In den vergangenen zwei Jahren hat die Corona-Pandemie wie ein Booster für die Digitalisierung gewirkt. Gerade im Gesundheitsbereich ist das aber auch mit Gefahren verbunden. Patientendaten sind besonders schützenswert und sensibel. Deshalb war und ist das Gesundheitswesen ein empfindliches und besonders kritisches Angriffsziel. Dort wo die Gesellschaft am verwundbarsten ist, in der Versorgung Kranker und Hilfsbedürftiger, wird Cybersicherheit zur Überlebensfrage.
Diesen Handlungsbedarf hat der Gesetzgeber erkannt und bereits mit dem IT-Sicherheitsgesetz in 2015 bzw. der BSI-Kritis-Verordnung in 2017 Universitätskliniken und Großkrankenhäuser dazu verpflichtet entsprechende Sicherheitsmaßnahmen umzusetzen. Doch auch für Krankenhäuser unterhalb des Schwellenwertes aus der BSI-KritisV, der aktuell bei 30.000 stationären Patienten p.a. liegt, rückt IT- und Informationssicherheit immer stärker in den Fokus. Im September 2020 wurde das Patientendaten-Schutz-Gesetz (PDSG) beschlossen; ein Artikelgesetz, welches viele andere Gesetze verändert bzw. ergänzt. Darunter auch den § 75c SGB V. Dort heißt es in einer Ergänzung:
- „Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind“.
Somit müssen nunmehr alle Kliniken/Krankenhäuser bis 01.01.2022 angemessene Maßnahmen zur Erhöhung der IT-Sicherheit und damit die branchenspezifischen Sicherheitsstandards (B3S) für die Gesundheitsversorgung im Krankenhaus umsetzen. Doch wie sieht es in der Praxis aus? Jan Arfwedson, Leiter des eHealth-Hubs des Cyber-Sicherheitsrat Deutschland e.V.* und Geschäftsführer des Healthcare IT-Security-Spezialisten AuraSec GmbH schildert seine Sicht der Dinge aus dem praktischen Alltag.
Sind die Kliniken tatsächlich in der Lage, IT-Sicherheit angemessen umzusetzen und wie es das Gesetz fordert gegen Cyberattacken entsprechend gewappnet?
Für die Unternehmensleitungen bzw. Vorstände und Geschäftsführer ist IT- und Informationssicherheit bis dato überwiegend kein strategisches und somit zu priorisierendes Thema. Informationssicherheit ist für die Betroffenen häufig abstrakt und nicht greifbar – das fängt schon mit dem Begriff bzw. der Terminologie an. Mit IT-Sicherheit wird häufig technische Sicherheit wie Firewall und Virenschutz assoziiert und diese haben die Krankenhäuser, daher wird hier kein unmittelbarer Handlungsbedarf gesehen. Vielen Krankenhäuser-Managern sind die gesetzlichen Anforderungen nicht oder nicht in der erforderlichen Tiefe geläufig. Zahlreiche Kliniken sind längst noch nicht da, wo sie in Sachen Cybersicherheit sein müssten und hinsollten.
Woran liegt das Ihrer Meinung nach?
Eine Ursache ist die unpräzise Terminologie in den gesetzlichen Vorgaben des §75c Sozialgesetzbuch V, die Sie zitieren. „Angemessene organisatorische und technische Vorkehrungen“ – was bedeutet das überhaupt? Diesen Satz muss man mehrfach lesen, um zu erahnen, was der Gesetzgeber damit meint. Der Gesetzgeber erwartet nämlich hinter dieser Anforderung die Implementierung eines sog. Informationssicherheits-Managementsystems (ISMS). Da braucht es erst mal einen Übersetzer, der dem Krankenhaus-Chef sagt, was da genau zu tun ist. Da beginnt das Dilemma, erst mal aufklären zu müssen. Dadurch hat das Thema IT-Sicherheit leider nicht den Stellenwert auf der Agenda der Kliniken, den es haben müsste. Andere Dinge wie das Krankenhauszukunftsgesetz (KHZG) und die Corona-Pandemie lenken zusätzlich davon ab. Der Handlungsbedarf wird nicht immer gesehen, oder das Thema in die Zukunft geschoben.
Sie sehen die deutschen Kliniken also im Verzug in punkto Cybersicherheit?
