Februar 2024: Ein Klinikverbund im Kreis Soest mit drei Krankenhäusern in Lippstadt, Erwitte und Geseke liegt nach einem Cyberangriff weitgehend lahm. Kriminelle haben das IT-System gehackt und den Zugriff auf die Patientendaten gesperrt. Gegen solche Angriffe müssen sich alle Krankenhäuser schützen – nicht nur solche, die aufgrund ihrer Fallzahlen zur Kritischen Infrastruktur gehören.

Wann gehört ein Krankenhaus zur Kritischen Infrastruktur?

Ab 30.000 Behandlungsfällen im Jahr zählt ein Krankenhaus zur so genannten Kritischen Infrastruktur (Quelle 1). Dazu gehören Organisationen und Einrichtungen, die wichtig für die Versorgung der Bevölkerung sind – Energieversorger, Verkehrsunternehmen, Geldinstitute. Nach BSI-Gesetz § 8a sind KRITIS-Einrichtungen verpflichtet, „angemessene organisatorische und technische Voraussetzungen zum Schutz der IT zu treffen.“ (Quelle 2). Diese müssen sie dem Bundesamt für Sicherheit im Informationswesen (BSI) alle zwei Jahre nachweisen. Außerdem sind sie verpflichtet, IT-Sicherheitsvorfälle zu melden und einen KRITIS-Ansprechpartner zu benennen.

Sperrung von Patientendaten, Manipulation medizinischer Geräte, Stilllegung ganzer OP-Säle: Wenn Hacker die Server von Krankenhäusern knacken, kann das gravierende Folgen haben. Als Kriminelle 2020 mehrere Server der Uniklinik Düsseldorf lahmlegten, musste diese unter anderem die Notaufnahme schließen. Eine Frau starb, weil der Krankenwagen sie bis nach Wuppertal bringen musste.

Da half es nicht, dass die Hacker kurze Zeit später den Code zur Entschlüsselung der Server wieder herausrückten – sie hatten keine Menschenleben gefährden wollen. Solche Skrupel haben die wenigsten Angreifer. Und auch in Düsseldorf dauerte es noch Wochen, bis alle Systeme wieder einwandfrei funktionierten.

Mitarbeiter schulen

Als ein wichtiges Einfallstor für IT-Angriffe gelten die Mitarbeiter eines Unternehmens: Klicken diese  zum Beispiel auf den Anhang einer harmlos erscheinenden Email, sind die Angreifer im System und können dort nach Schwachstellen suchen. Die Kriminellen installieren Schadsoftware, mit der sie Daten verschlüsseln, und fordern Lösegeld, um den Zugang wieder herzustellen.

Das BSI gibt „Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken“. Darin heißt es: „Ein gutes Instrument zur Verbesserung der Sensibilität gegenüber Gefährdungen sind regelmäßige Schulungen der Anwender.“ Da sich die Gefährdungen weiterentwickelten, seien immer wieder Auffrischungsschulungen nötig (Quelle 3).

Cybersicherheit im Krankenhaus ist Aufgabe des Managements

Doch Matthias Gärtner, Pressesprecher des BSI, findet es nicht richtig, bei einem Störfall allein das Personal des Unternehmens verantwortlich zu machen: „Es ist nicht nur das Verhalten der Mitarbeiter.“ Er möchte den Blick lieber auf die Führungsebene lenken: „Es geht nicht nur um Mitarbeiter-, sondern vor allem um Management-Awareness.“ Schulung der Mitarbeiter sei der erste Schritt, dann hieße es „üben, üben, üben“. Denn auch einfache Maßnahmen wie zum Beispiel regelmäßige Backups müssten trainiert werden.

