Europäischen Union für Cybersicherheit ENISA werden fünf   Branchenspezifischer Sicherheitsstandard
        Angriffsszenarien beschrieben, die als besonders relevant für   (B3S) im Krankenhaus
        „Smart Hospitals“ angesehen werden:
                                                               Um  sicherzustellen,  dass  unser Gesundheitswesen  gut
              ƒ Malware-/Erpressungssoftware-Attacken auf Kranken-  gegen  Cyberattacken  geschützt  ist,  hat  die  Deutsche  Kran-
             hausinformationssysteme                         kenhaus Gesellschaft gemeinsam mit dem Bundesamt für
              ƒ Lahmlegung von Krankenhaus-Servern           Sicherheit in der Informationstechnik (BSI) den „branchen-
              ƒ Social Engineering (E-Mail-Manipulation/-Fälschung)  spezifischen Sicherheitsstandard für die Gesundheitsver-
              ƒ Manipulation von Geräten sowie               sorgung im Krankenhaus“ definiert. Dieser beinhaltet einen
              ƒ Diebstahl von Geräten und Daten-Exfiltration  regelmäßigen Austausch zwischen dem BSI und Kranken-
                                                             häusern sowie Vorgaben bezüglich der Verfügbarkeit, Inte-
        Gesundheitssektor im Rampenlicht                     grität, Authentizität und Vertraulichkeit der IT-Systeme und
                                                             Daten nach dem vorliegenden B3S. Neben der DS-GVO und
           Nicht nur aufgrund der pandemiebedingten Ausnahme-  dem IT-Sicherheitsgesetz gehört B3S im Krankenhaus zu den
        situation besteht ein hohes gesellschaftliches Interesse am   wichtigsten Leitfäden beziehungsweise Vorschriften, die den
        Gesundheitssektor, insbesondere was Krankenhäuser und   Sicherheitsstandard für kritische Infrastrukturen (KRITIS) in
        ihre Pflegebetten auf Intensivstationen betrifft. Die Gesund-  Deutschland festlegen.
        heitsbranche arbeitet aktuell an ihren Grenzen. Da ist es
        kein Wunder, dass die IT-Security nicht immer so im Fokus   Bei der Umsetzung dieser speziellen Sicherheitsanforde-
        steht, wie sie sollte. Auch aus diesen Gründen rücken Kran-  rungen im Gesundheitssektor helfen auch externe Anbieter
        kenhäuser immer weiter ins Visier von Cyberkriminellen.   für IT-Security. Entscheidungshilfe bei der Auswahl geeigne-
        Es ist wichtig zu erwähnen, dass es sich dabei oftmals nicht   ter Partner sind unter anderem Zertifizierungen wie beispiels-
        um Hobby-Hacker handelt, die einen „Hack“ als persönliche   weise die vom BSI anerkannte Zertifizierung von Lösungen
        Herausforderung sehen oder schnell reich werden wollen.   nach Common Criteria EAL3+. Diese ist insbesondere für die
        Hinter modernen Cyberattacken stehen in der Regel hoch-  Anwendung bei kritischen Infrastrukturen relevant.
        moderne und finanziell starke kriminelle Organisationen,
        die sich den Gesundheitssektor zum Spezialgebiet gemacht   Wohin führt der Weg?
        haben. Auch der ENISA-Report verdeutlicht die Gefahr: Das
        Angebot an „Ransomware as a Service“ (RaaS) – hier bieten   Digitale Technologien haben den Gesundheitssektor in den
        Hacker maßgeschneiderte Schadsoftware gegen Bezahlung   letzten Jahren maßgeblich verändert. Es ist der Wandel hin zu
        oder einen Anteil am Erlös (Lösegeld oder sensible Daten) im   einem intelligenten Krankenhaus mit vernetzten Systemen,
        Darknet an – steigt immer weiter an. Der IT-Fachkräfteman-  Remote-Untersuchungen und digitalen Endgeräten. Dieser
        gel verschärft die Situation im Gesundheitswesen, wo Digi-  Wandel beinhaltet große Chancen, aber auch einige Risiken,
        talisierungsdruck auf veraltete Betriebssysteme und Human   nicht zuletzt aufseiten der IT-Sicherheit. Die Liste der Bedro-
        Error trifft.                                        hungspotenziale und Schwachstellen ist bekannt; sie ist in
                                                             nationalen und europäischen Leitfäden festgehalten. Das Ziel
        Der Mensch ist Risikoquelle Nummer 1                 muss sein, weniger bis keine Angriffe zu erlauben. Dabei kann
                                                             auch ein externer Lösungsanbieter hilfreich sein.
           Die wahrscheinlichsten und gleichzeitig  gefährlichsten
        Angriffsszenarien beinhalten menschliches Fehlverhalten.   Im Krankenhaus liegt der Fokus verständlicherweise auf
        Phishingmails mit angehängter Schadsoftware gehören   der Gesundheit der Menschen und so bietet es sich an, ein auf-
        mittlerweile zum Alltag, sind aber dennoch beunruhigend   wendiges und gleichzeitig wichtiges Thema wie die IT-Sicher-
        oft erfolgreich, weil sie immer professioneller gestaltet wer-  heit auszulagern. IT-Security-Anbieter kennen die Bedrohung
        den. Vernetzte Geräte bleiben oft entsperrt liegen und können   genauso gut wie die gesetzlichen Anforderungen an KRITIS-
        in frei zugänglichen Bereichen einfach von Passanten mit-  Anbieter. Bei Cyberangriffen auf Krankenhäuser ist die Frage
        genommen werden. Sobald Kriminelle einmal ins Netzwerk   nicht mehr „ob“, sondern „wann“ sie an der Reihe sind. Deshalb
        eingedrungen sind, werden sie von klassischen Firewalls und   sollten Investitionen im Bereich IT-Sicherheit auch ganz weit
        Antivirus-Programmen nicht mehr erfasst, denn diese rich-  oben auf der Prioritätenliste stehen.  n
        ten sich nur gegen den Angreifer von außen. Deshalb sind
        zusätzliche Sicherheitsebenen in Form von Applikations- und
        Gerätekontrolle sinnvoll. Vorurteile gegenüber diesen zusätz-
        lichen Schutzmaßnahmen, wie zum Beispiel, dass sie einen
        erheblichen Mehraufwand bedeuten, sind lange veraltet. Im
        Gegenteil: Fortschrittliche Technologien arbeiten mit maschi-
        nellem Lernen, nutzen intelligente Whitelists und erlauben
        die problemlose Nutzung und Verwaltung von bekannten/              Anton Kreuzer,
                                                                           CEO bei DriveLock SE
        genehmigten Anwendungen und Geräten.



                                                                      SPECIAL_1/2022  IT-SICHERHEIT IM KRANKENHAUS  21