Die Bedrohung durch Hacker ist real

Zur Podcastfolge

 

Dirk Wolters ist Geschäftsführer von NeTec und berät Krankenhäuser umfassend in den Bereichen IT-Strategie, IT-Sicherheit und Personalmanagement. Mit seinem Unternehmen unterstützt er Krankenhäuser bei der Digitalisierung und der Implementierung von IT-Sicherheitskonzepten, die im Gesundheitswesen unerlässlich sind.

Von Andrea Buzzi, Podcast-Host E-Health-Pioneers, 28.09.2023

Cyberangriffe auf Krankenhäuser: Ein wachsendes Problem

Andrea Buzzi: Wenn ich „gehacktes Krankenhaus“ bei Google eingebe, hagelt es förmlich Namen betroffener Kliniken. Wie groß ist das Problem wirklich?

Dirk Wolters: Man sieht nur die Spitze des Eisbergs. Im Frühjahr 2021 haben drei Wissenschaftlerteams auf einer NATO-Konferenz die Cybersicherheit von 1.500 deutschen Krankenhäusern untersucht und herausgefunden, dass mehr als ein Drittel der Systeme verwundbar sind. Besonders betroffen sind große Kliniken mit vielen vernetzten Systemen, da hier mehr potenzielle Schwachstellen bestehen.

Andrea Buzzi: Holger Münch vom BKA sagte, der Gesundheitssektor sei ein beliebtes Ziel für Cyberkriminelle. Was motiviert Hacker, gerade Krankenhäuser anzugreifen?

Dirk Wolters: Hacker zielen immer auf Daten ab, denn Daten sind heutzutage wertvoll. Bei Krankenhäusern handelt es sich um besonders sensible Informationen, etwa Patientendaten, die sich gut verkaufen lassen. Manche Angreifer verschlüsseln Daten, um Lösegeld zu erpressen, was für Krankenhäuser existenzbedrohend sein kann.

 

Angst vor IT-Ausfällen im Krankenhaus?

Andrea Buzzi: Muss ich als Patientin Angst haben, dass ein Hackerangriff meine Behandlung gefährden könnte?

Dirk Wolters: Nein, das wäre übertrieben. Seit 2015 gibt es das IT-Sicherheitsgesetz, das auch Krankenhäuser als kritische Infrastrukturen definiert. Krankenhäuser haben Notfallpläne, die gewährleisten, dass die Behandlung auch im Falle eines IT-Ausfalls weitergeführt werden kann – vergleichbar mit einem Notstromaggregat.

Andrea Buzzi: Aber es gab doch bereits Fälle, in denen Operationen verschoben und Notaufnahmen geschlossen wurden, oder?

Dirk Wolters: Ja, solche Fälle gab es, wie 2016 beim Lukaskrankenhaus Neuss oder 2020 bei der Universitätsklinik Düsseldorf. Es ist eine große Herausforderung, aber die Kliniken tun ihr Bestes, um vorbereitet zu sein.

 

Das Problem der IT-Sicherheit in Krankenhäusern

Andrea Buzzi: Wie gut ist die Informationssicherheit in deutschen Krankenhäusern?

Dirk Wolters: Ein Drittel der Kliniken ist derzeit anfällig, aber es gibt Fortschritte. Das IT-Sicherheitsgesetz betrifft nur etwa 200 von 1.900 Krankenhäusern, also jene mit mehr als 30.000 stationären Fällen. Doch mit dem Patientendatensicherungsgesetz von 2021 sind jetzt alle Kliniken verpflichtet, Maßnahmen zur IT-Sicherheit zu ergreifen. Sie müssen ein sogenanntes Informationssicherheitsmanagementsystem (ISMS) einführen.

Andrea Buzzi: Wer ist im Krankenhaus dafür verantwortlich?

