„Die Bedrohung durch Cyberangriffe ist weltweit gestiegen – auch im Gesundheitswesen. Praxen sollten diese Gefahr sehr ernst nehmen und vorbeugende Schutzmaßnahmen treffen“, sagt Roland Stahl, Pressesprecher der Kassenärztlichen Bundesvereinigung (KBV). Noch konkreter wird Jan Arfwedson, Leiter eHealth Hub beim Cyber-Sicherheitsrat Deutschland e.V.: „Ärzte müssen schon per Gesetz in Cybersecurity investieren. Allerdings wird hierbei erfahrungsgemäß die Bedrohungssituation völlig unterschätzt. Wie im privaten Bereich auch denkt man, dass man selbst für Cyberkriminelle womöglich nicht von Interesse ist. Cyberattacken gerade im niedergelassenen Bereich oder beispielsweise auch auf die Lieferkette nehmen massiv zu. Niedergelassene Ärzte, wie alle anderen LeistungserbringerPersonen, Institutionen und deren Verbände, die Versicherte mit bestimmten Gesundheitsleistungen ve… … mehr erfahren auch, müssen sich mit diesen Themen auseinandersetzen.“
Wie man die aktuell mehr als 200.000 medizinischen Einrichtungen in Deutschland besser schützen kann, untersucht auch Christoph Saatjohann, Doktorand im Labor für IT-Sicherheit der FH Münster University of Applied Sciences. Im Fokus seiner Forschung stehen dabei unterschiedliche Aspekte – von der TelematikinfrastrukturSicheres digitales Netz des deutschen Gesundheitswesens … mehr erfahren (TISicheres digitales Netz des deutschen Gesundheitswesens … mehr erfahren), der zentralen Plattform für digitale Anwendungen im deutschen Gesundheitswesen über IT-Sicherheitslücken in kardiologischen Implantaten bis hin zur Entwicklung neuer Werkzeuge und Maßnahmen zur Detektion und Reaktion im Falle eines Cyberangriffs.
Ärzte müssen schon per Gesetz in Cybersecurity investieren. Wie im privaten Bereich auch denkt man, dass man selbst für Cyberkriminelle womöglich nicht von Interesse ist.
Warnung vor gravierenden Sicherheitslücken
Vor den gravierenden Sicherheitslücken im Medizinsektor warnte Christoph Saatjohann gemeinsam mit Kollegen bereits mehrfach. So simulierten sie einen Hackerangriff und wären in mehreren Fällen in der Lage gewesen, sensible Patientenakten ohne Passwortschutz aufrufen zu können. Auf vielen Kommunikationswegen sei eine sichere Ende-zu-Ende-Verschlüsselung nach wie vor nicht gewährleistet, sagt der Wissenschaftler: „Klartext-E-Mails mit sensiblen Daten ohne Verschlüsselung verschicken – das geht so nicht“, mahnt der IT-Sicherheitsexperte. „Auch ein Telefax ist heute nicht mehr datenschutzkonform, da es nicht mehr wie früher analog, sondern über das Internet verschickt wird.“ Bei ihrer Untersuchung stellten sie zudem fest, dass die TISicheres digitales Netz des deutschen Gesundheitswesens … mehr erfahren bei falscher Handhabung des sogenannten TI-Konnektors, dem zentralen Gerät für den sicheren Netzzugang, fehleranfällig ist. „Es gab zwei potenzielle Sicherheitslücken: Einmal bei einer fehlerhaften Konfiguration des Praxisnetzwerks und zum anderen beim Anschluss an ein zentrales Rechenzentrum“, erklärt Saatjohann.
Täglich werden neue Schwachstellen in Software, in Betriebssystemen oder in Anwendungen identifiziert, welche auch durch Cyber-Kriminelle zum Angriff auf LeistungserbringerPersonen, Institutionen und deren Verbände, die Versicherte mit bestimmten Gesundheitsleistungen ve… … mehr erfahren wie Ärztinnen und Ärzte, Psychotherapeutinnen und Psychotherapeuten sowie Zahnärztinnen und Zahnärzte ausgenutzt werden können. Auch die beiden IT-Sicherheitsexperten Martin Tschirsich und Andre Zilch haben seit rund fünf Jahren zusammen mit anderen Experten aus dem Umfeld des Chaos Computer Clubs (CCC) immer wieder eklatante Schwachstellen und Sicherheitslücken aufgedeckt – etwa beim ePA-Testballon Vivy, bei Corona-Apps und -Impfzertifikaten, Praxissoftware, der Arzttermin-Buchungssoftware Doctolib, einem digitalen Arztkalender oder bei VideoIdent-Systemen.
