+49 (0)89 32 49 33 97 | magazin@digitales-gesundheitswesen.de

Cybersecurity Interview Jan Arfwedson

„Die Bedrohungssituation wird völlig unterschätzt!“

Jan C. Arfwedson, Leiter eHealth Hub beim Cyber-Sicherheitsrat Deutschland e.V., über die Gefährdung von Arztpraxen durch Cyberattacken und verpflichtende Schutzmaßnahmen.

Autor:

Wie sicher bzw. unsicher ist die Telemedizin (Videosprechstunde, ePA, elektronischer Arztbrief etc) angesichts der aktuellen weltweiten Cyberbedrohungslage?

Das sind zwar alles digitale Services, die zu einer besseren medizinischen Versorgung führen sollen, jedoch unterliegen diese ganz unterschiedlichen regulatorischen Anforderungen an die IT-Sicherheit, die zudem zu unterschiedlichen Zeitpunkten konzipiert bzw. herausgegeben wurden. Zudem gibt es unterschiedliche Zulassungsverfahren. Bei der Videosprechstunde bspw. müssen Anbieter von Videosprechstundenlösungen per Zertifikat nachweisen, dass sie die Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten sowie einige weitere an die Informationstechniksicherheit erfüllen. Hierzu hat der Gesetzgeber die Kassenärztliche Bundesvereinigung und den GKV-Spitzenverband damit beauftragt, die dazu notwendigen technischen Anforderungen festzulegen. Das Ergebnis dieser Ausarbeitung ist in der Anlage 31b zum Bundesmantelvertrag-Ärzte (BMV-Ä) festgehalten.

Bei der ePA und weiteren Diensten der sogenannten Telematik-Infrastruktur ist es so, dass die gematik Anforderungen an IT-Sicherheit und Datenschutz erarbeitet und in eigenen Anforderungskatalogen dokumentiert. Diese müssen dann seitens des Betreibers/der Diensteanbieter im Rahmen von externen Sicherheitsgutachten nachgewiesen werden.

Die spezifische Sicherheit hängt in der Regel am einzelnen System und dessen Cyber-Resilienz. Die Anforderungen, die im Rahmen von Audits und Gutachten geprüft und zertifiziert bzw. zugelassen werden, überprüfen in der Regel, ob geforderte Prozesse wie z.B. Schwachstellen- und Patchmanagement etabliert sind und ob diese zum Auditzeitpunkt nachweislich durchgeführt wurden. Ob dies dann in der Folge konsequent und regelmäßig so umgesetzt wird, hängt vom Betreiber/Dienstanbieter ab. Von daher hängt die spezifische Cybersicherheit solcher Dienste maßgeblich vom einzelnen Betreiber ab und wie Sicherheitsfragen dort behandelt werden. Leider spielen hierbei nach wie vor auch ökonomische Aspekte eine wichtige Rolle.

Darüber hinaus gibt es in der Telematik-Infrastruktur zentrale Systeme, die die Datenintegrität usw. überwachen. Jedoch heißt dies nicht, dass etwaige Angriffe frühzeitig erkannt und entsprechende Gegenmaßnahmen ergriffen werden. Das ist eher als zweistufiger Sicherheitsmechanismus zu verstehen.

Wie gefährdet ist speziell die ePA?

Zurückliegende Sicherheitsanalysen beispielsweise des CCC hatten gezeigt, dass es technisch möglich ist und nicht verhindert werden konnte, dass Schadcode in die ePA hochgeladen werden konnte. Inwiefern dann dort eine Beeinträchtigung anderer Dienste möglich gewesen wäre, ist schwer zu sagen. Auf jeden Fall ist es bei solchen digitalen Diensten nicht anders als in der übrigen IT. Das heißt dort,  wo professionelle Researcher aber auch Cyberkriminelle nach Schwachstellen suchen und dort, wo zu verwendeten Komponenten täglich neue Schwachstellen bekannt werden, dort sind Systeme erst einmal verwundbar.

Macht es bei der Sicherheit einen Unterschied in der Kommunikation zwischen Arzt-Arzt und Arzt-Patient?

