Prof. Dr. Christian Johner

Autor: Prof. Dr. Christian Johner

Inhaber der Johner Institut GmbH

IT-Sicherheit im Gesundheitswesen

Mittwoch 24. Mai 2017

Über die IT-Sicherheit im Gesundheitswesen wurde viel geunkt. Seit Februar 2016 wissen wir, dass die IT-Infrastrukturen vieler Kliniken einem einfachen Virenangriff nicht gewachsen sind.

Verschaffen Sie sich in diesem Artikel zur IT-Sicherheit im Gesundheitswesen einen Überblick

Update: Regulatorische Anforderungen ergänzt, Beitrag aktualisiert

Was die IT-Sicherheit im Gesundheitswesen besonders macht

Die Bedrohung der IT-Sicherheit beschränkt sich nicht auf das Gesundheitswesen. Dennoch gibt es einige Besonderheiten zu beachten:

  • Menschenleben werden bedroht
    Im Gegensatz zu Angriffen auf die Infrastrukturen von Privatpersonen oder vielen Unternehmen stellen Angriffe auf IT-Infrastrukturen im Gesundheitswesen (z.B. in Kliniken) eine Bedrohung von Menschen, konkret von Patienten dar. Wenn, wie jetzt geschehen, die IT einer Klinik ausfällt, kann sie keine Patienten mehr aufnehmen und muss OPs verschieben. Wenn der Angriff die Beatmungsgeräte einer Intensivstation trifft, können Patienten innerhalb von Minuten versterben.
  • Spezifische Regularien sind einzuhalten
    Die Bedrohung der IT-Sicherheit im Gesundheitswesen ist auch eine Bedrohung des Schutzes höchst vertraulicher Gesundheitsdaten. Auch deshalb, aber nicht nur deshalb, gibt es spezifische Regularien für die Betreiber von Gesundheitseinrichtungen und Hersteller von Medizinprodukten, die Sie im folgenden Abschnitt finden.
  • Viele Kliniken agieren amateurhaft
    In nur wenigen Branchen wird so wenig Geld für die IT investiert. Gemäß dem Motto „you get what you pay for“ arbeitet in vielen Kliniken zu wenig und zu schlecht ausgebildetes Personal in der IT. Zudem schwächen abenteuerliche IT-Infrastrukturen und ein hohes Maß an teilweise unkoordiniertem Outsourcing an verschiedenste Akteure (Dienstleister für Drucker, Firewalls, PCs und Hotline, Hersteller von IT-Systemen und Medizingeräten) die IT-Sicherheit.
  • Hersteller handeln unverantwortlich
    Auch die Hersteller sind für die mangelnde IT-Sicherheit mit verantwortlich. Dazu zählen:

    • „Historisch gewachsene“ System- und Software-Architekturen.
    • Ein mangelndes Verständnis für die Bedrohung der IT-Sicherheit durch die völlige Vernetzung von IT und Medizintechnik.
    • Ein mangelnder Wille, im Risikomanagement die IT-Security systematisch zu analysieren und zu beherrschen.
    • Fehlende Bereitschaft, Verantwortung nicht nur für das eigene Produkt zu übernehmen, sondern für das Produkt im Kontext eines Kliniknetzes.

Diese Einschätzungen fußen auf folgenden Beobachtungen:

  • Durch das berufsbegleitende Masterstudium, das sich auch an die Mitarbeiter der Krankenhaus-IT und von Medizinprodukteherstellern wendet, sind wir über den Arbeitsalltag sehr gut informiert.
  • Als Berater und Auditoren kennen wir die System-Architekturen von hunderten Informationssystemen und Medizinprodukten.
  • Die Probleme existieren tatsächlich. Die IT-Infrastrukturen von Kliniken kollabieren reihenweise. Mehr dazu weiter unten.
  • Andere Experten teilen diese Einschätzungen, wie ein Blogger von Silicon oder der Vorsitzende der Verbandes der KH-IT-Leiter (Beitrag im KH-IT-Journal).

