Cybersicherheit im Gesundheitswesen
Wie gefährdet die Cybersicherheit im Gesundheitswesen ist, wissen wir nicht erst seit Februar 2016: Damals wurden die IT-Infrastrukturen vieler Kliniken durch einen einfachen Virenangriff stillgelegt. Daher drängen die Behörden strenger darauf, dass nicht nur Kliniken, sondern auch Hersteller die IT-Sicherheit ihrer (Medizin-)Produkte gewährleisten.
In diesem Artikel erhalten Sie einen Überblick darüber, was die IT-Sicherheit im Gesundheitswesen gefährdet und was Sie dagegen tun können und müssen. Damit wird es Ihnen gelingen, regulatorischen Ärger zu vermeiden und Produkte sicher zu entwickeln und zu betreiben.
Was macht die IT-Sicherheit im Gesundheitswesen so besonders?
Die Bedrohung der IT-Sicherheit beschränkt sich nicht auf das Gesundheitswesen. Dennoch gibt es einige Besonderheiten zu beachten:
1. Menschenleben werden bedroht
Im Gegensatz zu Angriffen auf die Infrastrukturen von Privatpersonen oder Unternehmen stellen Angriffe auf IT-Infrastrukturen im Gesundheitswesen (z.B. in Kliniken) eine Bedrohung von Menschen, konkret von Patienten dar. Wenn, wie jetzt geschehen, die IT einer Klinik ausfällt, kann sie keine Patienten mehr aufnehmen und muss OPs verschieben. Wenn der Angriff die Beatmungsgeräte einer Intensivstation trifft, können Patienten innerhalb von Minuten versterben.
2. Spezifische Regularien sind einzuhalten
Die Bedrohung der IT-Sicherheit im Gesundheitswesen ist auch eine Bedrohung des Schutzes höchst vertraulicher Gesundheitsdaten. Auch, aber nicht nur deshalb gibt es spezifische Regularien für die Betreiber von Gesundheitseinrichtungen und die Hersteller von Medizinprodukten. Diese werden Sie im folgenden Abschnitt finden.
3. Einige Kliniken agieren amateurhaft
In nur wenigen Branchen wird so wenig Geld in die IT investiert wie in Gesundheitseinrichtungen. Gemäß dem Motto „you get what you pay for“ arbeitet in vielen Kliniken zu wenig und zu schlecht ausgebildetes Personal in der IT. Zudem schwächen abenteuerliche IT-Infrastrukturen und ein hohes Maß an – teilweise unkoordiniertem – Outsourcing an verschiedene Akteure (z.B. Dienstleister für Drucker, Firewalls, PCs, Hersteller von IT-Systemen und Medizingeräten) die IT-Sicherheit.
4. Hersteller handeln unverantwortlich
Auch die Hersteller sind für die mangelnde IT-Sicherheit mit verantwortlich. Zu den Defiziten zählen:
„Historisch gewachsene“ System- und Software-Architekturen
Ein mangelndes Verständnis für die Bedrohung der IT-Sicherheit durch die völlige Vernetzung von IT und Medizintechnik
Ein mangelnder Wille, im Risikomanagement die IT-Security systematisch zu analysieren und zu beherrschen
Fehlende Bereitschaft, Verantwortung nicht nur für das eigene Produkt zu übernehmen, sondern auch für das Produkt im Kontext eines Kliniknetzes
Expertin für IT und Digitalisierung im Gesundheitswesen
IT Sicherheit | Cybersecurity
Gabriele Marie Geiger
Gabriele Marie Geiger