Cybersicherheitsbehörde: Kliniken sollen Notfallplan für Malwarebefall entwerfen
Die EU-Agentur für IT-Sicherheit hat eine Leitlinie für Krankenhäuser herausgegeben, um diesen den Abwehrkampf gegen Emotet & Co. zu erleichtern.
(Bild: Shutterstock)
Einrichtungen des Gesundheitssektors sind verpflichtet, im Umgang mit Informations- und Kommunikationstechnologien "bei jedem Schritt" die IT-Sicherheit zu gewährleisten. Dies betont die EU-Agentur für Cybersicherheit (Enisa) in einem am Montag veröffentlichten Ratgeber für das Beschaffungswesen in Krankenhäusern. Es gelte, den Schutz der sensiblen Patientendaten sowie die Verfügbarkeit von Diensten im Gesundheitswesen zu jeder Zeit sicherzustellen.
Allein 2019 hätten zwei Drittel der Organisationen in dem Sektor einen Cybersicherheitsvorfall wie einen Hackerangriff mit Ransomware wie Emotet oder eine Datenpanne erlitten, gibt die auf Kreta sitzende Behörde zu bedenken. Auch deutsche Einrichtungen wie das Klinikum Fürth waren gegen Trojaner nicht gefeit. Kliniken sollten daher den in der Broschüre aufgelisteten Empfehlungen und bewährten Beispielen aus der Praxis unbedingt schon beim Kauf von Medizingeräten, anderer Hardware oder Computerprogrammen folgen.
Zahlreiche Angriffsflächen
Angriffsflächen bieten moderne Kliniken viele, ist dem Papier zu entnehmen. Dort seien etwa klinische Informationssysteme in Betrieb mit elektronischen Patientenakten, Aufnahmen aus der Radiologie, Medikationsanleitungen und vielen anderen Datenbanken. Diese müssten in einem eigenen Gebäudebereich oder einem Rechenzentrum untergebracht werden, die unter der vollständigen Kontrolle der IT-Abteilung stehen.
Daneben finden sich eine Vielzahl an medizinischen Geräten wie Computertomographie-Scanner und Operationsroboter, die eines besonderen Zugangsschutzes vor Ort bedürften. Zugriff darauf sollten nur speziell ausgebildete Mitarbeiter mit eigenen Nutzerkonten haben. Jede Inbetriebnahme müsse protokolliert werden. Dazu kommen Implantate, Wearables, Notrufanlagen, Gesundheits-Apps und klassische Netzwerkgeräte.
Notfallplan für Cyberangriffe nötig
Übergeordnet leisten Systeme zur Identifikation, fürs Gebäudemanagement und die Kontrolle von Industrieanlagen wie Heizung, Aufzüge oder Wasserzufuhr ihre Dienste. Oft seien Geräte im Einsatz, die schon einige Jahre auf dem Buckel hätten, sodass die Update-Frage im Raum stehe. In einigen Bereichen gebe es noch Protokolle ohne besondere Schutzvorkehrungen wie Verschlüsselung oder Ausrüstung mit versteckten Funktionalitäten, was ebenfalls eine besondere Herausforderung darstelle. Sensible Daten sollten in jedem Fall nur verschlüsselt gespeichert oder übertragen werden.
Die Agentur erinnert die Verantwortlichen daran, dass für Gesundheitsdaten nach der Datenschutz-Grundverordnung (DSGVO) spezielle Anforderungen gelten und Hospitäler daher eine Folgenabschätzung durchführen und Sicherheitsverletzungen binnen 72 Stunden melden müssen. Sie drängt die Verantwortlichen dazu, einen Notfallplan für Cyberangriffe zu entwickeln, der neu beschaffte Produkte und Systeme einschließen müsse. Für Mitarbeiter sollten darin klare Regeln aufgestellt werden, wie sie sich etwa bei einem Befall mit Computerviren oder anderer Schadsoftware zu verhalten haben. Auch geeignete, offen bleibende Kommunikationskanäle müssten festgelegt werden.
Zugriffsmöglichkeiten auf vernetzte Geräte aus der Ferne sollen laut den Richtlinien minimiert und gesondert verwaltet, Sicherheitsupdates möglichst für alle Komponenten gewährleistet werden. Wichtig seien auch regelmäßige Penetrationstests und spezielle Trainingskurse für Cybersicherheit für das Personal. Für drahtlose Datenübertragungen etwa per klassischem Mobilfunk oder WLAN müssten spezielle Security-Regeln gelten. (axk)
