Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Starke Passwörter für den Gesundheitssektor
Das Gesundheitswesen steckt gleich doppelt in der Klemme. Zum einen müssen die Verantwortlichen zuverlässig die Daten ihrer Patienten schützen. Denn nirgendwo sonst gibt es vertraulichere Informationen als die über den eigenen körperlichen oder seelischen Zustand, über Krankheiten und Operationen. Zum anderen kann es passieren, dass Kliniken oder Ambulanzen ihre Dienste nicht mehr aufrechterhalten können. Daher gelten solche Einrichtungen als kritische Infrastrukturen. Sie müssen schon von Gesetzes wegen besonders hohe Schutzmaßnahmen vorweisen. Dennoch hat das System Lücken, die im schlimmsten Fall lebensgefährlich werden können.
Drei Beispiele verdeutlichen, worum es geht. So berichteten zahlreiche Medien wie etwa die Zeit im September 2020 von einem Hackerangriff auf das Düsseldorfer Universitätsklinikum. Eine Patientin musste deswegen in ein weiter entferntes Krankenhaus nach Wuppertal gefahren werden, wo sie kurze Zeit später starb. Das Evangelische Krankenhaus in Lippstadt war im März 2021 gezwungen, einen Aufnahmestopp zu verhängen, weil es ebenfalls von einem Hackerangriff betroffen war, schrieb die Ärzte-Zeitung. Im Oktober 2021 schließlich meldete der Spiegel den Tod eines Babys in einem amerikanischen Krankenhaus, während Kriminelle die IT gekapert hatten. Der Fall zeige „die Gefahr von kollateralen Todesfällen durch Angriffe auf kritische Infrastrukturen“.
Der zeitgemäße Schutz der IT ist eine Sache. Aber die Strukturen im Gesundheitsbereich sind eine andere: Sie bergen zusätzliche Gefahren. So sind bei den verschiedenen Beteiligten viele unterschiedliche Systeme im Einsatz, die nur selten aufeinander abgestimmt sind. Gesetzliche Vorgaben zur Digitalisierung verschärfen das Problem – ungewollt – weiter. So haben Versicherte mittlerweile einen Anspruch darauf, eine elektronische Patientenakte zu nutzen. Die Dienstleister müssen digitalisieren, es bleibt ihnen nichts anderes übrig. Nicht immer kann das Schutzniveau damit Schritt halten.
Welche Herausforderungen IT-Sicherheit im Gesundheitssektor mit sich bringt
„Angesichts des besonders schwerwiegenden Eingriffs in die schützenswerte Intimsphäre von Patienten, die beispielsweise ein Abfluss sensibler Gesundheitsdaten darstellt, muss der Schutz dieser Daten eine übergeordnete Priorität einnehmen.“ Das schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2021. Aber nur wer die Schwachstellen kennt, kann sie beheben. Schauen wir also einmal genauer auf die vier aktuell größten Herausforderungen, die es für die Einrichtungen zu meistern gilt.
Herausforderung 1: Old versus New
Es gibt derzeit viele Digitalisierungsbestrebungen im Gesundheitswesen. Da gerät fast in Vergessenheit, dass in vielen Krankenhäusern, Arztpraxen und Kliniken zahlreiche Akten noch in Papierform oder zumindest mit mittlerweile veralteten EDV-Systemen verarbeitet werden. Das führt zu einem Nebeneinander von Verfahren, die meist nicht kompatibel sind. Der Aufwand wird größer, die Anzahl potenzieller Fehlerquellen wächst. Und das in einem Bereich, in dem präzise und schnelle Kommunikation ganz besonders wichtig ist.
Herausforderung 2: Viele Beteiligte
Diese Kommunikation ist keine Einbahnstraße, sondern ein Netzwerk. Die Beteiligten stehen miteinander in Kontakt und tauschen Daten aus. Ein Beispiel ist die elektronische Arbeitsunfähigkeitsbescheinigung, die ab 2022 zur Anwendung kommt: Ärzte und Krankenhäuser übermitteln die entsprechenden Daten elektronisch an die Krankenkasse. Dort müssen Arbeitgeber diese abrufen, ebenfalls auf elektronischem Weg. Der sogenannte gelbe Zettel gehört damit der Vergangenheit an. Genossenschaften, Labore oder weitere Sozialversicherungsträger stellen auch zunehmend auf elektronische Kommunikationswege um – oder haben es bereits getan.
Herausforderung 3: Zahlreiche Eigenlösungen
Krankenhäuser, ebenso wie andere Träger der öffentlichen Gesundheitsversorgung, arbeiten oftmals mit eigener Software. Selbst wenn sie verbreitete Lösungen nutzen, treffen in der Praxis doch immer wieder unterschiedliche Systeme aufeinander. Sie müssen miteinander vernetzt werden, auch wenn das bei ihrer Entwicklung möglicherweise noch gar nicht absehbar war. Die Programmierung von Schnittstellen ist ein häufig gewählter Lösungsansatz. Die daraus entstehenden Medienbrüche und Silolösungen bilden aber immer Einfallstore für Cyberkriminelle.
Herausforderung 4: Rechtliche Vorgaben
Die bekannteste, weil weitreichendste rechtliche Vorgabe ist die Europäische Datenschutz-Grundverordnung (DSGVO). Sie regelt, was bei der elektronischen Verarbeitung von personenbezogenen Daten beachtet werden muss. Im Gesundheitswesen sind nahezu alle anfallenden Daten zwangsläufig personenbezogen. Bei Verstößen gegen die Verordnung ist mit empfindlichen Geldbußen zu rechnen.
Wie man diesen Herausforderungen begegnen kann
So vielfältig wie die potenziellen Gefahren sind, so zahlreich sind auch mögliche Schutzmaßnahmen. An erster Stelle stehen dabei einschlägige Vorgaben. Betreiber kritischer Infrastrukturen können für ihren Bereich branchenspezifische Sicherheitsstandards (B3S) erarbeiten und dem BSI zur Prüfung vorlegen. Für mehr Informationssicherheit im Krankenhaus und in der medizinischen Versorgung wurde so der B3S der Deutschen Krankenhausgesellschaft entwickelt. Auf europäischer Ebene setzt sich die Agentur der Europäischen Union für Cybersicherheit (ENISA) unter anderem dafür ein, die Infrastruktur der EU abwehrfähiger zu machen. Dazu zählt auch der eHealth-Bereich. Hilfreich sind unter anderem Publikationen wie die Vergaberichtlinien für Cybersicherheit in Krankenhäusern, die als Leitfaden für Beschäftigte im Gesundheitswesen gedacht sind.
Während die Umsetzung solcher Vorgaben mitunter einen größeren Zeit- und Ressourcenaufwand nach sich zieht, können Krankenhäuser auch schon mit simpleren, aber gleichfalls effektiven Maßnahmen Risiken minimieren. Dazu zählt vor allem, starke Passwörter zu nutzen, die nicht mehrfach verwendet werden. Ansonsten ist nicht auszuschließen, dass sie bereits kompromittiert wurden und in falsche Hände gelangt sind. Die Passwörter sollten außerdem ausreichend lang sein. Um sich diese trotzdem gut einprägen zu können, empfehlen sich beispielsweise Passphrasen. Sie sollten aus mindestens drei Wörtern und 20 Zeichen bestehen, aber keine bekannten Zitate oder Redewendungen enthalten.
Gesundheitseinrichtungen, die Active Directory als Verzeichnisdienst im Einsatz haben, haben die Möglichkeit diesen mit dem kostenfreiem Tool Specops Password Auditor auf passwortrelevante Schwachstellen zu scannen. Die Ergebnisse fasst ein interaktiver Bericht zusammen. Ganz wichtig: Die Lösung ist eine reine Read-Only-Anwendung, das heißt, es werden keine Änderungen im Active Directory vorgenommen. Mithilfe der Software lässt sich herausfinden, ob Konten mit kompromittierten bzw. schwachen Passwörtern, abgelaufenen Passwörtern, identischen Passwörtern und Konten, die kein Passwort benötigen, vorhanden sind.
Warum es höchste Zeit ist, um zu handeln
„Eine neue Gefährdungslage trat im vergangenen Jahr durch Vorfälle ein, bei denen Cyberkriminelle oder staatliche Akteure gezielt Firmen und Behörden aus dem Gesundheitsbereich angriffen“, heißt es im BSI-Report weiter. Spätestens damit sollte klar sein, dass keine Zeit mehr verloren werden darf, um die IT-Sicherheit im Gesundheitswesen weiter zu stärken. Sorgfaltspflichten und gesetzliche Vorgaben mögen manchmal als notwendige Übel erscheinen. Aber wenn es um den Schutz der Gesundheit von Menschen geht, ist Datenschutz keine Verhandlungssache mehr, sondern ein Muss.
Der Specops Password Auditor bietet einen einfachen und dazu kostenfreien Einstieg zur Erhöhung der Passwortsicherheit in Active-Directory-Umgebungen. Er setzt da an, wo mit vergleichsweise einfachen Mitteln besonders viel erreicht werden kann: bei der Belegschaft und ihrem täglichen Umgang mit Passwörtern.
Sprechen Sie uns an, wir beraten Sie gerne!
(Zuletzt aktualisiert am 17/01/2022)