Durchaus, denn wir brauchen heute resiliente IT-Infrastrukturen in den Krankenhäusern und die Implementierung eines ISMS dauert für sich schon mindestens ein Jahr. Viele Krankenhäuser verknüpfen die Themen KHZG mit dem § 75c SGB V und beginnen erst mit der Umsetzung von Sicherheitsmaßnahmen, wenn eine mögliche Förderung bewilligt ist. Wenn man davon ausgeht, dass dies je nach Bundesland noch bis ins 3. Quartal 2022 andauern kann, dann ist das ein Verzug, den wir uns aufgrund der aktuellen und zunehmenden Cyberbedrohungslage nicht leisten können. Selbst KRITIS-Häuser, die sich bereits seit 2017 mit den Anforderungen auseinandersetzen, sind lange noch nicht dort, wo sie hinmüssen. Wichtig wäre es, zeitnah zumindest eine Bestandaufnahme oder eine GAP-Analyse durchzuführen. In der Praxis bekomme ich häufig zu hören: „Wir sind eigentlich ganz gut aufgestellt.“ Da muss ich erst mal Schmunzeln. Denn die meisten Kliniken haben gar kein Gefühl dafür, wo sie stehen und wie dringend notwendig die Umsetzung der gesetzlich vorgebebenen Maßnahmen ist.
Wie weit sind die Kliniken heute bei Thema Cybersicherheit wirklich?
Wir arbeiten in der Praxis mit dem Branchenspezifischen Sicherheitsstandard sowie der internationalen Norm ISO/IEC 27001 und bewerten je Anforderung den Informationssicherheits-Reifegrad, der reicht von Null bis Fünf. Die von uns untersuchten Kliniken haben im Durchschnitt einen Reifegrad von 1,01 – also gerade mal 20 Prozent erreicht. Der IT-Betrieb, also das Brot- und Buttergeschäft des IT-Leiters schneidet im Schnitt mit 1,2 ab, obwohl die Anforderungen ja eigentlich die Themen sind, die es schon immer gab, wie z.B. Backupmanagement, Schwachstellen- und Patchmanagement. Eine zusätzliche Achillesferse in Punkto Cybersicherheit ist hier das Lieferantenmanagement, welches im Schnitt einen Reifegrad von nur 0,65 erreicht. IT-Verantwortliche sind häufig der Meinung, dass outgesourcte Leistungen in der Verantwortung des Dienstleisters liegen und dieser für die IT-Sicherheit sorgen muss. Allerdings ist das ein Trugschluss, denn das Krankenhaus muss dem Dienstleister Vorgaben zur IT-Sicherheit machen, sodass das Sicherheitsniveau beim Dienstleister nicht unterhalb dem des Krankenhauses liegt. Ist der Lieferant, etwa ein KIS-Hersteller oder ein IT-Systemhaus, ein Angriffsziel, muss hier die Klinik für die Folgen geradestehen.
Wie sollen die kleineren Kliniken denn da Schritt halten angesichts der vielen Aufgaben?
Das dürfte eine sehr große Herausforderung werden. Bei Personalressourcen und Budget liegen bereits Welten zwischen den KRITIS-Häusern und kleinen Kliniken. Die gesetzlichen Vorgaben haben bislang keine Regelung geschaffen, den beschränkten Möglichkeiten der kleineren Häuser gerecht zu werden. Das führt auch zu Frustration seitens der Betroffenen. Einen finanziellen Rettungsanker stellt hierbei das Krankenhauszukunftsgesetz (KHZG) dar, welches unter anderem Maßnahmen zur Erhöhung der IT-Sicherheit fördert. Aber selbst wenn Investitionen durch das KHZG gefördert würden, fehlt es an der langfristigen Finanzierung der Betriebskosten incl. Personal. Ferner deckt das KHZG die Bedarfe der Krankenhäuser nicht ab. Der Investitionsbedarf von Krankenhäusern im Kontext IT-Security bewegt sich teilweise deutlich im zweistelligen Millionenbereich. Es besteht also auch über das KHZG hinaus eine deutliche Finanzierungslücke!
Cybercrime, Cybersabotage und Cyberspionage – was sind derzeit die gefährlichsten Attacken?