Bei der Kommunikation zwischen Arzt zu Arzt und Arzt zu Patienten gibt es natürlich auch technologische Unterschiede. Zum einen können Ärzte über das KIM-Verfahren (Kommunikation im Medizinwesen) kommunizieren. Das ist ein Dienst, mit welchem medizinische Einrichtungen wie Praxen, MVZ, Krankenhäuser, Apotheken – ebenso wie deren jeweilige Interessensvertretungen und auch Krankenversicherungen – Nachrichten und Dokumente wie Befunde, Arztbriefe, Heil- und Kostenpläne, AU-Bescheinigungen usw. per E-Mail über die Telematikinfrastruktur senden bzw. empfangen können. Die Nutzung dieses Kommunikationsweges ist grundsätzlich freiwillig, weswegen die sogenannte Usability hoch ist und der Dienst grundsätzlich Akzeptanz findet, denn die ist für die IT-Sicherheit ein kritischer Erfolgsfaktor. Mit KIM will man Ärzten zudem ein Kommunikationsmedium an die Hand geben, welches in einem geschützten Umfeld betrieben wird, um damit verwendete Dienste wie beispielsweise WhatsApp oder andere Messenger-Dienste, die eigentlich nicht für die Kommunikation von hochsensiblen Patientendaten gedacht sind, aber eine hohe Verbreitung und eine hohe Usability haben, abzulösen.

Darüber hinaus hängt die IT-Sicherheit hier maßgeblich vom verwendeten IT-System ab. Ärzte unterliegen mit dem §75b SGB v spezifischen Anforderungen an die eigene IT-Sicherheit. Die IT-Sicherheitsrichtlinie nach §75b SGB V beschreibt konkrete technische und organisatorische Maßnahmen, die ein Arzt in der ambulanten medizinischen Versorgung umzusetzen hat. Ähnliches gibt es auch für den stationären Bereich (§75C SGB V). Demnach gibt es hier schon ein asymmetrisches Setting zwischen den im besten Fall durch den Arzt oder die Klinik ergriffenen technischen organisatorischen Maßnahmen und dem Privat-PC eines Patienten. Letzterer ist hierbei gar nicht reguliert, so dass hier auch typische Probleme wie mangelnder Virenschutz, nicht aktuelle schwachstellenbehaftete Betriebssysteme und Software auftreten und zu Sicherheitsrisiken führen können.

Wo liegen die Einfallstore für Cyberkriminelle im Wesentlichen?

Insgesamt kann man sagen, dass das Haupteinfallstore nach wie vor Phishing-Mails sind, über welche Cyberkriminelle versuchen, privilegierte Zugangsdaten zu erbeuten. Mittels dieser privilegierten Zugangsdaten, die es einem erlauben, beispielsweise entsprechende Dateien nachzuladen und auszuführen, erfolgt die Infiltration der IT-Infrastruktur des Opfers durch Cyberkriminelle. Das können jedoch auch manipulierte/verseuchte Dateien sein, die per Mail versendet werden oder die man leichtgläubig downloaded. Aspekte wie eine flache Netzwerk-Topologie mit geringen Segmentierungen führen dazu, dass sich Schadcode vergleichsweise leicht in der entsprechenden Infrastruktur ausbreiten kann, was zu großflächigen Infektionen ganzer Infrastrukturen z.B in Krankenhäusern führt. Das können wir jeden Tag lesen, wenn wieder einmal ein Unternehmen/eine Institution – nicht nur im Gesundheitswesen – Opfer einer massiven Cyberattacke wurde. Dass es zur Cyberattacken kommt, ist leider wahrscheinlich. Jedoch versucht man über unter anderem technische organisatorische Maßnahmen (die ja auch der Gesetzgeber hier vorschreibt), die Eintrittswahrscheinlichkeit – aber auch das Schadensausmaß – zu begrenzen. So sollen im Falle einer Cyberattacke verheerende Auswirkungen verhindert werden, sodass nach Möglichkeit nur einige wenige Systeme betroffen sind, jedoch die sogenannte kritische Dienstleistung, also die medizinische Versorgung, aufrechterhalten werden kann.

Im ambulanten Bereich bzw. bei den niedergelassenen Ärzten ist die Situation aber insgesamt noch viel schlimmer als in manchem Krankenhaus. Da gibt es häufig nicht mal eine Firewall, sondern nur eine einfache Fritzbox, vergleichsweise alte PCs, an denen keine Ports gesperrt sind und bei denen der User volle Adminrechte hat. Da haben Cyberkriminelle leichtes Spiel.

Gibt es überhaupt eine Cybersicherheit in Bezug auf persönliche Gesundheitsinformationen?

Cybersicherheit in Bezug auf persönliche Gesundheitsinformationen muss es schon geben und das muss unser aller Ziel sein. Allerdings sind hier all jene in der Verpflichtung, diese Daten zu schützen, die damit zu tun haben. Das heißt, da sind zunächst einmal jene, die diese Daten erfassen und mit diesen Daten arbeiten und diese in IT-Systemen speichern. Hierbei müssen schlichtweg sämtliche vom Gesetzgeber vorgegebenen Anforderungen erfüllt werden. Das ist Grundvoraussetzung, jedoch leider noch nicht bei allen Verantwortlichen angekommen. Wird das gemacht, dann ist die Wahrscheinlichkeit, dass es zu einem Diebstahl oder der Manipulation von Patientendaten kommt, erst einmal gering. Aktuelle Ransomware-Attacken auf Gesundheitseinrichtungen zeigen immer wieder, dass auch abgezogene Gesundheitsdaten im Darknet zum Verkauf angeboten werden. Das ist natürlich der Super-Gau, den es auf jeden Fall zu verhindern gilt. Hier kann allerdings der einzelne Patient vergleichsweise wenig dafür tun. Hier sind insbesondere die Unternehmen in der Pflicht, die mit diesen Daten arbeiten. Diese dazu zu bewegen, ist im Zweifelsfall Aufgabe des Gesetzgebers.