Generell gilt, dass Soft- und Hardwareprodukte immer wieder erhebliche Qualitätsmängel in Bezug auf IT-Sicherheit aufweisen, bestätigt das BSI. Eine Vielzahl gravierender Schwachstellen macht es den Angreifern unnötig leicht. Auch der Faktor Mensch – in Form eines nachlässigen oder vorsätzlichen (Fehl-) Verhaltens von Mitarbeiterinnen und Mitarbeitern – spielt eine große Rolle. Daneben sind vernachlässigte Sicherheits-Updates, unbefugte Kenntnisnahmen und schlechte Dokumentation wenig beachtete, aber reale Gefährdungen. Auch im Bereich der Telemedizin bzw. dem Bereich der elektronischen Dienste im Gesundheitswesen wurde in den letzten Jahren immer wieder auf potenzielle Schwachstellen und Sicherheitslücken hingewiesen.
Wenn Hacker Analyseergebnisse verändern
Diese Gefahren können durch unterschiedliche Motivationen entstehen: Weiterverkauf personenbezogener Daten wie Gesundheitsdaten, Beseitigung eines Wettbewerbsvorteils oder Steigerung der Verhandlungsmacht. „Wir müssen mit allem rechnen, auch mit der missbräuchlichen Verwendung eines Instruments der Telemedizin, um eine Person zu überwachen oder ihr Leben in Gefahr zu bringen“, warnt Robert Wakim, Industry Offer Manager bei Stormshield, einem Anbieter für Cybersicherheitslösungen. Die sechs gängigen Risikokategorien gelten voll und ganz für die Telemedizin, sagt er: Vollständigkeit der Daten, Vertraulichkeit, Verfügbarkeit, Authentifizierung, Rückverfolgbarkeit der Kommunikation und Zuschreibung der Handlungen.
„Vor Kurzem wurde bewiesen, dass ein Hacker Analyseergebnisse ändern kann, die zu einer falschen Diagnose führen. Er kann aber auch den Zugang zu den Patientenakten blockieren oder die medizinischen Geräte lahmlegen – zum Beispiel, um ein Lösegeld zu erpressen.“
Auch die Teleradiologie ist ein Bereich, in dem man sich dieser Herausforderungen deutlich bewusst ist. Robert Wakim erläutert mehrere Szenarien von möglichen Angriffen. „Der Angreifer kann in Echtzeit die Daten ändern, die vom Medizingerät an den Computer des Arztes gesendet werden; er kann auch die Interpretation der Steuerung im Gerät ändern und den Blickwinkel verändern; oder aber er kann die Kontrolle über den Computer des Arztes übernehmen und das Ergebnis, das auf dem Bildschirm angezeigt wird, ändern.“
Auch die 2021 eingeführte Elektronische PatientenakteDigitale Akte unter Datenhoheit des Patienten … mehr erfahren (ePADigitale Akte unter Datenhoheit des Patienten … mehr erfahren), ein Kernelement im Gesundheitswesen, ist gefährdet. Dabei sind die Anforderungen an die Datensicherheit der ePA sehr hoch. Die Daten in der ePA sind in der zentralen TISicheres digitales Netz des deutschen Gesundheitswesens … mehr erfahren sicher abgelegt. Die Inhalte sind zudem verschlüsselt, so dass niemand außer dem Versicherten und den von ihm mit Zugriffsrechten versehenen Personen und Institutionen Inhalte lesen können. Die Server zur Verarbeitung der Daten stehen in Deutschland und unterliegen den europäischen Datenschutzbestimmungen. Auch der elektronische Medikationsplan (eMPDigitales Verzeichnis der Medikamente eines Patienten … mehr erfahren) und die elektronische Patientenkurzakte (ePKA) sollen Teile der ePA werden. Der laufende Betrieb wird durch das Computer Emergency Response Team (CERT) der gematik überwacht und Sicherheitsvorfälle werden dem BSI gemeldet. Diese komplexen Sicherheitsstrukturen sind erforderlich, um den hohen Anforderungen an den Schutz sensibler medizinischer Daten gerecht zu werden.
