Der Fall Fürstenfeldbruck zeigt: Gefährdungslage im Gesundheitsbereich weiterhin hoch

Ein Kommentar von Arved Graf von Stackelberg, CSO von DRACOON

Arved Graf von Stackelberg, CSO DRACOON

Regensburg, 22.11.2018 – Im Laufe der letzten Woche ereignete sich erneut ein verheerender IT-Sicherheitsvorfall in einem deutschen Krankenhaus. Das Klinikum Fürstenfeldbruck in Bayern musste aufgrund eines mit Schadsoftware infizierten E-Mail-Anhangs schwere Störungen im Betriebsablauf hinnehmen. Zeitweise konnte keiner der insgesamt 450 Rechner des Hauses regulär genutzt werden, erst nach und nach konnten einzelne Geräte den Betrieb wieder aufnehmen. Zwar habe die medizinische Versorgung zunächst funktioniert, doch jeder neu aufgenommene Patient bedeutete einen erheblichen zusätzlichen Aufwand. Beispielsweise musste jede einzelne Blutprobe, die für das Labor bestimmt war, von Hand beschriftet werden – auch Befunde und andere Patientendaten mussten in Papierform intern weitergegeben werden. Schließlich wurde das Klinikum von der integrierten Rettungsleitstelle abgemeldet und Notfälle wurden in umliegende Häuser weitergeleitet.

Der Malware-Angriff auf das bayerische Klinikum ist bei weitem kein Einzelfall – gerade innerhalb der letzten drei Jahre häuften sich Vorfälle dieser Art, etwa im Rahmen der Ransomware-Welle „WannaCry.“ Wie viele Gesundheitseinrichtungen bereits Opfer von Cyberkriminellen wurden, lässt sich schlecht quantifizieren, denn die Meldepflicht für IT-Sicherheitsvorfälle gilt nur für die größten Kliniken. Diese stellen gerade einmal zehn Prozent der Einrichtungen dar. Eine kleine Anfrage, die im hessischen Landtag durch die SPD-Landtagsfraktion in Auftrag gegeben wurde, gibt Hinweise: von den etwa 40 eingegangenen Antworten der Kliniken gab immerhin jedes vierte Haus an, einen Cyber-Vorfall innerhalb der letzten zwei Jahre verzeichnet zu haben. Die weitaus größer angelegte „Krankenhausstudie 2017“ der Unternehmensberatung Roland Berger führte zu Tage, dass von den 500 befragten Kliniken ganze 64% bereits Opfer eines Hacker-Angriffs waren.

Um nicht selbst betroffen zu sein, müssen Verantwortliche im Healthcare-Sektor ihr Schutzniveau der besonderen Sensibilität der Daten anpassen und dürfen die Gefahr keineswegs unterschätzen. Es gilt hier, Sicherheit und Effizienz miteinander zu verbinden und keineswegs einen Aspekt für den anderen zu vernachlässigen. Insbesondere im Gesundheitsbereich spielt eine schnelle, und besonders sichere Übermittlung und eine durchgängige Verfügbarkeit von Daten eine zentrale Rolle. Für Kliniken ist es entscheidend, ohne Zeitverlust große Daten auszutauschen und gerade auch Untersuchungsergebnisse schnell verfügbar zu machen. Trotzdem ist es ein absolutes Muss, dass diese – meist personenbezogenen Daten – auf höchster Sicherheitsstufe geschützt werden, damit keinerlei Informationen in die Hände unbefugter Dritter gelangen und die ideale Versorgung der Patienten jederzeit gegeben ist.

Mithilfe einer zertifizierten und datenschutzkonformen Enterprise-Filesharing-Lösung, die das Gesundheitspersonal effektiv und sicher bei allen täglichen Herausforderungen unterstützt, sind Unternehmen aus dem Healthcare-Bereich gut gewappnet. Zertifizierungen, auf die Entscheider achten sollten, sind beispielsweise die Norm ISO 27001 oder das European Privacy Seal (EuroPriSe). Zum Zwecke der maximalen Datensicherheit sollten die Daten außerdem bereits am Endgerät verschlüsselt werden. Ein zusätzliches Plus bieten Lösungen, die ihre Verschlüsselung open-source bereitstellen – somit können sich Administratoren überzeugen, dass die Verschlüsselung lückenlos ist. Besonders sinnvoll ist zuletzt noch ein Storage-Ransomware-Schutz. Im Falle eines Hackerangriffs können verschlüsselte Daten somit über den Papierkorb ohne Zeitverlust wiederhergestellt werden, weil alle Daten versioniert gespeichert werden.

Als Anbieter einer Enterprise-Filesharing-Lösung haben wir uns bereits früh mit den besonderen Sicherheitsanforderungen im Bereich KRITIS beschäftigt. Die Tatsache, dass die größten Klinikverbände Sana und Helios bereits unserer Lösung Vertrauen, gibt uns Recht, dass nur eine hochsichere Lösung zum Dateiaustausch den Weg für das „Krankenhaus 4.0“ ebnen kann. Darüber hinaus wird unsere Lösung für internationale Forschungsprojekte im Bereich E-Health und dem Remote Monitoring von Patientendaten eingesetzt. In diesem Bereich sind wir gerade dabei, neue Standards zu schaffen und sind zuversichtlich, dass Entscheider im Gesundheitssektor die Dringlichkeit der Themen Datenschutz und Datensicherheit künftig erkennen und dementsprechend handeln werden.