Gefürchtet und doch unterschätzt: So fassen zahlreiche Studien die Gefahr eines Cyberangriffs durch die eigene Belegschaft zusammen – wobei die Mitarbeiter auch unfreiwillig zu Mittätern werden können. „Das größte Risiko besteht in unbedachten Handlungen von Mitarbeitern“, erklärt Jürgen Flemming vom Bundesverband der Krankenhaus-IT-Leiterinnen und -Leiter.
Ingo Buck ist Geschäftsführer der Imprivata OGiTiX GmbH – ein Unternehmen mit Schwerpunkt auf Identitäts- und Zugangsmanagement-Lösungen. Entsprechend viele Beispiele, warum Mitarbeiter zum Sicherheitsrisiko für Krankenhäuser werden können, kennt Buck. „Ich habe schon Kennwörter, notiert auf Notebooks, erlebt“, erzählt er. „Bei der Patientenversorgung im Krankenhaus muss es schnell gehen.“ Sicherheitsmechanismen dürften deshalb nicht als Hürde wahrgenommen werden, da Mitarbeiter diese sonst umgehen – zum Beispiel, indem der Account von Kollegen genutzt wird oder der Bildschirm gleich ohne Passwortsperre offenbleibt.
Nun mag Buck als Unternehmer allzu deutlich auf ein Problem hinweisen, für das er die passende Lösung anbietet. Dass der Gesundheitssektor ein beliebtes Ziel für Cyberkriminelle ist, gilt trotzdem als Binsenweisheit. Vor kurzem erinnerte Holger Münch, Präsident des Bundeskriminalamts (BKA), daran, dass Krankenhäuser, Krankenkassen, Sozialdienste und IT-Dienstleister für entsprechende Einrichtungen zu einem zunehmend beliebten Ziel für häufig ausländische Banden werden.
Wenn Accounts nicht deaktiviert werden
Professionell agierende Cyberkriminelle treffen dann auf einen Sektor, der sich gerade etwas von der Pandemie erholt hat, bei dem die Digitalisierung rasant voranschreitet und der chronisch unter Personalmangel leidet. Und so sieht Buck vor allem die Management-Ebene in der Pflicht. „Oft sind die Risiken und gesetzlichen Vorgaben den Verantwortlichen nicht ausreichend bewusst. Da geht es darum, Awareness zu schaffen“, sagt er.
Flemming verweist auf Aufklärungsaktionen und Schulungen unter Führung der Informationssicherheitsbeauftragten (ISB). Deren Aufgabe ist es, die Leitungsebene bei der Informationssicherheit zu unterstützen und sich um die Absicherung aller Arten von Informationen zu kümmern. Die Einführung von Identity Management Systemen (IAM) erfordere dann die Zusammenarbeit mehrerer Fachbereiche wie der IT, der Personalabteilung und Pflegeleitung, sagt Buck.
Neben Mitarbeitern, die infizierte Mails oder Dateien öffnen, besteht das Risiko von Angriffen innerhalb des Hauses. Wie Flemming sagt, sei das Risiko bewusst bösartiger Handlungen der Mitarbeiter aber erheblich kleiner und könne bei Kenntnis der eigenen Mitarbeiter gut eingegrenzt werden. „Aber ganz ausschließen kann man das nie.“ Buck ergänzt: „Auch die Mitarbeiter der IT-Abteilungen können zu einem Sicherheitsrisiko werden.“ Da gehe es um die Verwaltung von Berechtigungen – Nutzerkonten würden zum Beispiel kopiert oder die Accounts von Mitarbeitern, die das Haus verlassen haben, nicht deaktiviert.