Wie sicher sind Daten und Infos von Patienten und wer könnte einen Vorteil vom Datenklau haben?

Patienteninformationen sind ein wertvolles Gut. Cyberkriminelle zahlen für Patientendaten inzwischen mehr als für Kreditkarteninformationen. Gleichzeitig ist das Gesundheitswesen ein begehrtes Ziel bei Cyberkriminellen, da bekannt ist, dass dies technisch unzureichend aufgestellt ist, anders als beispielsweise der Finanzsektor, der bereits über Jahre viel stärker reguliert ist. Die sensiblen Patientendaten, die Cyberkriminelle hierbei möglicherweise erbeuten, eignen sich leider auch recht gut zur Erpressung von Lösegeldern vom Unternehmen oder der Institution, von welcher diese entwendet wurden, aber auch vom Patienten selbst. So soll in Finnland eine Psychotherapiepraxis gehackt worden sein. Den Patienten wurde mit der Veröffentlichung entsprechender Aufzeichnungen gedroht, sollten sie nicht ein Lösegeld zahlen, wie Futurezone im Mai 2021 berichtete.

Es geht bei Ransomware-Attacken aus Sicht des Unternehmens oder der Organisation nicht nur um die Aufrechterhaltung des Geschäftsbetriebs, beispielsweise eines Krankenhauses, sondern es geht darüber hinaus eben auch um die hochsensiblen Patientendaten, die bei Verlust bzw. Diebstahl einerseits zu Reputationsverlusten führen können oder deren Verlust zudem einen erheblichen Datenschutzverstoß darstellt. Denn die DSGVO fordert eben auch angemessene, dem Schutzbedarf entsprechende technische organisatorische Maßnahmen, die in einem solchen Fall offensichtlich unzureichend waren und deren Folgen daraus mögliche Sanktionen seitens der Datenschutzaufsichten oder Schadenersatzansprüche seitens der Betroffenen sein können.

Wie kann und sollte sich ein niedergelassener Arzt gegen Hackerangriffe schützen?

Ein niedergelassener Arzt sollte sich mit den gängigen Anforderungen an die IT- und Informationssicherheit auseinandersetzen. Hierzu hatte die KBV zusammen mit der KZBV eine IT-Sicherheitsrichtlinie erarbeitet, die stufenweise umgesetzt werden sollte. Vielen niedergelassenen Ärzten sind diese Anforderungen einerseits überhaupt nicht bekannt, zum anderen sind die Ärzte keine Informatiker und hier auf sachkundige Unterstützung Dritter angewiesen.

IT-Sicherheit kostet Geld, was hier ein weiterer kritischer Erfolgsfaktor ist. In Relation zu den Umsatzerlösen eines Krankenhauses beispielsweise sind IT-Sicherheitsmaßnahmen in angemessener Form noch irgendwo finanziell abbildbar – für einen niedergelassenen Arzt aus meiner Sicht wiederum nicht. Das heißt, hier ist eigentlich auch die Finanzierungsfrage zu klären. Darüber hinaus muss es auch hier genügend Fachkräfte geben (die es aktuell nicht gibt!), die sich dem Thema annehmen und niedergelassene Ärzte hier – effektiv, aber pragmatisch -unterstützen können.

Gibt es Versicherungen gegen Hackerattacken? Und warum braucht es so etwas?

Versicherungen gegen Cyberattacken gibt es bereits seit einigen Jahren. Anfangs wurden diese vergleichsweise niederschwellig gewährt und die Anforderungen waren hierbei niedrig. Mittlerweile hat sich das Blatt allerdings gewendet, unter anderem aufgrund parallel zunehmender Compliance-Anforderungen an die IT-Sicherheit und zum anderen natürlich auch wegen der zunehmenden Cyberattacken, wodurch Versicherungen mehr und mehr Schadensfälle abwickeln müssen.

Zurückliegend war es zu dem so, dass die Versicherungen auch etwaige Lösegeldzahlungen bei Ransomware-Attacken mitversichert haben. Hierbei besteht die immerwährende Diskussion darüber, ob es denn überhaupt sinnvoll ist, so etwas mitzuversichern oder ob man damit nicht erst recht das Geschäftsmodell von Cyberkriminellen unterstützt und sich dabei unter Umständen sogar der Unterstützung einer terroristischen Vereinigung schuldig macht.