Die aktuell größte und häufigste Bedrohung für Krankenhäuser stellt sicherlich Ransomware dar. Dabei wird mittels Verschlüsselungstrojanern der digitale Datenbestand verschlüsselt und ein Lösegeld gefordert. Die durchschnittlichen Lösegeldforderungen bei Ransomware-Angriffen betragen 480.000 €. Ein weiterer Aspekt bei Ransomware ist, dass die abgegriffenen Patientendaten dann meist im Darknet auftauchen, was das Ganze auch zu einem Datenschutzproblem werden lässt. Weniger häufig sind wirklich gezielte APT-Angriffe, das ist die Abkürzung für Advanced Persistant Thread. Das ist richtiges Hacking, bei welchem jemand gezielt eine bestimmte Organisation angreift, um beispielsweise Forschungsdaten abzugreifen oder auch zu manipulieren. Wir von AuraSec beschäftigen professionelle Penetration Tester, auch als Ethical Hacker bezeichnet. Dabei begeben wir uns im Auftrag von Krankenhäusern in die Position des Angreifers und identifizieren Sicherheitslücken in der Krankenhaus IT-Infrastruktur, bevor es ein bösartiger Hacker tut. Dabei stellen wir bei Krankenhäusern immer wieder fest, dass zum Beispiel die TLS-Verschlüsselung schwachstellenbehaftet ist, veraltete Software zum Einsatz kommt oder Default-Passwörter nicht geändert wurden. Solche Schwachstellen ermöglichen das Mitschneiden und Abgreifen der Kommunikation und Daten, die Kompromittierung und Übernahme der Systeme im Netzwerk bis hin zur kompletten Domain. Da wird dann der Hacker, wenn er in das System kommt, zum Super-Administrator, der alles kontrollieren kann.
Warum ist Cybersicherheit kein lästiges Nebenthema, sondern der Prozessenabler für ein funktionierendes Gesundheitssystem?
Durch die zunehmende Vernetzung und Digitalisierung im Gesundheitswesen steigen Risiken und die Abhängigkeit von der IT, daher sollte IT- und Informationssicherheit immer mit betrachtet werden. Das nennt man „Security by design“ Das ist aber aktuell selten der Fall. Der Gesetzgeber hat das erkannt und fordert im Rahmen des Krankenhauszukunftsgesetz (KHZG), dass mindestens 15 Prozent der Fördersumme, beispielsweise bei der Einführung eines Patientenportals auf IT-Sicherheitsmaßnahmen entfallen müssen. Ferner gibt es mit dem Fördertatbestand 10 ein Set an förderfähigen IT-Sicherheitsmaßnahmen, beispielsweise für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) oder die Umsetzung technischer Sicherheitslösungen.
Das Problem dabei: Der Fördertatbestand 10 im KHZG ist bei Nicht-Umsetzung nicht mit Sanktionen bewehrt – im Gegensatz zu anderen Themen, die sanktionsbewehrt und somit relevanter für die Einnahmen der Klinik sind. Und sinkende Einnahmen fürchten die Kliniken sehr. Die negative Folge ist: IT-Sicherheit wird auf die lange Bank geschoben. Das verdeutlichen auch aktuelle Zahlen des Bundesamtes für Soziale Sicherheit: Nur zwölf Prozent der Kliniken haben Mittel nach Fördertatbestand 10 beantragt. Das aber passt nicht zu den Vorgaben des §75c Sozialgesetzbuch V und zu der aktuellen Situation. Es besteht ein enormer Finanzierungsbedarf im Bereich Informationssicherheit, aber durch die begrenzten Mittel im KH-Zukunftsfond und der Priorisierung der übrigen Fördertatbestände wird vergleichsweise wenig dafür von den Kliniken aus den Fördertöpfen abgerufen.
Wie viel müssten Kliniken denn im Durchschnitt in die Cybersicherheit investieren?
4,3 Milliarden Euro haben Bund und Länder im KHZG für Digitalisierungsmaßnahmen und die Erhöhung der IT-Sicherheit bereitgestellt. Aber die sind inzwischen schon fast vollständig verteilt, und für erforderliche IT-Sicherheitsmaßnahmen ist so gut wie nichts mehr übrig. Ich bin gespannt, wie das die kommenden Jahre läuft. Denn das KHZG ist in Punkto IT-Sicherheit ohnehin nur ein Tropfen auf den heißen Stein. Auch hierzu ein paar Zahlen, die dies verdeutlichen: Laut einer Studie der Deutschen Krankenhausgesellschaft verursacht die Umsetzung des Branchenspezifischen Sicherheitsstandards (B3S) für die med. Versorgung initiale Mehrkosten in Höhe von ca.1,5 bis 2Millionen Euro pro Klinik. Im laufenden Betrieb eines Informationssicherheitsmanagements entstehen, insbesondere aufgrund des erhöhten Personalbedarfs, jährliche Mehrkosten in Höhe von ca. 500-600.000 EUR pro Jahr, die nicht in den bisher kalkulierten Budgets für Informationstechnik enthalten sind. Rechnet man die 4,3 Milliarden und die 15 Prozent davon für die IT-Maßnahmen auf die Zahl der Kliniken um, stehen pro Haus etwa 360.000 Euro zur Verfügung – auch wenn das in der Praxis anders verteilt wird. Dazu kommt: Es werden insbesondere Investitionen in neue technische Sicherheitslösungen getätigt, aber die Betriebskosten durch Personal, aber auch die Folgekosen werden im KHZG über 2024 hinaus nicht berücksichtigt. Dabei gibt es einen dauerhaften Finanzierungsbedarf, sodass die Krankenhausfinanzierung auch über KHZG bzw. 2024 hinaus weitergedacht werden muss.