„Die höchstmögliche Sicherheit muss aber auch für alle Verfahren gelten, die im Zusammenhang mit der ePA genutzt werden“ heißt es aus dem Bundesamt für Sicherheit in der Informationstechnik. So wurde beispielsweise das Online-Identifikationsverfahren VideoIdent von Krankenkassen genutzt, um Versicherte zu identifizieren, die online eine ePA beantragen. Der Chaos Computer Club (CCC) hatte hierin im August 2022 eine Schwachstelle gefunden, woraufhin die Nutzung von Videoident durch die gematik bis zur Behebung der Schwachstellen untersagt wurde. Das BSI warnt bereits seit 2017, dass Videoident nicht sicher sei.
Einfallstore absichern
Laut BSI sind Einfallstore für Cyberkriminelle nach wie vor Angriffe per E-Mail oder auf mit dem Internet verbundene Systeme, in denen Schwachstellen enthalten sind. Die größte Bedrohung ist dabei nach wie vor Ransomware. Ist ein Angriff erfolgreich, verschlüsselt ein Ransomware-Programm alle Daten auf dem Arbeitsplatzrechner und breitet sich auf andere PCs, Workstations sowie Server im Netzwerk aus. Eine erfolgreiche Ransomware-Attacke kann den Praxisbetrieb unter Umständen wochenlang lahmlegen. Diese Blockaden dauern in der Regel so lange, bis die betroffene Praxis den Erpressern das geforderte Lösegeld zahlt oder ihr IT-System neu aufgesetzt hat. Auch wird bei Ransomware-Angriffen neben der Forderung nach einem Lösegeld immer öfter damit gedroht, zuvor gestohlene Patientendaten zu veröffentlichen, sollte keine Zahlung erfolgen. Mit dieser Schweigegelderpressung erhöhen Cyber-Kriminelle den Druck auf Betroffene. Zudem haben DDoS-Angriffe (Distributed Denial of Service; Überlastungsangriffe) deutlich zugenommen. Cyber-Kriminelle versuchen mit solchen Attacken, das Zielsystem mit einer großen Datenmenge derart zu überlasten, dass es nicht oder nur sehr eingeschränkt verfügbar ist. Sie werden dazu eingesetzt, digital Schutzgeld zu erpressen.
Laut BSI machen sich zahlreiche Praxen nicht klar, wie viele Patientendaten sich auf besonders einfach angreifbaren mobilen Geräten in E-Mails, Dokumenten, gescannten Bildern oder dem Verlauf von nicht hierfür gehärteten Messenger-Diensten enthalten sein können. Verlorengegangene oder gestohlene Notebooks, Smartphones und USB-Speicher sind häufig die Ursache für Datendiebstahl. Sensible medizinische Daten können durch einen Datenklau ungewollt veröffentlicht werden.
Eine Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) aus dem Jahr 2019 hatte aufgezeigt, wie nachlässig Ärzte sowie Apotheken hierzulande im Umgang mit Passwörtern sind. Demnach setzen neun von zehn Ärzten auf einfach zu erratende Passwörter. „Gerne wird der Name des Arztes verwendet oder aber Wörter wie ‚Behandlung‘. In neun Prozent aller Arztpraxen sowie 60 Prozent der Kliniken werden sogar Login- und Passwort-Kombinationen genutzt, die von Kriminellen im Darknet angeboten werden“, berichtet Patrycja Schrenk, Geschäftsführerin der IT-Sicherheitsfirma PSW GROUP, über die gravierenden Ergebnisse. Noch schlimmer als beim Passwortschutz sehe es bei der Verschlüsselung personenbezogener Daten aus: Knapp 1.200 niedergelassene Ärzte wurden im Rahmen dieser Studie untersucht – lediglich fünf von ihnen, also 0,4 Prozent, folgten den Verschlüsselungsempfehlungen zum Datenschutz im Gesundheitswesen des BSI und nutzten E-Mail-Zertifikate.
Christoph Saatjohann
Schutz vor Hackerangriffen selbst in die Hand nehmen
Der Gesetzgeber hat die potenzielle Gefahrenlage von Leistungserbringern in der zunehmenden Digitalisierung identifiziert und die Kassenärztliche Bundesvereinigung (KBV) und Kassenzahnärztliche Bundesvereinigung (KZBV) beauftragt, IT-Sicherheitsanforderungen im Einvernehmen mit dem BSI zu definieren.
Die Anforderungen, welche das Ziel verfolgen, ein grundlegendes Sicherheitsniveau zu etablieren und somit eine Schutzwirkung verfolgen, wurden 2020 erstmals veröffentlicht und werden regelmäßig von den Beteiligten evaluiert und aktualisiert. Zusätzlich unterstützt das BSI die Umsetzung der IT-Sicherheitsrichtlinie nach § 75b SGB V durch begleitende Publikationen.
Dennoch rät Gisa Kimmerle, Head of Cyber beim Spezialversicherer Hiscox Deutschland, Praxisinhabern, im Kampf gegen Datenräuber selbst tätig zu werden. „Auf jeden Fall müssen Ärzte in Cybersecurity investieren! Mindestens müssen sie regelmäßige und sichere Back-Ups sowie ein professionelles Patch-Management realisieren, also das zeitnahe Einspielen von Updates, um Sicherheitslücken zu schließen. Verwendete Altsysteme müssen abgesichert werden. Das im medizinischen Bereich besonders wichtige Thema Datenschutz muss beachtet und die entsprechenden Richtlinien sollten implementiert werden.“
Um die Praxen dabei zu unterstützen, hat die KBV eine spezielle Sicherheitsrichtlinie entwickelt. „Die IT-Sicherheitsrichtlinie der KBV, die mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmt ist, soll die Anforderungen der Datenschutzverordnung in konkrete Maßnahmen für Arztpraxen übersetzen und helfen, die IT-Systeme zu schützen. Sie wird fortlaufend auf aktuelle Entwicklungen angepasst“, sagt Roland Stahl. „Darüber hinaus darf aber auch die Sensibilisierung der Mitarbeitenden für Cyber-Gefahren nicht vergessen werden.“
Denn die aktuelle Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense macht deutlich: Ein Drittel der Angestellten in Deutschland gefährdet die IT-Sicherheit des Unternehmens. Damit nicht genug: Das Wissen um IT-Sicherheit ist im Gesundheitssektor am geringsten.
„Damit diese Mitarbeiter keine Risikoquelle oder potenzielle Sicherheitslücke darstellen, müssen sie gezielt geschult werden. Ein einmaliges unbeabsichtigtes Fehlverhalten eines einzigen Praxismitarbeitenden genügt, um in die Fänge von Cyberkriminellen zu gelangen, etwa durch das Nichterkennen eines Phishing-Angriffs“
Dazu zählen regelmäßige Sicherheitsschulungen, in denen folgende Inhalte vermittelt werden sollten: Identifizierung von Phishing-Attacken, Beherrschung der Passwort-Regeln, sicheres Surfen im Internet, Risiken im Umgang mit Social Media sowie die Anwendung einer Clean Desk Policy. Auch die IT-Notfallkarte „Verhalten bei IT-Notfällen“ der Allianz für Cyber-Sicherheit (ACS) sollte in der Praxis an zentraler Stelle aufbewahrt werden. Sie gibt den Beschäftigten wichtige Verhaltenshinweise bei IT-Notfällen aller Art an die Hand.
Betriebssysteme und Software aktuell halten
„Zu den wichtigsten Maßnahmen für niedergelassene Ärztinnen und Ärzte zählen aktuelle Betriebssysteme und aktuelle Software“, sagt der KBV-Sprecher. „Updates sind essenziell, um erkannte Sicherheitslücken zu schließen. Wichtig sind auch der Schutz vor Schadsoftware durch Virenscanner – idealerweise überall dort, wo es potenzielle Eingangstore für gefährliche Dateien gibt – und die Datensicherung. Es empfiehlt sich, die Daten mehrfach und in jedem Fall verschlüsselt zu sichern.“ Die Maßnahmen – Security-Patches, Backups, Awareness-Schulungen, Phishing-Prävention und Übungen zur Reaktion auf Vorfälle – sind allesamt wichtige Pfeiler der Cyber-Sicherheit, die ebenfalls im Kontext der LeistungserbringerPersonen, Institutionen und deren Verbände, die Versicherte mit bestimmten Gesundheitsleistungen ve… … mehr erfahren die Gefahr eines erfolgreichen Cyber-Angriffs minimieren können.
Zudem so Roland Stahl, kann es ratsam sein, sich einen Sicherheitsexperten in die Praxis zu holen. Die KBV veröffentlicht eine Liste von Dienstleistern, die speziell nach Paragraf 75B Absatz 5 des Fünften Sozialgesetzbuchs für Informationssicherheit/IT-Security zertifiziert sind unter: https://www.kbv.de/media/sp/KBV_ISAP_Dienstleister_ZERT_P75b_SGBV.pdf
Einen Selbsttest für Praxen bietet der KBV-Praxis-Check „Datenschutz und Informationssicherheit“. Hier können Ärztinnen und Ärzte anhand von 15 Fragen relevante Aspekte rund um den Schutz ihrer Patientendaten überprüfen – von Aufbewahrungsfristen der Patientenunterlagen über Risiko- und Fehlermanagement bis hin zu Zugängen zu IT-Systemen.
Das BSI begrüßt, dass mittlerweile rund 30 Versicherungsunternehmen inzwischen auch Cyber-Versicherungen anbieten, weil der Abschluss einer Cyber-Versicherung meist daran geknüpft ist, dass bestimmte Cyber-Sicherheitsmaßnahmen umgesetzt oder IT-Standards erfüllt werden. Eine Cyber-Versicherung sei aber in keinem Fall ein Ersatz für die Umsetzung von Cyber-Sicherheitsmaßnahmen. Allerdings könne sie eine Möglichkeit sein, die eventuellen Folgen eines Cyber-Angriffs abzufedern, sich vor Vermögensschäden durch Hacker-Angriffe zu schützen und dafür zu sorgen, dass die Systeme im Schadenfall schnell wieder funktionsfähig sind.
Großer Nachholbedarf im Bereich IT-Sicherheit
Den Mahnern geht jedenfalls die Arbeit nicht aus: Im Februar steht bei einer Konferenz des „DFN-CERT“, dem „Computer Emergency Response Team“ (CERT) des Deutschen Forschungsnetzes (DFN), der nächste Fachvortrag an. Erneut geht es um unsichere E-Mail-Kommunikation. Christoph Saatjohann und Fabian Ising, ebenfalls Doktorand im Labor für IT-Sicherheit der FH Münster, referieren zum Thema „KIME-Mail-Dienst der Telematikinfrastruktur, mit dem Nachrichten, Dokumente und strukturierte Daten sic… … mehr erfahren: Kaos in der Medizin – Unsichere Mails in der TISicheres digitales Netz des deutschen Gesundheitswesens … mehr erfahren“. Im Mittelpunkt stehen Schwachstellen im Clientmodul der Fachanwendung Kommunikation im MedizinwesenE-Mail-Dienst der Telematikinfrastruktur, mit dem Nachrichten, Dokumente und strukturierte Daten sic… … mehr erfahren (KIM). Das Modul soll Nachrichten beim Versand verschlüsseln und signieren sowie E-Mails beim Abruf entschlüsseln und die Signatur prüfen. Die FH-Doktoranden hatten der gematik, der nationalen Agentur für digitale Medizin und Verantwortungsträgerin der TI, im Frühjahr 2022 Sicherheitslücken gemeldet. „Im Medizinsektor gibt es grundsätzlich großen Nachholbedarf im Bereich IT-Sicherheit“, fasst Saatjohann zusammen. „In kaum einem Bereich ist die Sicherheit von Daten und die Vermeidung unberechtigter Zugriffe so wichtig wie im Gesundheitswesen.“