- Von Miriam Friedmann
Cyberangriffe auf KRITIS-Häuser: Wie sich die Krankenhäuser schützen können
Ein unbedachter Klick auf einen E-Mail-Anhang, und schon ist es passiert: Ransomware von Cyberkriminellen installiert sich auf dem Krankenhaus-Server und legt schlimmstenfalls den kompletten Krankenhausbetrieb lahm. Eine medizinische und wirtschaftliche Katastrophe, vor der die Bundesregierung insbesondere KRITIS-Häuser eindringlich warnt. Dabei gibt es effektive Schutzmaßnahmen – nur sind diese längst nicht in allen Einrichtungen vorhanden. Welche Kosten ein Ransomware-Angriff verursacht, wie Krankenhäuser sich schützen können und was viele Einrichtungen vergessen: Die wichtigsten Fragen und Antworten im Überblick.
Wie gefährlich ist Ransomware für KRITIS-Häuser?
Der jüngste Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) sagt es unumwunden: „Ransomware ist weiterhin die größte Bedrohung“. Zwar zeigen erste gesetzliche Maßnahmen wie verpflichtende Informationssicherheits-Managementsysteme (ISMS) bereits Wirkung, aber allein 2023 kam es zu 21 meldepflichtigen Cybervorfällen in KRITIS-Häusern.
Die Folgen für die Patientensicherheit sind immens, ganz abgesehen vom unmittelbaren wirtschaftlichen Schaden sowie langfristigen finanziellen Einbußen durch den Vertrauens- und Imageverlust.
Eindrücklich warnen auch Krankenhaus-Mitarbeitende in der ARD vor den Folgen eines Cyberangriffs, die die Auswirkungen beispielsweise auf eine Intensivstation bereits selbst erlebt haben.
Welche Kosten verursacht ein Ransomware-Angriff?
Pauschal lässt sich das nicht beantworten. Die rein finanziellen Kosten können jedoch schnell in die Millionen gehen. Zwei Beispiele:
- Der erste publik gewordene Angriff auf ein Krankenhaus hat innerhalb von fünf Tagen rund eine Million Euro Schaden verursacht, pro Tag also 200.000 Euro. Das war 2016 und das betroffene Lukas-Krankenhaus in Neuss vergleichsweise klein. Die Zahl nannte der Geschäftsführer 2019 in einem Interview. Umgerechnet auf die 537 Betten des Krankenhauses entspricht das einem Schaden von rund 372 Euro pro Bett und Tag.
- Einer der branchenweit bekanntesten Angriffe auf die Uniklinik Frankfurt hat laut Frankfurter Allgemeiner Zeitung (Bezahlinhalt) „Millionen“ Euro gekostet.
Was ist Ransomware?
Ransomware ist eine von Cyber-Kriminellen entwickelte Schad-Software. Sie installiert sich zum Beispiel durch den unbedachten Klick auf E-Mail-Anhänge selbst im System. Ziel der Kriminellen ist es meistens, Daten zu verschlüsseln und dann vom infizierten Unternehmen Lösegeld (englisch: ransom) für die Entschlüsselung zu erpressen.
Betreffen Ransomware-Angriffe auch kleinere Krankenhäuser?
Ja. Die Bundesregierung rät auch Nicht-KRITIS-Einrichtungen eindringlich, sich bereits vor einem Angriff mit staatlichen Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik in Verbindung zu setzen und verschiedene Maßnahmen zur Verbesserung der Informationssicherheit einzuführen.
Hier bringt die neue EU-weite NIS-2-Verordnung verpflichtende Maßnahmen zur Verbesserung der Cybersicherheit. Die Verordnung betrifft alle medizinischen Einrichtungen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz bzw. einer Bilanzsumme von mehr als zehn Millionen Euro.
Warum ist der 24/7-Zugang zu Daten für KRITIS-Krankenhäuser so wichtig?
Die schnelle Diagnostik insbesondere in der Notfallaufnahme von KRITIS-Häusern ist ohne Daten kaum möglich.
