In kaum einem anderen Jahr wurden uns die Möglichkeiten der Digitalisierung und Abhängigkeiten von IT-Systemen so präsent vor Augen geführt wie in diesem. Während die IT-Nutzung von Tag für Tag zunahm, haben auch Kriminelle insbesondere das Gesundheitswesen als ein potentiell lukratives Ziel entdeckt.
Das Jahr begann für viele IT-Abteilungen der Gesundheitswirtschaft hektisch: Eine Sicherheitslücke in einem Citrix-Produkt, die sich relativ schnell den Spitznamen „Shitrix“ einfing, entpuppte sich als Bedrohung, da sie böswilligen Angreifern erlaubte, einen Zugriff ohne Authentifizierung zu erlangen. Dabei zeigte sich, dass viele Unternehmen und Organisationen selbst nach Veröffentlichung eines Updates nicht in der Lage waren, die Sicherheitslücke zeitnah und selbständig zu schließen, insbesondere, weil bei vielen die kritische Information schlichtweg nicht ankam.
Der wohl folgenschwerste Hackerangriff dieses Jahres in Deutschland könnte die Einschleusung eines Verschlüsselungstrojaners an der Uniklinik Düsseldorf durch eine mutmaßlich russische Hacker-Gruppe gewesen sein. Zwischenzeitlich ermittelte sogar die Polizei in dem Fall wegen fahrlässiger Tötung, weil eine Frau aufgrund der ausgefallenen Notaufnahme in ein weiter entferntes Krankenhaus eingeliefert werden musste und auf dem Weg dorthin verstarb. Der Zusammenhang erhärtete sich aber nicht.
Dabei bleibt das Uniklinikum nicht das einzige Opfer solcher Attacken. Noch schlimmer erging es beispielsweise unseren Nachbarn in Tschechien. In die Systeme der Universitätsklinik Brünn (Brno), an der sich das größte tschechische Covid-19-Testlabor befindet, wurde ebenfalls ein Erpressungstrojaner eingeschleust und legte nahezu den kompletten Krankenhausbetrieb lahm.
Auf eine kleine Anfrage im Bundestag in diesem Kontext antwortete die Bundesregierung, dass in 2020 43 Hackerangriffe auf deutsche Gesundheitseinrichtungen, die Kritische Infrastrukturen betreiben, gemeldet wurden, während es im Jahr 2019 nur 16, im Jahr 2018 sogar nur 11 waren. Hier ist somit ein starker Trend zu erkennen.
Die genannten Beispiele zeigen sehr deutlich die unterschiedlichen Aspekte der Informationssicherheit.
- So müssen Systeme zum einen durch technische Maßnahmen geschützt werden, um beispielsweise das Eindringen von Trojanern zu verhindern.
- Zum anderen müssen jedoch auch organisatorische Strukturen geschaffen werden, um z. B. Sicherheitslücken zeitnah zu schließen und erforderliche Prozesse innerhalb der Einrichtung zu koordinieren.
Neben periodischen IT-Sicherheitsanalysen und Penetrationstests wird daher die Einführung eines Informationssicherheitsmanagementsystems (ISMS) empfohlen, um durch geeignete organisatorische und technische Maßnahmen die Informationssicherheit innerhalb eines Unternehmens zu gewährleisten.
Ab dem 1. Januar 2022 sind alle Kliniken in Deutschland durch das PDSG verpflichtet, die IT-Sicherheit (beispielsweise durch ein ISMS) zu gewährleisten. Passenderweise bietet das KHZG hierzu attraktive Fördermöglichkeiten, wie etwa bei der Einführung eines ISMS.
Gerne bieten wir Ihnen unsere Unterstützung bei der Implemtierung eines Informationssicherheitsmanagementsystems an. Kommen Sie gerne auf uns zu. Jetzt Kontakt aufnehmen!