Safety und Security: Kliniken im Fokus organisierter Kriminalität (OK)
Dass Krankenhäuser von der OK als „Selbstbedienungsladen“ oder als Investitionsobjekte für das Waschen illegal erworbener Gelder angesehen werden, hat wohl kaum jemand auf dem Schirm. Drucker aus der Geschäftsleitung und andere Geräte mit Speicherplatte könnten bei Wartungsarbeiten zum verhängnisvollen Datenleck werden.
Wartungsverträge müssen daher ebenso sorgsam aufgesetzt sein wie die Prozesse für die Entsorgung von Datenträgern aus PCs, Medizingeräten und Co. Die Schnipselgröße für das Schreddern der Speicher ist in DIN 66399 festgelegt.
Kein Welpenschutz mehr
Das Krankenhaus im Fokus Organisierter Kriminalität und die neuen Anforderungen an die IT-Sicherheit aus dem Patientendaten-Schutz-Gesetz und dem IT-SiG 2.0 waren die brisanten Themen einer digitalen Fortbildungsveranstaltung der FKT-Regionalgruppe Hessen. Wie perfide organisierte und dabei branchenspezialisierte Banden, den „Selbstbedienungsladen“ Krankenhaus für sich nutzen und wie man sich schützen kann und muss, erörterte Thomas Schuy, Senior Consultant Security-IT bei der WISAG Sicherheit & Service Holding GmbH & Co. Im Zentrum seiner Ausführungen stand die vielfach verdrängte Erkenntnis, dass es für Gesundheitseinrichtungen mit ihren hochsensiblen Daten, ihrer kritischen, oft überlebenswichtigen Infrastruktur und der hochwertigen technischen Ausstattung schon lange keinen Welpenschutz mehr gibt.
Gehackt werde alles, was zu hacken ist. Und sind die Cyberkriminellen erst mal eingedrungen, wird an Daten und mittels Lösegeldforderungen gut und oft mehrfach verdient. Zunehmend erfolgen diese Übergriffe nicht mehr nur virtuell. Hybride Angriffe, bei denen entsprechende IT-Tools physikalisch in die Krankenhausnetzwerke eingebracht werden und so direkt im System Daten abgreifen und/oder Ransomware aufspielen, nehmen zu. Mit dem Polo-Shirt eines vermeintlichen IT-Dienstleisters und ein bisschen Frechheit komme man im Krankenhaus immer noch schnell und problemlos in hochkritische Bereiche, warnt Schuy. Ebenso einfach sei es, unbehelligt medizintechnische Geräte von beachtlichem Wert aus Krankenhäusern zu entwenden. In rund 20 Minuten – das ist die Zeit, bevor Security-Prozesse greifen – entwenden Profis aus Krankenhäusern schnell mal Ultraschallgeräte, Endoskope und andere hochwertige Geräte im Wert von mehreren Millionen Euro. In Ländern mit Einfuhrbeschränkungen (UN-Sanktionsliste) können sie für ihre Beute oft sogar deutlich mehr als den Neugerätepreis erzielen. Dass über Privat Equity im Gesundheitswesen mit seinen immer diffuseren Besitzverhältnissen auch Geld gewaschen wird, scheint auf den ersten Blick kurios, ist aber mittlerweile nicht mehr von der Hand zu weisen.
Diese wenigen Beispiele zeigen: Krankenhäuser bieten eine breite Angriffsfläche. Die „Security-Chain“ müsse entsprechend umfassend und stabil geschmiedet werden, betont Schuy. Medizingeräte, die keine Updates ermöglichen, vom öffentlich zugänglichen Netz zu isolieren, eine strikte Netzwerksegmentierung, Passwort-Tresore (auch für die private Nutzung durch die Mitarbeiter) und eine Incident-Hotline sind hier nur einige wenige Maßnahmen in Richtung der erforderlichen Sicherheit. Die EU-Richtlinie 2019/1937 fordert ferner ein Hinweisgebersystem, ist aber noch nicht in nationales Recht überführt. Eine durchdachte Vorbereitung sei mehrere Zehnerpotenzen günstiger als eine reaktive Vorfallbehandlung. Bei einem Vorfall sollten sich betroffene Häuser in jedem Fall professionelle Hilfe holen und auf keinen Fall Lösegeld bezahlen. „Dadurch werden sie nämlich vom Opfer zum Täter. Außerdem agieren die Cyberkriminellen nach der Devise: „Wer einmal zahlt, zahlt wieder.“
Sicherheit managen
Einen Fragebogen, der vor der Beschaffung von IoT-fähigen Geräten klärt, wie es um die Cybersicherheit und Update-fähigkeit dieser Geräte bestellt ist, legte Fridolin Leibetseder, zuständig für Process & Quality Management bei der x-tention Informationstechnologie GmbH, den Teilnehmern der Veranstaltung ans Herz. Auszufüllen sei dieser Fragebogen unbedingt vor Kaufabschluss, sonst komme man an diese Informationen nicht mehr ran. Leibetseder erörterte die Forderungen des branchenspezifischen Standards für Krankenhäuser insbesondere mit Blick auf vernetzte Technologien. Kontrollierte und dokumentierte Changemanagement-Prozesse bei jeglichen Veränderungen im System einschließlich einer kontrollierten Entsorgung ausgedienter Geräte mit Speicherplatten seien für das (IT-)Sicherheitsmanagement moderner Technologien unerlässlich. Dass es für Krankenhäuser Sinn machen kann, sich auch den B3S für den Bereich Energieversorgung anzusehen, war einer von zahlreichen Praxisnahmen Tipps aus seinem Vortrag.
Maria Thalmayr
Hier geht es zur Präsentation von Thomas Schuy
Hier geht es zur Präsentation von Fridolin Leibetseder