Können die Mediziner nicht auf Patientenakten, Röntgenbilder und Co. zugreifen, gefährdet das Menschenleben. Das Gleiche gilt für Operationen und alle Situationen, in denen Ärzte und medizinisches Personal unter Zeitdruck Entscheidungen treffen müssen.
Welche Systeme sind gefährdet?
Prinzipiell ist jedes IT-System gefährdet, ob in der Verwaltung oder der Medizintechnik. Die Deutsche Krankenhausgesellschaft definiert jedoch diverse Systeme als Teil der kritischen Infrastruktur.
Neben dem Krankenhausinformationssystem (KIS) zählt dazu explizit auch das Picture Archive and Communication System, kurz PACS, welches dem Betrachten und Befunden von Röntgen-, CT-, MRT-Bildern und Co dient.
Aufgrund der großen Datenmengen und der hohen Sensibilität der dort verarbeiteten und archivierten Daten sind PACS-Systeme ein attraktives Ziel für Attacken und Verschlüsselungen.
Warum sind von Ransomware verschlüsselte Bilddaten sicherheitsrelevant?
In ihrem umfassenden Papier zu den branchenspezifischen Sicherheitsstandards weist die Deutsche Krankenhausgesellschaft explizit darauf hin, dass der Zugang zu Bilddaten für die Patientensicherheit von gravierender Bedeutung ist insbesondere in zeitkritischen Situationen wie Operationen.
Auch die Integrität der Daten ist eminent. Durch einen Ransomware-Angriff könnten beispielsweise Bilder anderen Patienten zugewiesen werden.
Warum ist ausgerechnet das PACS in Krankenhäusern verwundbar für Cyberattacken?
Der Austausch der Bilddaten läuft in der Regel über die DICOM-Schnittstelle. Diese ist als Kommunikationsstandard zwar bewährt, weißt jedoch unter dem Aspekt der Cyber Security eklatante Mängel auf.
Denn im Normalfall werden vom PACS weder die Kommunikation, noch die gespeicherten Daten verschlüsselt. Auch ist vielen Fällen kein modernes Nutzer- und Rollenmanagement vorhanden, das missbräuchlichen Zugriffen vorbeugt.
Sind Bilddaten darüber hinaus nicht redundant – zum Beispiel in einem gesonderten Archiv gespeichert – erhöht sich das Risiko weiter.
Wie können sich Krankenhäuser vor Cyberattacken schützen?
Die schlechte Nachricht: Selbst bei der Einhaltung aller Best Practices zur „Cyber-Hygiene“ gibt es keinen 100-prozentigen Schutz. Zu diesen Best Practices zählen beispielsweise die Nutzung starker Passwörter, Maßnahmen für den physischer Zugriffsschutz, ein Security Information & Event Management (SIEM) und ein Security Operation Center (SOC).
Die gute Nachricht: Alle medizinischen Einrichtungen können dennoch die wirtschaftlichen und menschlichen Auswirkungen eines Ransomware-Angriffs deutlich minimieren, indem sie betriebsrelevante Daten wie beispielsweise ihre Bilddaten mehrfach, georedundant und vor allem auch im Falle eines Cyberangriffs sofort verfügbar sichern. Solche Business Continuity Management (BCM) Konzepte gehen weit über eine einfache Backup-Kopie hinaus.
Wie sieht ein schlüssiges Notfallkonzept aus?
Als Experten für ein sicheres Bilddatenmanagement im Krankenhaussektor empfehlen wir insbesondere KRITIS-Häusern ein umfassendes Notfallkonzept für Bilddaten für den Fall eines erfolgreichen Cyberangriffs.
Die wichtigsten Punkte haben wir in einer Checkliste für Sie zusammengefasst:
- Unabhängiges Bilddaten-Archiv, das im Ernstfall binnen Minuten den Zugriff auf die parallel zum Normalbetrieb gesicherten Daten erlaubt – auch wenn das PACS oder KIS ausfallen.
