Einem Bericht der Europäischen Agentur für Cybersicherheit (ENISA), zufolge haben sich Angriffe gegen im Gesundheitswesen tätige Organisationen im ersten Quartal 2023 verdoppelt.
Allein im ersten Quartal 2023 wurden 40 Cybersicherheitsvorfälle im Gesundheitswesen bekannt, was eine Verdoppelung im Vergleich zu den etwa 22 von Q1 2021 und 2022 darstellt. Die Ziele waren aber nicht nur Krankenhäuser oder Pflegeeinrichtungen, sondern auch Dienstleister. Diese werden infiltriert, um sich über andere Wege Zugang zu Patientendaten zu verschaffen, denn ein Cyberkrimineller kann beim Weiterverkauf damit rechnen, zwischen 50 und 250 Euro pro Krankenakte zu erzielen. An Daten mangelt es nicht: Laut Schätzungen von RBC Capital Markets werden etwa 30 % des weltweiten Datenvolumens von der Gesundheitsbranche generiert. Bis 2025 wird die durchschnittliche jährliche Wachstumsrate der Daten im Gesundheitswesen 36 % erreichen. Das ist 6 % schneller als im verarbeitenden Gewerbe, 10 % schneller als bei Finanzdienstleistungen und 11 % schneller als in der Medien- und Unterhaltungsbranche. In Deutschland wird das Wachstum umso zügiger stattfinden, nachdem bis Anfang 2025 die elektronische Patientenakte (ePA) für alle gesetzlich Versicherten eingerichtet sein soll.
Cyberschutzmaßnahmen für die Gesundheitsinfrastruktur
Methodologisch betrachtet besteht der erste Schritt zum Schutz der Gesundheitsinfrastruktur darin, das gesamte System, die sensibelsten Assets und die damit verbundenen Risiken zu überprüfen und zu analysieren. Zweitens ist Handeln erforderlich: Dies bedeutet, Sicherheitslösungen (für Netzwerke, Endgeräte und biomedizinische Geräte) bereitzustellen und dabei die spezifischen Merkmale von Gesundheitsdaten zu berücksichtigen, die nicht vollständig anonymisiert werden können. Dies erfordert die Kombination von zwei Datenbanken: einer anonymisierten und einer, die in der Lage ist, Dateien wiederzuerkennen – daher die Komplexität der Operation. Schließlich muss die Sicherheit des Informationssystems ständig überwacht werden, um eine kontinuierliche Verbesserung zu ermöglichen. Verwaltete Systeme sind hierfür eine gute Alternative, da sie Ressourcen bündeln und den Mangel an Arbeitsstationen ausgleichen können.
Mögliche Einstiegspunkte, interne wie externe, müssen ebenfalls überprüft werden. Die Unterteilung in vier Kategorien erleichtert die Aufgabe: Menschen, Software, Netzwerk und physische Gegebenheiten. Die in diese Kategorien fallenden Schwachstellen müssen schnellstens behoben und das Verfahren auch für alle Partner oder Dienstleister dupliziert werden: Im Oktober 2020 wurde beispielsweise die Logistikkette für die Verteilung des COVID-19-Impfstoffs von Phishing-Kampagnen getroffen. Zu den Opfern gehörten laut IBM auch internationale Organisationen mit Sitz in Deutschland, Italien, der Tschechischen Republik und weiteren europäischen Ländern.
Aber der Schutz der Akteure im Gesundheitswesen besteht nicht nur darin, Cyberangriffe zu verhindern und zu bekämpfen, sondern bedeutet auch, IT/OT-Infrastrukturen zu stärken, um sie robuster und zuverlässiger zu machen. Nicht böswillige Vorfälle machen 48 % der Berichte aus.
Regulierungen in einem realen Umfeld
In den letzten Jahren (mit der NIS-2-Richtlinie und der DSGVO auf europäischer Ebene) scheint das Cyberrisiko im Gesundheitssektor von den öffentlichen Behörden verstanden worden zu sein.
In Deutschland bildet der dedizierte Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus den Rahmen für organisatorische und technische Maßnahmen. Er wurde von der Deutschen Krankenhausgesellschaft (DKG) in Absprache mit dem BSI entwickelt, um die kritische Dienstleistung eines Krankenhauses abzusichern. Insgesamt enthält der Standard ca. 200 Anforderungen und Empfehlungen für Maßnahmen. Dazu gehören die Einführung eines Informationssicherheitssystems (ISMS) und eines Business-Continuity-Systems (BCM) sowie ein aktives Management von Risiken rund um den Ausfall digitaler Systeme.
Bei Nichteinhaltung der IT-Sicherheitsanforderungen drohen den Verantwortlichen Konsequenzen, die von vertragsärztlichen Folgen und Schadensersatzforderungen über Bußgelder und die Rückforderung von Fördergeldern bis hin zu strafrechtlichen Verfahren reichen. Es bleibt abzuwarten, ob dies Anreiz genug für eine konkrete Umsetzung geeigneter Sicherheitskonzepte ist, nachdem sich Datenlecks im Gesundheitssektor in den letzten zwölf Jahren als die kostspieligsten aller Branchen erwiesen – mit Durchschnittskosten von etwa 300.000 Euro allein in Europa.
Der beste Weg, um Cyberangriffe zu bekämpfen und Ausfälle zu verhindern, während Infrastrukturen und Dienste (und letztendlich Patienten) geschützt werden, scheint doch darin zu bestehen, sich mit spezialisierten Anbietern aus Europa zu umgeben, die qualifiziertes Personal unterstützen können. Schließlich sind zwar die Cybersicherheitslösungen im Gesundheitswesen weitgehend die gleichen wie in anderen Sektoren, die Konsequenzen eines Vorfalls können hier jedoch weitaus dramatischer sein.