Regulatorische Anforderungen an die IT-Sicherheit im Gesundheitswesen

a) Anforderungen an die Hersteller

Im europäischen Rechtsraum gibt es im Gegensatz zu den USA nur wenige konkreten Vorgaben, wie IT-Security bei Medizinprodukten zu adressieren ist. Dazu zählen:

  1. Die MDR fordert im MDR Anhang I, 17.2. explizit eine „State-of-the-art“ Software-Entwicklung auch mit Bezug zur IT-Sicherheit. Die Hersteller müssen nun die Anforderungen an Maßnahmen der Betreiber mit Bezug zur IT-Sicherheit bestimmen. Selbst die Forderung nach Datenschutz macht sich die MDR zu eigen.
  2. Die ISO 13485:2016 hat in ihrer aktuellen Ausgabe den Schutz vertraulicher Daten und die Festlegung und Überprüfung der Anforderung an verbundene Medizinprodukte als neue Forderungen ergänzt.
  3. Die IEC 60601-1 fordert, dass Risiken aufgrund „fehlender Datensicherheit, insbesondere Anfälligkeit für Verfälschung, unerwünschte Wechselwirkung mit anderen Programmen und Viren“ beherrscht sein müssen.
  4. IEC 62304: Mit dem Ammendment I (2016) der IEC 62304 fordert die Norm, dass die Software-Anforderungen Anforderungen an die IT-Sicherheit beinhalten müssen.
  5. ISO 14971: Im Risikomanagement (z.B. konform mit ISO 14971) mussten schon immer alle Risiken adressiert werden, somit auch Risiken, die durch mangelnde IT-Sicherheit verursacht werden. Dies schließt Cyber-Angriffe mit ein.
  6. Die FDA stellt konkrete Anforderungen, die Sie in vier(!) Guidance Dokumenten zum Thema Cyber-Security veröffentlich hat. Die FDA referenziert dabei auch den AAMI 57 zum IT-Security-Risk-Management nach ISO 14971.
Weiterführende Informationen

Lesen Sie hier mehr zu den FDA Cybersecurity Guidances.

b) Anforderungen an die Betreiber

Daneben gibt es nationale Vorschriften wie beispielsweise das BSI-Gesetz sowie weitere Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) speziell an das Gesundheitswesen. Im Zuge der „Nationalen Strategie zum Schutz kritischer Infrastrukturen“ (KRITIS-Strategie) wurde auch das IT-Sicherheitsgesetz in Kraft gesetzt, das das Gesundheitswesen explizit mit einschließt.

Durch die stärkere Vernetzung werden Medizinprodukte-Hersteller zunehmend auch zum Betreiber, so dass die MPBetreibV zum tragen kommt, die den sicheren Betrieb fordert.

Die IEC 80001 ist eine Norm, die das Risikomanagement beim Betrieb von IT-Systemen im Gesundheitswesen beschreibt. Die Daten- und Systemsicherheit (IT-Security) ist eines der drei expliziten Schutzziele. Relevant in diesem Kontext ist insbesondere die IEC 80001-2-8 („Application guidance — Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2“).

Weiter müssen die Betreiber den Datenschutz gewährleisten. Die IT-Sicherheit ist eine notwendige, aber nicht hinreichende Voraussetzung dafür.

c) Branchenunspezifische Anforderungen

Auch die folgenden Gesetze haben einen direkten Bezug zur IT-Sicherheit:

Beispiele für die Verletzung von IT-Security

Eine Übersicht über IT-Sicherheitsprobleme im Gesundheitswesen liefert ein Beitrag von Doccheck. Die AAMI berichtet, dass auch für die FDA die Ransomware-Angriffe im Mai 2017 (Wanna Cry) ein Weckruf seien, der auf die Verletzlichkeit der IT-Systeme im Gesundheitswesen aufmerksam mache.

a) Nachlässigkeiten der Medizintechnikhersteller

Offensichtlich die Forderungen nach Risikomanagement und die Forderungen des FDA Cybersecurity Guidance ignorierend, finden sich ständig neue Bedrohungen durch Medizinprodukte, die elementare Sicherheitsstandards ignorieren.