„Es geht nicht nur um Mitarbeiter-, sondern vor allem um Management-Awareness.“

Zur Überprüfung der IT-Sicherheit des Krankenhauses seien schließlich Penetrationstests sinnvoll. Dabei versuchen bezahlte Hacker, in das IT-System des Krankenhauses einzudringen, um Sicherheitslücken aufzudecken. Für diesen Dreiklang aus Schulen, Üben und Testen brauche es das Bewusstsein des Managements, wie wichtig das Thema IT-Sicherheit überhaupt sei. In den Handlungsempfehlungen des BSI heißt es: „Ein wesentlicher Faktor der Verstetigung von IT-Sicherheitsschulungen liegt in der vorbehaltlosen Unterstützung der Maßnahmen durch die Führung des Unternehmens.“ (Quelle 3)

Strafen drohen: Bußgelder für KRITIS-Unternehmen

Saftige Bußgelder drohen KRITIS-Krankenhäusern, die ihren Pflichten nicht nachkommen: Wer sich mit Überschreiten des Schwellenwertes von 30.000 Behandlungsfällen nicht als KRITIS-Unternehmen registrieren lässt, kann mit bis zu 500.000 Euro Bußgeld belegt werden. Einen Störfall nicht zu melden kostet ebenso viel. Bis zu 10 Millionen Euro werden fällig, wenn der Nachweis über die umgesetzten Vorkehrungen nicht erbracht wird. (Quelle 4)

Auch kleinere Kliniken müssen sich schützen

Management-Awareness ist für Universitätskliniken ebenso wichtig wie für kleinere Häuser, die nicht die KRITIS-Kriterien erfüllen. Bußgelder drohen ihnen bei Verstoß gegen die Datenschutzgrundverordnung. Patientenleben können im Störfall immer gefährdet sein. Und auch Krankenhäusern unterhalb der Fallzahlschwelle kommt eine wichtige Rolle in der Versorgung der Bevölkerung zu, betont das Bundesamt für Katastrophenschutz (Quelle 5). Besonders im ländlichen Raum, wo es keine Alternativen gibt, sollten sich deshalb auch kleinere Häuser als Kritische Infrastruktur begreifen – und entsprechende Maßnahmen ergreifen.

Der Branchenarbeitskreis Medizinische Versorgung empfiehlt allen Krankenhäusern, unabhängig von der Einstufung als KRITIS, Folgendes umzusetzen (Quelle 3):

• Einführung einer geeigneten Organisationsstruktur mit Verantwortlichen in der Nähe der Geschäftsführung.
• Identifikation aller kritischen Patientenversorgungsprozesse und dazugehörige IT-Infrastruktur und -Verfahren.
• Einführung eines Business Continuity Managements, das im Ernstfall die Versorgung der Patienten aufrechterhält
• Einführung eines Information Security Management Systems nach dem Stand der Technik, wie es für KRITIS-Unternehmen verpflichtend ist. Damit wird auch die EU-Datenschutzgrundverordnung befolgt.
• Etablierung eines Meldeverfahrens und einer Meldestelle für die Meldung von relevanten Vorfällen an die Datenschutzaufsichtsbehörden und das BSI. Auch das ist für KRITIS-Unternehmen verpflichtend.

Notfallmanagement

Und wenn der Störfall trotz aller Sicherheitsmaßnahmen eintrifft? Dann muss das Personal sofort wissen, was zu tun ist. „Zum Beispiel, wo denn der Ordner mit den wichtigen Telefonnummern steht“, sagt der BSI-Pressesprecher Matthias Gärtner. In seinen Informationen zum Notfallmanagement betont das BSI, wie wichtig die Einbindung der Mitarbeiter ist: „Ein wesentlicher Bestandteil dieser Einbindung sind Schulungen und Sensibilisierungsmaßnahmen.“ (Quelle 6) Online-Schulungen könnten eine Alternative zu Präsenzveranstaltungen sein oder diese ergänzen. Die bloße Anwesenheit bei Schulungsveranstaltungen garantiere noch keinen Erfolg – Tests und Übungen für die Erfolgskontrolle seien notwendig. (sas)

Mit webtvcampus schulen Sie Ihre Mitarbeiter online in IT-Sicherheit, mit Erfolgskontrolle und Dokumentation.

Quellen:

Quelle: BSI – Gesundheit (bund.de)

Quelle 1: Anhang 5 BSI-KritisV – Einzelnorm (gesetze-im-internet.de) Schwellenwerte

Quelle 2: § 8a BSIG – Einzelnorm (gesetze-im-internet.de)

Quelle 3: Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken (bund.de)

Quelle 4: BSI – FAQ zu Bußgeldern (§ 14 BSIG) (bund.de)

Quelle 5: Gesundheit – BBK (bund.de)

Quelle 6: BSI – Bundesamt für Sicherheit in der Informationstechnik – 2.6 Mitarbeiter einbinden