für Cyberattacken aus der jüngeren Vergangenheit: Im Jahr
        2019 hatte ein per E-Mail eingeschleuster Trojaner Emotet im
        Klinikum Fürth folgenreiche Auswirkungen. Das Klinikum
        konnte wegen des Hackerangriffs auf die IT-Infrastruktur vo-
        rübergehend keine neuen Patienten aufnehmen, sogar Ope-
        rationen mussten verschoben werden. Im Herbst 2021 folgte
        dann ein erneuter Schlag aus dem Internet im Wolfenbütteler
        Krankenhaus. Die Computersysteme des Klinikums in Nie-
        dersachsen mussten nach einem Hacker-Angriff mit einem
        Erpressungstrojaner vorsorglich heruntergefahren werden,
        Stift und Papier wurden wieder salonfähig.

        Rudimentäre Sicherheit über Umwege

           Dabei handelt es sich um Vorfälle, die laut Astel oft da rauf
        zurückzuführen sind, dass Kliniken und Krankenhäuser nicht
        mit der nötigen Erfahrung und nicht mit dem technischen
        Equipment ausgestattet sind. Das beginne mit den vielen ge-  Blick in das Rechenzentrum „München Ost“ von noris network
        setzlichen Regularien und ende damit, dass dort oft noch ver-  (Foto: noris network)
        altete IT-Konzepte verfolgt werden würden: „Frei zugängliche
        Serverräume, offene Verbindungen ins Internet, unregelmä-
        ßige Update-Zyklen, aber auch fehlende redundante Hard-  „Störungen sind so gut wie ausgeschlossen“
        ware- und Software-Ressourcen als Reserve sowie nur ru-
        dimentäre Disaster-Recovery-Strategien im Hinblick auf die   Sinnvoller wäre es nach Auffassung des noris network
        Praxistauglichkeit – Hacker haben oft ein leichtes Spiel.“  Vorstands, hier mit redundanten, kanten- und wegedisjunk-
                                                             ten Datenleitungen auf ein externes Rechenzentrum zuzu-
           Wegen der bestehenden Landesdatenschutzgesetze se-  greifen und dort die komplette IT zu verwalten. „Das sorgt für
        hen sich viele Krankenhäuser jedoch dazu gezwungen, ihre IT   höchsten Patientendatenschutz, weil ein Hochsicherheitsre-
        komplett selbst zu managen, obwohl IT-Dienstleister dafür so-  chenzentrum eine weitaus bessere Abwehr gegen Angreifer
        wohl über die nötige Kompetenz als auch die Infrastruktur ver-  bieten kann als jeder Serverraum in einem Krankenhaus oder
        fügen. Um hier einen kompetenten, externen IT-Dienstleister   ein aus Sicht des Hackers einfach kompromittierbarer Cloud
        in größerem Stil einbinden zu können, bedienen sich einige IT-  Service. Entsprechende Rechenzentren haben sich genau auf
        Anbieter im Gesundheitswesen eines merkwürdigen Kunst-  den Schutz solcher sensiblen Daten spezialisiert und können
        griffs: So mieten manche Krankenhäuser in einem externen   das im Idealfall mit Zertifizierungen wie TÜViT TSI Level 4,
        Rechenzentrum einen Raum oder Käfig als Mietbereich an, der   KRITIS, ISO 27001, BSI Grundschutz und anderen nachweisen“,
        nur von IT-Spezialisten betreten werden darf, die Mitarbeiter   so Astel.
        sowohl des Krankenhauses als auch des IT-Dienstleisters sind.
                                                               Ein typisches Beispiel sei, dass Krankenhäuser für Opera-
           Hilfreicher wären hier modernisierte Krankenhausgesetze   tionssäle häufig ein Notstromaggregat im Einsatz hätten. Das
        in einigen Bundesländern, die eine Einbindung eines externen   liefe aber nach einem Stromausfall manchmal nicht zuverläs-
        IT-Dienstleisters aus Datenschutzsicht nicht mehr komplett   sig an. Betreiber von Hochsicherheitsrechenzentren, die sich
        unmöglich machen. Andere Krankenhäuser verschlüsseln ihre   etwa im kritischen Bankenbereich ihre Sporen verdient ha-
        sensiblen Informationen mit starker Verschlüsselung zunächst   ben, seien verpflichtet, monatliche Notstromanlagentests un-
        selbst und lagern diese Daten anschließend in die Storage-Sys-  ter Echtbedingungen durchzuführen und mindestens einmal
        teme eines Rechenzentrums aus. Über entsprechende Rück-  jährlich einen echten Blackout zu simulieren. Notstromaggre-
        importfunktion mit Entschlüsselungsmechanismus lassen sich   gate müssten zudem vorgeheizt sein, damit sie in wenigen
        die Daten dann wieder in der Klinik nutzen. Die meisten Lö-  Sekunden ihre volle Funktion zur Verfügung stellen können.
        sungen arbeiten hier jedoch mit statischen Datenablagen, ins-  „Bei uns greift außerdem eine Überversorgung mit Back-up-
        besondere für Archivierungszwecke. Lösungen, die darüber   Dieselaggregaten, die einspringen, sollte bei Stromausfall trotz
        hinausgehen, sind oft technologisch nicht durchdacht, da sie   aller Maßnahmen eine der Maschinen ausfallen. Störungen
        häufig zwar Data in transit und Data at rest auf dem Weg in die   sind damit so gut wie ausgeschlossen.“ Und auch die in Privat-
        Cloud beleuchten, jedoch nicht Data in use – sprich CPU-Ver-  kliniken und öffentlichen Krankenhäusern vorherrschenden
        schlüsselung und ähnliche moderne Mechanismen. Ob solche   Defizite im Zusammenhang mit dem Fachkräftemangel und
        Verfahren unabhängig vom Aufwand allerdings dazu taugen,   fehlenden personellen Ressourcen lassen sich nach den Wor-
        zu einer langfristigen und gesetzeskonformen Datensicher-  ten Astels in Hochsicherheitsrechenzentren beheben: „Wir lie-
        heits- und Datenschutzpolitik beizutragen, bleibt fraglich. „Das   fern die Security-Experten und fachkundigen Administratoren
        komplizierte Schlüsselmanagement muss durch redundante   sozusagen gleich mit. Gleichzeitig muss jedoch der gesetzliche
        Systeme mit Hardware-Security-Modulen (HSM) geklärt wer-  Rahmen auf föderaler Ebene weiter modernisiert werden.“  n
        den, bei Brand fällt die IT aus und der Aufwand für Adminis-
        tratoren mit mehreren Standorten ist enorm“, so Astel.  Alexander Deindl, freier Journalist, München




                                                                      SPECIAL_1/2022  IT-SICHERHEIT IM KRANKENHAUS  25