Viele Vorgaben bereits verpflichtend
„Berechtigungen aller Mitarbeiter müssen an ihrer üblichen Tätigkeit ausgerichtet werden, weitergehende Rechte müssen jeweils explizit abgestimmt und erteilt werden“, sagt deshalb Flemming. Software, die neue Mitarbeiter erkennt, die richtigen Zugänge automatisch einrichtet oder bei Austritt den Zugang sperrt, kann hier die Arbeit erleichtern. Bei Accounts aktiver Mitarbeiter kann der Authentifizierungsprozess durch eine Karte ergänzt werden, die an das Notebook gehalten wird, um sich einzuloggen.
Wird nun zum Beispiel ein Prominenter behandelt, kann der Zugriff auf dessen Gesundheitsdaten zusätzlich durch eine PIN gesichert werden. Auf technischer Ebene würden zudem IT-Sicherheitssysteme eingesetzt und die IT-Architektur so ausgelegt, dass eine mögliche Infektion sich nur mit großem Aufwand im Haus ausbreiten kann, so Flemming.
Die Umsetzung der IT-Sicherheitsvorgaben ist insbesondere für die großen Häuser auch längst reguliert. „Über die einschlägigen Gesetze wie die IT-Sicherheitsgesetze, das BSI-Gesetz und auch die KRITIS-Vorgaben sind nahezu alle Krankenhäuser dazu verpflichtet, ein Informationsmanagement-Sicherheitssystem einzuführen und zu betreiben“, sagt Flemming. Wie es vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) heißt, müssen die Krankenhäuser in Deutschland, die als Kritische Infrastrukturen (KRITIS) definiert werden, Anforderungen bezüglich ihrer IT-Sicherheit umsetzen, die dem Stand der Technik entsprechen.
Der „Sicherheitsfaktor Mensch“ sei ein Teil davon. Entsprechende Maßnahmen sind im aktuellen branchenspezifischen Sicherheitsstandard „Medizinische Versorgung“ beschrieben. Dazu gehören unter anderem die Durchführung von Sensibilisierungs- und Schulungsmaßnahmen, Zutrittsbeschränkungen, Authentifizierungsverfahren inklusive Passwortrichtlinien, Berechtigungskonzepte sowie Regelungen für Fernzugriffe und mobiles Arbeiten.
IT-Sicherheit als Luxus?
„Die Führungskräfte in den Krankenhäusern sind sich der Risiken im Bereich der Informationssicherheit durchaus bewusst“, so Flemming. „Aufgrund der sehr begrenzten finanziellen Mittel besteht aber hin und wieder die Gefahr, dass geeignete Maßnahmen der Mangelverwaltung zum Opfer fallen.“ Doch mit zunehmender Digitalisierung werde dem Management immer stärker bewusst, dass die Verfügbarkeit der IT-Systeme ein überlebenswichtiger Faktor für die Patienten und das Haus ist.
Flemming nennt das Krankenhauszukunftsgesetz (KHZG), in dessen Rahmen zahlreiche Maßnahmen zur Verbesserung der Informationssicherheit umgesetzt würden. „Gerade das KHZG fördert massiv die Digitalisierung der Prozesse im Krankenhaus, damit aber auch die Abhängigkeit von der richtigen Funktion und Verfügbarkeit dieser Systeme“, sagt er. Daher fördere das KHZG explizit Maßnahmen zur Verbesserung der Informationssicherheit.
„Bevor das KHZG beschlossen wurde, war IT-Security häufig ein Luxus für die Krankenhäuser“, sagt Buck. „Es herrscht ein hoher Kostendruck. Viele Vorfälle wurden daher in der Vergangenheit einfach abgeschrieben.“ Aber noch immer herrsche ein relativ geringer Reifegrad an IT-Sicherheit insgesamt, so Buck weiter. Weil im Zuge des KHZG viele Projekte umgesetzt werden können, priorisiere die Management-Ebene vielleicht ein Patientenportal statt Lösungen zur IT-Sicherheit. Trotzdem sieht er ein Umdenken: Weil die Zahl der Angriffe zunimmt und auch der Druck durch die Öffentlichkeit wächst.