- Georedundante Sicherung der Bilddaten außerhalb des Krankenhauses. Georedundant bedeutet, dass die Daten auf Servern in unterschiedlichen Regionen in Deutschland liegen. So sind die Daten auch dann abrufbar, wenn in einer Region beispielsweise im Umkreis eines Krankenhauses der Strom ausfällt oder es zu einer Naturkatastrophe kommt.
- Verschlüsselte Datenkommunikation und -speicherung im Einklang mit dem Datenschutz und der DSGVO.
- Zugriff auf die Bilddaten über einen Cloud-PACS in Kombination mit mobilen Daten-Hotspots sichern einen schnell hochfahrbaren Notfallbetrieb.
- Funktionierendes Bilddatenmanagement in Krisensituationen – selbst wenn das Krankenhaus-Netzwerk, wichtige Applikationen oder die gesamte IT-Infrastruktur ausfallen
Welche gesetzlichen Maßnahmen müssen Krankenhäuser ergreifen?
Die Bundesregierung hat für KRITIS-Häuser in der KRITIS-Verordnung (BSI-KritisV) Mindeststandards für die Cybersicherheit und das Business Continuity Management (BCM) gesetzlich definiert. Darüber hinaus gibt es weitere rechtliche Vorschriften wie zum Beispiel
- Das IT-Sicherheitsgesetz 2.0 erweitert die KRITIS-Regulierung von 2015 und schreibt seit Mai 2021 ausdrücklich den Einsatz von Systemen vor, die Cyberangriffe erkennen (§ 8a Abs. 1a BSIG). Damit sollen digitale Angreifer erkannt werden, die zwar bereits im Netzwerk sind, aber noch nicht mit der Verschlüsselung der Daten begonnen haben.
- Mit der NIS-2-Richtlinie der EU erweitert Deutschland die BSIG-Maßnahmen erheblich – und auch den Kreis der Institutionen, die sich verstärkt um ihre IT-Sicherheit kümmern müssen. NIS-2 soll in Deutschland bis Oktober 2024 umgesetzt werden durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).
- Das KRITIS-Dachgesetz reguliert ab 2024 die Resilienz und physische Sicherheit Kritischer Infrastrukturen. Mit diesem Gesetz setzt Deutschland die Anforderungen der EU-Direktive „EU RCE“ um. Dieses Gesetz sieht zusätzliche Pflichten für Betreiber Kritischer Anlagen vor und verschärft insbesondere die Anforderungen an das BCM.
Welche Krankenhäuser fallen unter die gesetzlichen Regelungen?
Unter die gesetzlichen KRITIS-Regelungen fallen in Deutschland rund 120 größere Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr.
Durch NIS-2 sind jetzt aber auch Gesundheitseinrichtungen mit mehr als 50 Mitarbeiterinnen und Mitarbeitern verpflichtet, sich um schärfere Cyber-Sicherheitsmaßnahmen zu kümmern – das betrifft nach unserer Einschätzung fast jedes Krankenhaus in Deutschland.
Unverbindliche Beratung
Sie haben Fragen?
Sie möchten mehr über uns Notfallkonzept für Bilddaten erfahren, um Ihr Business Continuity Management zu verbessern? Vereinbaren Sie gerne einen Termin für ein persönliches Gespräch mit mir.
Weitere Beiträge, die sie interessieren könnten.
Ausfallsicherheit im Krankenhaus: Was NIS-2 bringt
Wie können Kliniken die Datensicherheit stärken und sich vor Cyberattacken schützen? Durch die NIS-2-Regelung müssen sich damit jetzt auch kleine und mittlere Krankenhäuser befassen.
Die Cloud im Krankenhaus und der Arztpraxis: Ein Vergleich der Optionen
Die Cloud ermöglicht den Aufbau einer modernen IT-Infrastruktur im Krankenhaus. Verschaffen Sie sich in einen Überblick über die Unterschiede der Optionen Private Cloud, Public Cloud und SaaS.
Entdecken Sie zehn Gründe, warum die Cloud-Technologie für Krankenhäuser nicht nur effizienzsteigernd, sondern auch unabdingbar für eine moderne Healthcare-IT ist – spätestens mit dem DigiG. Lesen Sie unseren Argumentationsleitfaden.