Cybersicherheit im Gesundheitswesen: Bedeutung und wie man sie verbessern kann

Die Digitalisierung im Gesundheitswesen hat in den letzten Jahren eine beispiellose Bedeutung erlangt und revolutioniert die Art und Weise, wie medizinische Dienstleistungen erbracht werden. Von der elektronischen Patientenakte bis hin zu virtuellen Sprechstunden, telemedizinischen Verfahren und künstlicher Intelligenz in der Diagnostik - die digitale Transformation der Gesundheitsbranche eröffnet unzählige Möglichkeiten für eine schnellere und effektivere medizinische Versorgung. Doch die zunehmende Vernetzung von Geräten und Systemen bringt auch Herausforderungen mit sich, insbesondere im Bereich der Cybersicherheit. Denn es gibt zahlreiche potenzielle Angriffsziele für Cyberkriminelle. Diese gilt es zu schützen, um Schaden von Patient:innen und Einrichtungen abzuwenden. Die Cybersicherheit im Gesundheitswesen hat spätestens seit dem Jahre 2015 einen besonderen Stellenwert erhalten. Das Bundesamt für Sicherheit in der Informationstechnik (im Folgenden kurz BSI) hat in diesem Jahr die Zuständigkeiten auch für einige Bereiche im Gesundheitswesen erhalten. Durch den Einsatz des BSI soll Cyberkriminalität ein Riegel vorgeschoben werden und beispielsweise Pharmaunternehmen oder Krankenhäuser im Bereich Informationssicherheit unterstützt werden.

Die Gewährleistung von Sicherheit, insbesondere im digitalen Bereich, ist heutzutage in jeder Branche von höchster Bedeutung. Die Cybersicherheit in Gesundheitseinrichtungen wie beispielsweise in Krankenhäusern, welche jährlich rund 30.000 Behandlungen oder mehr zu verzeichnen haben, gilt als besonders kritisch. Doch selbst kleine Arztpraxen können von Sicherheitslücken im System betroffen sein.

Die Auswirkungen dieser Sicherheitslücken können äußerst gravierend sein. Insbesondere im Gesundheitswesen ist die Gewährleistung der Informationssicherheit von entscheidender Bedeutung, um sicherzustellen, dass sensible Daten nicht in die falschen Hände geraten. Manipulation oder gar Zerstörung von solchen Daten können verheerende Konsequenzen haben. Cyberkriminelle könnten nicht nur die gestohlenen Informationen weiterverkaufen oder weitergeben, sondern auch wichtige Daten für Folgebehandlungen von Patient:innen beeinträchtigen. Die verzögerte oder sogar fehlende Verfügbarkeit wichtiger Informationen über die Krankheitsgeschichte, Medikationen und vorherige Behandlungen kann zu falschen Behandlungsentscheidungen führen und somit den Gesundheitszustand verschlechtern. Darüber hinaus kann es zu Verzögerungen bei der Diagnose und Behandlung von Krankheiten kommen, da wichtige Informationen fehlen, um eine korrekte Diagnose zu stellen.

Ein weiteres mögliches Szenario besteht darin, dass lebenserhaltende medizinische Geräte durch einen solchen Angriff deaktiviert werden und dadurch potenziell verheerende Schäden verursachen.

Ein anderes Beispiel für einen illegalen Zugriff von Cyberkriminellen ist der sogenannte "Support-Betrug". "Dabei werden Fehlermeldungen oder Popupnachrichten auf besuchten Websites angezeigt, die den Webbrowser von Einrichtungen wie Arztpraxen scheinbar blockieren. Um das Problem zu lösen, wird dem Opfer in den Meldungen eine Telefonnummer zum vermeintlichen Support angeboten. In einigen Fällen rufen Mitarbeitende diese Nummer an und überlassen den Kriminellen die Kontrolle über den Computer. Die Angreifenden fragen anschließend nach verschiedenen Passwörtern und Zugangsdaten, wodurch die Cybersicherheit gefährdet wird.

Cyberkriminelle zielen jedoch in den meisten Fällen darauf ab, Lösegeld zu erpressen. Kommen wichtige Systeme zum Erliegen, deren Ausfall noch dazu eine zeitkritische Komponente hat, versprechen sich die Angreifenden hohe Geldbeträge für die Reaktivierung. Wichtig ist es daher, mögliche Sicherheitslücken frühzeitig zu erkennen und entsprechend zu schließen. Bei Ransomware-Angriffen mit Lösegeldforderungen sollte immer die Unterstützung durch externe IT-Sicherheitsexpert:innen, das BSI und die Polizei eingeholt werden.

Eine der größten Angriffsflächen für Cyberkriminelle ist der Mensch. Mitarbeitende sollten daher praxisnah und regelmäßig für mögliche Szenarien sensibilisiert werden.

Sicherheitslücken oder Schwachpunkte der Cybersicherheit im Gesundheitswesen können sein:

• Router
• Vishing-Anrufe
• Geräte mit Fernzugriff
• medizinisches Gerät ohne hinreichenden Virenschutz
• Phishing-E-Mails
• offen zugängliche Passwörter oder Zugangsdaten
• Social Engineering

Die Wahrung der Cybersicherheit im Gesundheitswesen ist für Unternehmen in diesem Sektor mit zahlreichen Herausforderungen verbunden. Die Bedrohungslage betrifft nicht nur Krankenhäuser und Kliniken, sondern auch Praxen, die Pharmaindustrie, Herstellende von medizinischen Geräten und Krankenversicherungen. Zusätzlich müssen auch medikamentenbezogene Informationen wie die Zusammensetzung der Inhaltsstoffe und mehr geschützt werden, um Manipulationen zu vermeiden.