Dirk Wolters: Das ist Chefsache. Ein IT-Leiter darf diese Verantwortung nicht allein tragen – es braucht einen Informationssicherheitsbeauftragten. Oft ist es aber so, dass alles, was „digital“ ist, auf dem Tisch des IT-Leiters landet, obwohl er gar nicht die Kapazitäten hat.

 

Cloud oder lokale Speicherung: Wo sind die Daten sicherer?

Andrea Buzzi: Wie steht es um Cloud-basierte Lösungen im Gesundheitswesen? Sind Daten in der Cloud wirklich sicher?

Dirk Wolters: Das kommt auf das Krankenhaus und die jeweiligen Datenschutzbestimmungen an. Cloud-Lösungen können Vorteile bieten, da die Server in zertifizierten Rechenzentren gewartet werden und dadurch oft sicherer sind als lokale Server. Aber jedes Krankenhaus muss individuell entscheiden, welche Lösung am besten zu seinen Anforderungen passt.

 

Personalmangel: Die größte Herausforderung der Zukunft

Andrea Buzzi: Der Fachkräftemangel ist ja auch in der IT ein großes Thema. Wie sollen Kliniken ihre IT-Sicherheit in Zukunft gewährleisten?

Dirk Wolters: Das ist eine immense Herausforderung. Große Kliniken wie Universitätskliniken können sich Personal leisten, aber kleine und mittlere Häuser nicht. IT-Experten sind rar, und der Support muss rund um die Uhr gewährleistet sein, da Hacker oft nachts aktiv sind. Krankenhäuser müssen daher verstärkt auf Kooperationen setzen, um IT-Sicherheit gemeinsam zu bewältigen.

Andrea Buzzi: Siehst du Lösungen für diese Problematik?

Dirk Wolters: Kooperationen zwischen Krankenhäusern könnten eine Lösung sein, etwa durch den gemeinsamen Betrieb von IT-Sicherheitszentren. Es gibt bereits Beispiele, wie in Bayern, wo mehr als 130 Kliniken ein gemeinsames Patientenportal ausgeschrieben haben.

 

Die Rolle der Mitarbeiterschulung

Andrea Buzzi: Was ist das größte Problem – die externe Bedrohung durch Hacker oder die interne durch Mitarbeiter, die ihre Passwörter auf Post-Its kleben?

Dirk Wolters: Ohne menschliche Fehler wären viele Cyberattacken gar nicht möglich. Mitarbeiterschulungen sind entscheidend, um die Sensibilität für IT-Sicherheit zu steigern. Ein Hacker kann sich leicht über soziale Medien Informationen beschaffen und diese dann nutzen, um etwa Passwörter zu erraten.

Andrea Buzzi: Wo siehst du in den kommenden Jahren die größten Herausforderungen?

Dirk Wolters: Die Einführung neuer Systeme muss mit gut durchdachten Prozessen einhergehen. Thorsten Dirks hat einmal gesagt: „Wenn ich einen schlechten Prozess digitalisiere, habe ich einen schlechten digitalen Prozess.“ Das gilt auch für Krankenhäuser. Digitalisierung allein löst keine Probleme, wenn die zugrunde liegenden Prozesse schlecht sind.

 

Fazit: IT-Sicherheit als Chefsache

Andrea Buzzi: Zum Schluss noch eine Frage: Was wäre dein erster Schritt, wenn du heute CEO eines Krankenhauses wärst?

Dirk Wolters: Ich würde ein SEAM-System (Security Information and Event Management) einführen, das das Netzwerk automatisch überwacht. Das wäre der erste Schritt zu einer effektiveren IT-Sicherheit.

Andrea Buzzi: Vielen Dank, Dirk, für das spannende Gespräch. Es ist klar geworden, dass IT-Sicherheit im Gesundheitswesen nicht nur eine technische Herausforderung ist, sondern auch eine organisatorische.

 

Anmerkung der Redaktion: Dieses Interview beruht auf dem Podcast-Interview #93: „Die Bedrohung durch Hacker ist real“ vom 28.09.2023, produziert von der PR-Agentur The Medical Network.