  • Die Hospira Infusionspumpen weisen eine fatale Telnet-Lücke auf, wie heise.de mehrfach und auch hextech.com berichtet [1], [2], [5].
  • Tausende Medizingeräte sind aus dem Internet angreifbar, wie heise.de und golem.de übereinstimmend berichten [3], [4].
  • Zunehmend werden Schlampereien von Herstellern beim Schreiben und Updaten von Firmware ein Problem [6].

b) Cyber-Angriffe auf Krankenkassen

In einigen Blogs hatte ich meiner Sorge Ausdruck verliehen, dass es nur noch eine Frage der Zeit ist, bis auch Krankenhäuser und Klinikketten durch Datendiebe erpresst werden. Leider hatte ich einen wichtigen erpressbaren Teilnehmer des Gesundheitswesens übersehen: Die Krankenkassen. Jetzt ist es passiert, wie die Süddeutsche und der Spiegel berichten [7], [8].

c) Cyber-Angriffe auf Krankenhäuser

Die IT-Sicherheit im Gesundheitswesen wird immer stärker bedroht, weil die die Hacker den Wert der Daten erkannt haben [9].

Oft sind die Krankenhäuser nicht gezieltes Opfer von Cyberangriffen. Vielmehr steht deren unzureichend gewartete IT-Infrastruktur mit veralteten und nicht gepatchten Betriebssystemen wie offene Scheunentore den Angriffen hilflos gegenüber:

  • Im Februar 2016 legt der Computervirus Locky mehrere Kliniken in Nordrhein-Westfalen lahm. Dies berichten beispielsweise rp-online, die WAZ sowie heise.de. Ein Kommentator schreibt, dass nicht zwei, sondern 48(!) Kliniken betroffen seien. Ein Experte von Kaspersky bestätigt diese Schwachstellen (Artikel im KH-IT-Journal).
  • Diese Angriffe beschränken sich nicht auf Deutschland. Ein Krankenhaus in Kalifornien musste Millionen an Lösegeld bezahlen berichtet der Inquisitr.
  • Im Mai 2017 trifft es erneut Krankenhäuser, insbesondere die des britischen Gesundheitssystems NHS [10, 11]. Dieses Mal heißt der Virus „Wanna Cry“.

Bereits vor Jahren hat es das Miami Medical Centre in Queensland, Australien getroffen. Hacker aus Osteuropa haben die Patientendaten im KIS verschlüsselt. Wenn die Klinik wieder darauf zugreifen will, müsste sie Lösegeld bezahlen, wie ABC berichtet. Dass diese „Geschäftsidee“ an Popularität gewinnt, wundert mich nun gar nicht. Ob die Angst davor auch eine Motivation dafür war, die IEC 80001 zu schreiben und die Daten- und Systemsicherheit als ein Schutzziel zu formulieren, weiß ich nicht. Es war sicher eine gute Idee.

Lange beschränkten sich Cyber-Angriffe auf andere Branchen wie die Unterhaltungs- und Autoindustrie. Das Manager-Magazin gibt eine Übersicht über die größten Angriffe.

IT-Sicherheit: Nicht nur durch Ransomware

 

d) Beeinträchtigung der IT-Sicherheit durch die NSA

Nicht nur Verschwörungstheroretiker lassen sich darüber aus, welche Möglichkeiten die NSA nutzt oder nutzen kann, dadurch dass die IT-Sicherheit im Gesundheitswesen so löchrig ist. Auch dazu finden Sie mehr in einem Artikel zur IT-Sicherheit (unabhängig vom Gesundheitswesen).

Auch für die Wanna-Cry Angriffe gibt man der NSA eine Mitschuld: Sie hatte die Sicherheitslücke in Windows erkannt und für nachrichtendienstliche Aktivitäten ausgenutzt und nicht einmal dann an Microsoft gemeldet, als ihr die Spionagewerkzeuge gemeldet wurden.

Umsetzung der IT-Sicherheit

Bitte lesen Sie einen Artikel über die Mechanismen zur Umsetzung der IT-Sicherheit.


Kategorien: Health IT & Medizintechnik
Tags:

Kommentar schreiben