Ob man eine Cyberversicherung braucht oder nicht, sollte man von einer persönlichen „Risikoanalyse“ abhängig machen. Das heißt, nachdem der niedergelassene Arzt, ein MVZ-Betreiber oder ein Krankenhaus die gängigen technischen organisatorischen Maßnahmen umgesetzt haben, die der Gesetzgeber zur Umsetzung verordnet hat, gilt es zu bewerten, wie Restrisiken einzuschätzen sind und ob eine Risiko-Übertragung auf einen Versicherer, wie es im Fachjargon heißt, hier Sinn macht – natürlich auch aus ökonomischen Gesichtspunkten. Ein weiterer Aspekt einer Cyberversicherung sind die sogenannten Assistance-Leistungen. Hierbei kann der Versicherungsnehmer im Notfall entsprechende Hilfeleistung beispielsweise im Krisenmanagement, aber auch der IT-Forensik, in Anspruch nehmen. Das ist sicherlich ein weiterer Vorteil einer solchen Versicherung, wobei man sich auch unabhängig davon im Rahmen des eigenen Notfall- und Krisenmanagements mit solchen Fragestellungen, nämlich welche Dienstleister mir im Krisenfall helfen können, auseinandersetzen sollte.

Müssen Ärzte in Cybersecurity investieren,gibt es auch Erfahrungswerte, wie viel? und welche Bereiche sind da zentral?

Ärzte müssen, schon per Gesetz, in Cybersecurity investieren. Allerdings wird hierbei erfahrungsgemäß die Bedrohungssituation völlig unterschätzt. Wie im privaten Bereich auch denkt man, dass man selbst für Cyberkriminelle womöglich nicht von Interesse ist. Cyberattacken gerade im niedergelassenen Bereich oder beispielsweise auch auf die Lieferkette (zu nennen sind hier die Cyberattacken in 2022 auf Medatixx und CGM) nehmen massiv zu. Niedergelassene Ärzte, wie alle anderen Leistungserbringer auch, müssen sich mit diesen Themen auseinandersetzen. Und wenn sie es nicht können oder wollen, so müssen sie sich kompetente Hilfe suchen. Die niedergelassenen Ärzte arbeiten hier in der Regel mit IT-Systemhäusern zusammen, die Ihnen Hard- und Softwarelösung für mehr Cybersecurity zur Verfügung stellen. Allerdings beziehen sich gängige Anforderungen an die IT- und Informationssicherheit nicht ausschließlich auf Technik, sondern durchaus auch auf Prozesse. Das heißt, die IT-Systemhäuser decken die Beratungsbedarfe der niedergelassenen Ärzte hierbei nicht vollständig ab, so dass hier eigentlich hersteller- und produktunabhängige Beratungsunternehmen, die zum IT- und Informationssicherheitsmanagement beraten, die richtigen Ansprechpartner wären. Allerdings sehen sich die niedergelassenen Ärzte hier mit branchenüblichen Tagessätzen von mehr als 1.000 € pro Tag konfrontiert. Zudem sind die Anforderungen, die die IT-Sicherheitsrichtlinie der KBV bzw. KZBV hier vorsieht, auch nicht mal eben in einem Beratungstag abgehandelt. Das heißt, ein niedergelassener Arzt, eine Praxis sieht sich hier sicherlich mit einem Investitions- und Unterstützungsbedarf im Umfang von mehreren 10.000 € konfrontiert. Darüber hinaus sind sicherlich auch laufende Unterstützungsleistungen erforderlich, wenn es z.B. darum geht, Systeme zu warten oder gar im Auftrag des Arztes zu betreiben. Das heißt, es ist mit einer einmaligen Investition nicht getan. Das wissen die Verbände aber auch und haben bereits im Rahmen der Erarbeitung der IT-Sicherheitsrichtlinie auf den Finanzierungsbedarf hingewiesen.

Weitere Beiträge

230505_chronik
Chronik der Telematik­infrastruktur – 2001 bis 2024
230606_DG_Motivaufnahmen-49_web
Digitalisierung im Gesundheitswesen: Wer, wie, was – und warum?
Symbolbild - Digitalwissen für alle
Es ist angerichtet: Digitalisierungswissen für alle
Grafik/Organigramm Qualifizierte Elektronische Signatur (QES)
Die qualifizierte elektronische Signatur (QES)
Kommunikation im Medizinwesen (KIM)
KIM-Adressen im zentralen Verzeichnis finden

Weitere Themengebiete

Wir freuen uns über Ihre Beteiligung.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert