, dass er einen Link angeklickt hat. Hier ist ein konstruktiver Umgang mit Fehlern als Teil der Führungskultur gefragt.
Über webtvcampus: gefragt
Bei „webtvcampus: gefragt“ kommen Experten aus der Gesundheitsbrache zu gesellschaftlich relevanten Themen der Klinik- und Pflegeszene zu Wort. Immer mit dabei: der grüne Sessel. Möchten Sie Platz nehmen? Wenden Sie sich an Sarah Heibel.