Kennen Sie Beispiele aktueller Attacken auf Kliniken und Gesundheitseinrichtungen und welche Folgen hatten diese?
Das Klinikum Fürth und das Uniklinikum Düsseldorf sind beispielsweise zwei KRITIS-Häuser, die massiv Opfer von Cyberattacken wurden. Da kommt man ins Grübeln, denn als Kritis-Häuser, die sich mit dem Thema bereits mehrere Jahre auseinandersetzen müssen, würde man mehr Resilienz erwarten. Entweder hatten die ihre Hausaufgaben nicht gemacht, oder die Vorgaben aus dem Branchenspezifischen Sicherheitsstandard sind unzureichend. Vermutlich ist es jeweils ein Mix von Beidem. Wenn ein Krankenhaus Opfer einer Cyberattacke wird, dann geht digital meist gar nichts mehr. Das liegt vor allem an den flachen Netzwerktopologien und mangelnder Netzwerksicherheit. Dadurch kann sich der Cyberkriminelle bzw. die Schadsoftware ungehindert ausbreiten. Die Auswirkungen einer Cyberattacke sind dann meist, dass Krankenhäuser sich von der Notfallversorgung abmelden, notwendige OPs verschieben und Patienten in andere Kliniken verlegen müssen, wie etwa in Düsseldorf. Das Krisenmanagement, die Einbindung von Forensikern, Ermittlern und zusätzlichen Dienstleistern verursacht hohe Folgekosten. Das geht schnell in die Hunderttausende Euros, ganz abgesehen vom Imageschaden.
Für wie gefährdet halten Sie die Gesundheitswirtschaft und speziell Krankenhäuser?
Lassen Sie es mich so sagen: Es herrscht ein enormer Nachholbedarf im Gesundheitswesen, das hat auch, wie schon gesagt, mit der mangelnden Finanzierung der vergangenen Jahrzehnte zu tun. Teilweise liegen die Krankenhäuser in Punkto IT und Medizintechnik bis zu 20 Jahre hinter dem Stand der Technik zurück. Und daraus resultiert dieser hohe Investitionsbedarf. Dabei muss IT-Sicherheit absoluten Vorrang haben und zu einem strategischen Handlungsfeld die Krankenhaus-Manager werden.
Steht überhaupt genügend Expertise in Form von Experten in Kliniken zur Verfügung, um den perfiden und bestens ausgebildeten Cyberkriminellen Paroli bieten zu können?
Absolut nicht. Ohnehin herrscht in Deutschland branchenunabhängig ein Fachkräftemängel an IT-Sicherheitsexperten. Und im Gesundheitswesen benötigt man noch zusätzliches Spezialwissen, welches man nicht in einem Seminar vermittelt bekommt – da braucht es Erfahrung. Es muss in jeder Klinik ein Informationssicherheitsbeauftragter (ISB) vorhanden sein, der hat den Hut auf und ist unterhalb der Klinikleitung angesiedelt. Auf der anderen Seite steht aber das niedrigere Gehaltsgefüge in Kliniken im Vergleich zur Industrie. Das erschwert die Situation zusätzlich. Der Kampf um die Talente ist daher eine der größten Herausforderungen.
Wie kann eine Lösung aussehen?
Es gibt da keine Patentlösung. Weiterbildung ist ein Weg. Auch ausländische Fachkräfte anzuwerben, wie auch schon in der medizinischen Versorgung gang und gäbe, hilft weiter. Und ein weiterer Ansatz ist es, in den Hochschulen junge Leute für das Gesundheitswesen zu begeistern.