Betroffen sind vorwiegend:

• Pharmaindustrie
• medizinische Einrichtungen jeder Art und Größe
• Forschungseinrichtungen
• medizinisches Gerät
• mobile Endgeräte
• die elektronische Patientenakte

Die verwendeten technischen Gerätschaften bieten eine Angriffsfläche, wo durch sich Zugang zu internen Netzwerken im Gesundheitswesen verschafft werden kann. Dies kann in Einrichtungen jeder Art und Größe, von der Physiotherapie um die Ecke bis zur landesweit bekannten Klinik, der Fall sein.

Die elektronische Patientenakte (kurz: ePA) kann sensible und personalisierte medizinische Daten verschlüsselt speichern. Krankenkassen stellen die ePA zur Verfügung und Patient:innen entscheiden, welche Daten darauf gespeichert werden und wer auf diese zugreifen darf. Je nach Nutzung können zum Beispiel Blutwerte, Erkrankungen, Behandlungsberichte und Medikation der ePA entnommen werden. Bequem per App lässt sich die elektronische Patientenkarte verwalten.

Mobile Endgeräte von Patient:innen und Systeme in Praxen, Kliniken sowie Krankenversicherungen sind potenzielle Einfallstore für Cyberkriminelle, die durch Sicherheitslücken Zugriff auf sensible Daten erlangen können.

Im April 2023 traf ein Cyberangriff den IT-Dienstleister Bitmarck, der insbesondere für gesetzliche Krankenversicherungen arbeitet. Zwar seien Datenabflüsse nicht zu verzeichnen, jedoch kam es zwischenzeitlich zu Störungen in der Nutzung der ePA und weiterer Digital-Angebote verschiedener Krankenkassen.

Die Cyberkriminalität hat gleichzeitig noch weitere Auswirkungen auf das Gesundheitswesen. Es können lebensbedrohliche Situationen für Patient:innen entstehen. Zudem können sensible, personenbezogene Daten verkauft oder frei zugänglich gemacht werden und damit zu Folgeangriffen und Reputationsschäden führen.

Der Gesundheitssektor ist dahingehend von gleich zwei Gesetzen betroffen, die sich auf den Schutz von Patient:innendaten und die IT-Sicherheit beziehen: dem Patientendaten-Schutz-Gesetz (PDSG) und dem IT-Sicherheitsgesetz 2.0. Das PDSG verpflichtet alle Kliniken zur Umsetzung von Sicherheitsmaßnahmen zum Schutz von Patientendaten. Das IT-SiG 2.0 geht noch einen Schritt weiter und schafft strengere Auflagen für KRITIS-Häuser im Gesundheitssektor. Einrichtungen, die den neuen Anforderungen nicht rechtzeitig entsprechen, riskieren empfindliche Strafen.

Das Stehlen, Manipulieren oder Zerstören von Daten kann erhebliche Schäden verursachen. Es gab bereits Fälle von empfindlichen Störungen der Abläufe in medizinischen Einrichtungen und wirtschaftlichen Schäden in der Vergangenheit. Nicht nur die Angreifenden, sondern auch die Inhaber:innen und leitenden Personen der Einrichtungen können (bei Verstößen gegen die Informationssicherheit) zivilrechtlich belangt werden. Wenn gesundheits- oder überlebensrelevante Gerätschaften von Cyberkriminellen ins Visier genommen werden, sind die Gesundheit und das Leben von Patient:innen bedroht.

Ob durch eine eigene Abteilung oder mit externer Unterstützung: Die Informationssicherheit sollte durch Expert:innen abgesichert werden. Die verschiedenen Aufgaben in diesem Gebiet umfassen ein breites Spektrum. Auch diese Mitarbeiter:innen benötigen regelmäßige Schulungen und Unterweisungen, um stets informiert und für den Ernstfall vorbereitet zu sein.

Es besteht also dringender Handlungsbedarf, unter anderem in der Unterweisung von Mitarbeitenden. Ein gut geschultes Team kann zuverlässig dafür sorgen, dass zum Beispiel die Software auf dem neuesten Stand bleibt und Social Engineering-Angriffe abgewehrt werden. Die Verantwortung obliegt trotzdem weiterhin den Führungskräften im Gesundheitswesen.

Doch der wichtigste Tipp ist die permanente Weiterbildung und Sensibilisierung in Gesundheitseinrichtungen. Denn Unwissenheit bei Mitarbeitenden ist immer noch die größte Angriffsfläche für Cyberattacken. In unserem Kurs „Datenschutz im Gesundheitswesen“ wird das medizinische Personal, wie zum Beispiel Ärzt:innen und Gesundheits- und Krankenpfleger:innen, für typische, kritische Situationen in Bezug auf den Datenschutz und die Schweigepflicht durch abwechslungsreiche Animationen und Quizze sensibilisiert. Der Kurs richtet sich an Zahnarzt- und Arztpraxen, Krankenhäuser, Rehabilitationseinrichtungen, Psychotherapeut:innen- und Physiotherapeut:innenpraxen.

_{https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/E-Health/e-health.html
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/E-Health/Elektronische-Patientenakte/elektronische-patientenakte_node.html
https://bau-medizintechnik.com/cyberangriffe-im-gesundheitswesen/
https://www.der-niedergelassene-arzt.de/kommcenter/it-in-der-arztpraxis/news-details/it-sicherheit/5-praxisbeispiele-zum-umgang-mit-cyber-kriminalitaet-in-der-arztpraxis
https://www.bundesgesundheitsministerium.de/elektronische-patientenakte.html
https://www.tagesschau.de/investigativ/panorama/patientendaten-105.html
https://link.springer.com/article/10.1365/s43439-022-00049-8
https://www.heise.de/news/Cyber-Angriff-auf-Bitmarck-Einige-Krankenkassen-Dienste-gestoert-8978360.html}