Den Fokus auf das Schwachstellenmanagement
         im Krankenhaus legen

        Wie sichere IT jetzt



        umsetzbar ist






        Die Mischung aus komplexen Infrastrukturen, knappen Budgets und Mangel an
        IT-Experten in medizinischen Einrichtungen führt zu Sicherheitslücken, die Cyber-
        kriminelle ausnutzen können. Die Vorfälle in der jüngsten Vergangenheit haben
        gezeigt, dass die Zahl der Cyberangriffe stetig steigt. Mit einem ausgereiften
        Schwachstellenmanagement (englisch: Vulnerability Management) lässt sich das
        Risiko, Opfer dieser Angriffe zu werden, deutlich reduzieren.




            n Krankenhäusern und Kliniken findet man heute eine   Krankenhäuser über 900 kritische Schwachstellen auf. Damit
            stark vernetzte IT. Die eingebundenen Systeme und An-  sind 36 Prozent der Healthcare-Einrichtungen angreifbar.
        I wendungen interagieren ständig miteinander. In dem   Automatisiert gegensteuern
        Maße, wie Systeme für das Patienten-Management, für die
        Bildverarbeitung oder für das Monitoring in den Intensivab-  Die Hauptaufgabe für Kliniken besteht daher darin, ihr Ri-
        teilungen, aber auch für das Gebäude-Management mitein-  sikopotenzial erheblich zu senken. Dazu müssen sie einen Vul-
        ander kommunizieren, entsteht eine riesige Angriffsfläche.   nerability-Management-Prozess (VM-Prozess) etablieren, der
        Diese nutzen Cyberkriminelle immer stärker aus. Daher er-  folgende Schritte umfasst: vorbereiten, identifizieren, klassi-
        höht der Gesetzgeber auch ab 2022 die Sicherheitsstandards im   fizieren, priorisieren, zuordnen, entschärfen und beseitigen,
        Krankenhaussektor. Laut Patientendaten-Schutz-Gesetz sind   aufheben/wiederholen und, im letzten Schritt, verbessern.
        dann nicht mehr nur KRITIS-Einrichtungen verpflichtet, den   Das VM sollte in einer durchgängigen Security-Architektur
        Sicherheitskatalog B3S  zu erfüllen, sondern auch alle Kran-  mit anderen Sicherheitslösungen, wie Firewalls und Intrusi-
                           (1)
        kenhäuser.                                           on Detection Systems (IDS) oder Intrusion Prevention Systems
           Doch das ist leichter gesagt als getan. Denn die Infrastruk-  (IPS), zusammenarbeiten. In der Konstellation obliegt es dem
        tur in vielen Einrichtungen ist aufgrund fehlender finanzieller   VM, digitale Risiken in kritischen Geschäftsprozessen sichtbar
        Mittel veraltet. Dem will die Politik nun mit dem Kranken-  zu machen. Eine ausgereifte VM-Lösung prüft Systeme im
        hauszukunftsgesetz (KHZG) inklusive Krankenhauszukunfts-  Netzwerk größtenteils automatisiert und spürt Sicherheitslü-
        fonds (KHZF)  entgegenwirken. Bund und Länder fördern die   cken auf. Diese priorisiert sie nach Handlungsbedarf und gibt
                   (2)
        nötige Digitalisierung im Gesundheitswesen mit insgesamt   Hinweise, wie sie sich schließen lassen.
        4,3 Milliarden Euro. 15 Prozent der Digitalisierungsmaßnah-
        men der Healthcare-Einrichtungen müssen dabei die IT-Si-  Sichere Digitalisierung für das Wohlergehen
        cherheit adressieren.                                des Patienten
                                                               Krankenhäuser betreiben schwer abzusichernde IT-Um-
        Schwachstellen an der Tagesordnung
                                                             gebungen. Gleichzeitig erhöht der Gesetzgeber ab 2022 die Si-
           Sicherheitslücken entstehen im Krankenhaus-Umfeld vor   cherheitsstandards im Krankenhaussektor. Daher bietet der
        allem durch Legacy-Systeme, Medizintechnik, die sich nicht   4,3 Milliarden Euro große KHZF die Chance, dass sich alle im
        patchen lässt, oder falsche Konfigurationen. Die aktuelle Ge-  Gesundheitssektor  ein  Sicherheitsfundament  schaffen  und
        fährdungslage veranschaulicht die Preview-Studie „Epidemic?   ihre eigene Digitalisierung sicher vorantreiben. Denn die IT
        The Attack Surface of German Hospitals during the COVID-19   hat die Patientenversorgung unter allen Umständen zu ge-
        Pandemic“  von Alpha Strike Labs, Limes Security und der   währleisten. Dafür müssen Krankenhäuser in der Lage sein,
                  (3)
        Universität  der  Bundeswehr  für  die  CyCon-Konferenz  der   Schwachstellen schnell zu schließen.  n
        NATO im Mai 2021. So weisen die 1.500 gescannten deutschen

        (1)   https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_
         Daten/2.1.4._IT-Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_  Elmar Geese,
         Krankenhaus/B3S_KH_v1.1_8a_geprueft.pdf
         https://www.bundesgesundheitsministerium.de/krankenhauszukunftsgesetz.html  (Foto: Greenbone)
        (2)                                                                COO bei Greenbone Networks
        (3)   https://arxiv.org/abs/2101.07912



                                                             SPECIAL_2/2021  IT-SICHERHEIT IM KRANKENHAUS        17