Digitale Sicherheit für Krankenhäuser

Digitale Bedrohungen machen vor niemandem Halt. Auch medizinische Einrichtungen sind nicht vor Viren, Cryptotrojanern, Phishing-Attacken und mehr gefeit. Wie gerade sie sich schützen können, erforscht Stefan Richter an der UMIT Hall.

Die Welt wird digitaler – und damit auch die Medizin. Doch was für Pflege, Diagnostik und Therapie ein echter Segen ist, kann aus der Sicherheitsperspektive schnell zum Albtraum werden. „Für ein reguläres Unternehmen kann ein Cyberangriff schwere finanzielle Folgen haben“, sagt Stefan Richter, Medizin-Informatiker an der UMIT Hall. „Bei Krankenhäusern stehen aber Menschenleben auf dem Spiel.“

Kollateralschaden

Den traurigen Beweis dafür lieferte 2020 eine Attacke gegen das Universitätsklinikum Düsseldorf: Weil dort alles stillstand, musste ein Rettungswagen umgeleitet werden. Die Patientin an Bord verlor wertvolle 30 Minuten, bevor sie zu einem anderen Krankenhaus gebracht wurde. Dort verstarb sie direkt nach der Einlieferung. „Zusätzlich tragisch ist, dass Krankenhäuser in der Regel Kollateralschäden sind“, weiß der Informatiker. Sie fallen oft zufällig den weit ausgeworfenen Netzen der HackerInnen zum Opfer. „Das war auch in Düsseldorf der Fall: Dort haben sogar die AngreiferInnen selbst versucht, die als Geisel genommenen Daten zu entschlüsseln. Für die Patientin kam das leider zu spät.“

Schwer umsetzbar

Cybersicherheit muss in medizinischen Einrichtungen also hohe Priorität haben. Aber: „Sicherheit konkurriert oft mit Funktionalität, Budgets und der Weiterentwicklung der Technik“, weiß er. „Ein geprüftes Medizingerät auf den neuesten Stand zu bringen, ist nicht nur mit Aufwand verbunden, sondern braucht auch Zeit – die, wenn eine Sicherheitslücke entdeckt wird, sehr knapp sein kann.“ Das macht die Umsetzung von Maßnahmen nicht immer einfach.

Klare Anweisungen

Mit diesem Problem befasst sich Richter seit seinem Studium der Medizininformatik an der UMIT Hall und auch in seiner Dissertation. In ihrem Rahmen nahm er eine sogenannte Delphi-Studie vor, bei der ein relativ breites Spektrum von ExpertInnen in einem mehrstufigen Prozess befragt wird, um zukünftige Entwicklungen und Trends zu erkennen. Aus diesen Erkenntnissen entwickelte er einen Anweisungskatalog, anhand dessen Krankenhäuser ihre IT-Infrastruktur und die darin eingebundenen Medizingeräte sicher betreiben können. „Dabei lag die Praxisnähe im Fokus“, betont Richter. Theoretische Arbeiten zu der Thematik gäbe es genug. „Der Katalog gibt hingegen handfeste Handlungsanweisungen. Gewissermaßen: Um System XY gegen Bedrohung A abzusichern, müssen Bedingungen 1, 2 und 3 erfüllt werden.“

Faktor Mensch

Zugleich ist die sicherste IT-Infrastruktur zwecklos, wenn sie achtlos genutzt wird. Deswegen befasst sich Richter auch mit MitarbeiterInnen und ihrem Beitrag zur IT-Sicherheit. „Aktuell ist es meistens so, dass die Belegschaft ohne Unterscheidung auf IT-Bedrohungen geschult wird“, beschreibt er die Situation. „Ob das wirklich zielführend ist, ist fraglich.“ Denn HausmeisterInnen, die selten externe E-Mails bekommen, laufen kaum Gefahr, einer Phishing-Attacke zum Opfer zu fallen. „Stehen aber unangemeldet angebliche Microsoft-MitarbeiterInnen vor der Türe und fragen nach dem Server-Raum, sollten die Alarmglocken schrillen“, warnt Richter. Für OberärztInnen sei solches Social Engineering eine geringere Bedrohung. Sie würden eher Ziel von Spearphishing-Attacken, also von maßgeschneiderten E-Mails, insbesondere, wenn sie prominente Internetpräsenzen hätten. „Auf dieser Annahme basierend, arbeiten wir daran, verschiedene Gruppen – zum Beispiel anhand ihres Aufgabenbereichs – zu definieren, und festzustellen, ob es sinnvoll wäre, MitarbeiterInnen individueller zu schulen“, erklärt Richter.

Zunehmend relevant

All das ist allerdings nur der Anfang. Denn medizinische Daten und ihre Vernetzung nehmen gerade explosionsartig zu: „Wir haben es zum einen mit immer mehr ‚Wearables‘ zu tun“, weiß der Informatiker. „Moderne Fitnesstracker messen so manche ‚echte Medizindaten‘, deren Speicherung, Verarbeitung und Weitergabe nicht unproblematisch ist.“ Zum anderen nimmt der Einsatz von künstlicher Intelligenz in der Medizin enorm zu. Dabei fallen große Datenmengen an, für deren Verarbeitung große Rechenkapazitäten nötig sind. „Deswegen geschieht das meist in Cloud-Rechenzentren“, erklärt Richter. „Das heißt, diese Daten liegen irgendwo, unter Umständen in einem anderen Land, mit anderen Sicherheitsstandards und Richtlinien. Dafür einen adäquaten Datenschutz zu garantieren, wird eine Herausforderung, die uns noch lange beschäftigen wird.“   

Zur Person

Stefan Richter studierte Medizininformatik an der UMIT Hall. Im Rahmen seiner Dissertation entwickelte er einen Maßnahmenkatalog zum sicheren Betrieb von IT-Infrastruktur in Krankenhäusern. Mittlerweile ist er als Universitätsassistent am Institut für Medizinische Informatik an der UMIT tätig, wo er lehrt und forscht.

Digitale Sicherheit für Krankenhäuser
„Für Unternehmen kann ein Cyberangriff finanzielle Folgen haben. Bei Kranken­häusern stehen Menschen­leben auf dem Spiel.“ Stefan Richter, Institut für Medizinische Informatik, UMIT Hall

Beitrag teilen:

Werbung

Newsletter

Wir informieren Sie kostenlos und wöchentlich über
Tirols Wirtschaftsgeschehen

Bitte JavaScript aktivieren, um das Formular zu senden