Neben der medizinischen Versorgung, den Laboren, der Pharmaindustrie und dem Pharmahandel gibt es im deutschen Gesundheitswesen immer mehr Start-ups, die mit innovativen Produkten, die Behandlung und Versorgung von Patienten verbessern wollen, etwa mit Digitalen Gesundheitsanwendungen, den DiGAGesundheits-App, die ärztlich verschrieben werden kann und deren Kosten von der Krankenkasse übern… … mehr erfahren. Wie sicher sind die denn?
Auch diese Anbieter müssen ihre Lösungen und Produkte sicher machen. Nachdem es bei den ersten DiGA Sicherheitsmängel gab, legt der Gesetzgeber bei den IT-Sicherheitsanforderungen nach und die formalen Anforderungen an die IT-Sicherheit nehmen deutlich zu. Viele Start-Ups aber auch etablierte Unternehmen haben innovative Ideen, aber der Weg zu einem zugelassenen Medizinprodukt bzw. einer DiGA ist weit, und man muss sich bei den vielfältigen Anforderungen aus Softwareentwicklung, IT-Betrieb und medizinischen Studien zur Wirksamkeit auch um IT-Sicherheit und Datenschutz kümmern. So ist bspw. bei DiGA ab diesem Jahr eine ISO/IEC 2701-Zertifizierung gegenüber dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) nachzuweisen und ab 2023 ist eine zusätzliche BSI-Zertifizierung für die Umsetzung einer technischen Richtlinie „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ (TR 03161) sowie ein zertifizierten Datenschutzmanagementsystem erforderlich. Angemessene Sicherheitsanforderungen zu definieren ist sicher sinnvoll. Wir müssen allerdings darauf achten, die Latte nicht derart hoch zu legen, sodass Innovationen im Keim erstickt werden.
Sollten IT-Experten, Entscheider und Medizinern nicht intensiver zusammenarbeiten, um die geschilderte Situation möglichst schnell zu verbessern?
Unbedingt! Beispielsweise gibt es im Arbeitskreis medizinische Versorgung im UP Kritis keine teilnehmenden Berater und andere externe Experten; gleiches gilt für die Aktivitäten der Deutschen Krankenhausgesellschaft (DKG) beim Thema Informationssicherheit. Wir brauchen aber die Beteiligten alle an einem Tisch. Die Berater und Auditoren, aber auch die Industrie bzw. die Hersteller können Erfahrungen aus der Praxis miteinbringen und das ist das, was wir brauchen. Da können wir mit dem eHealth Hub im Cyber-Sicherheitsrat Deutschland e.V. ansetzen, den Austausch fördern und auch zurückzuspielen, wie gesetzliche Anforderungen greifen, umgesetzt werden und was fachlich/inhaltlich aber auch übergreifend verbessert werden kann. Wir werden hier nur erfolgreich sein, wenn wir das gemeinsam anpacken und strategische Allianzen schmieden.
Wie können Sie Lösungen für eine bessere Informationssicherheit mit Bedarfsträgern Experten und die Politik erarbeiten?
Das Vertrauen auf eine sichere und zuverlässige Gesundheitsversorgung hängt heute vor allem davon ab, dass verschiedene Systeme und IT-Infrastrukturen gut zusammenwirken. Nur mit prozessimmanenten Cybersicherheitsstrategien können Patienten, Beschäftigte und Systeme geschützt werden. Der Schlüssel zu einem verlässlichen Gesundheitssystem liegt in der engen Zusammenarbeit von IT-Experten, Entscheidern und Medizinern. Hier gilt es anzusetzen, in den Dialog mit allen Beteiligten zu gehen und den Krankenhäusern über verschiedene Medien pragmatische Hilfestellung an die Hand zu geben.
*Der Cyber-Sicherheitsrat Deutschland e.V. wurde im August 2012 von namhaften Persönlichkeiten gegründet. Der in Berlin ansässige Verein ist politisch neutral und berät Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit. Zu den Mitgliedern des Vereins zählen große und mittelständische Unternehmen, Betreiber kritischer Infrastrukturen sowie Bundesländer und Bundesinstitutionen, Experten und politische Entscheider mit Bezug zum Thema Cyber-Sicherheit. Über seine Mitglieder repräsentiert der Verein mehr als drei Millionen Arbeitnehmer aus der Wirtschaft und knapp zwei Millionen Mitglieder aus Verbänden und Vereinen.
*Jan Arfwedson
Leiter des eHealth-Hubs des Cyber-Sicherheitsrat Deutschland e.V.* und Geschäftsführer des Healthcare IT-Security-Spezialisten AuraSec GmbH