Trojanische Pferde haben es in sich: Während sich im Mythos Soldaten im Bauch eines Holzpferds versteckten, tarnt sich moderne Schadsoftware z.B. als Bewerbung oder Rechnung im E-Mail-Anhang oder findet als interessanter Download im Internet den Weg in die Krankenhaus-IT. Einmal dort angekommen springt sie auf weitere IT-Systeme über und kann mit den Geräten und den darauf gespeicherten Daten anstellen, was die dahinterstehenden Kriminellen wollen: Daten ausspähen, Patientenakten manipulieren, Systeme unbrauchbar machen und Lösegeld erpressen – der Fantasie sind softwareseitig keine Grenzen gesetzt. Die möglichst direkte Monetarisierung durch Datenverschlüsselung und Erpressung mittels Ransomware ist zwar seit einigen Jahren ein branchenübergreifend zu beobachtender Trend; sie ist aber nur eine von vielen möglichen IT-Angriffsvarianten und noch dazu eine technisch relativ primitive.

Dass mit der IT-Infrastruktur das gesamte Krankenhaus plötzlich zum Erliegen kommt und mühsam auf manuellen Notbetrieb umgestellt werden muss, ist durch mehrere Fälle auch in Deutschland hinreichend bekannt. Weniger bekannt ist, dass IT-Abteilungen nach solchen Vorfällen oft noch monatelang mit Säuberungsarbeiten und Neuinstallationen beschäftigt sind. Somit kosten sie Zeit, die für die reguläre Weiterentwicklung der IT-Infrastruktur und anstehende innovative Digitalisierungsprojekte fehlt.

Alles schon geregelt?

Erst nach und nach setzt sich die Erkenntnis durch, dass IT-Sicherheit kein Service ist, den Einzelpersonen aus der IT-Abteilung für das gesamte Krankenhaus erbringen können. Vielmehr handelt es sich um einen Themenkomplex, der klar definierte Zuständigkeits- und Verantwortungsstrukturen auch auf oberster Ebene erfordert und an dem alle IT-Anwender – also auch Verwaltung, Ärzteschaft und Pflegepersonal – aktiv mitwirken müssen.

Den formalen Rahmen dafür steckt in Deutschland das IT-Sicherheitsgesetz im Zusammenspiel mit den Kritis-Verordnungen ab. Krankenhäuser ab 30.000 vollstationären Behandlungsfällen pro Jahr müssen ein Informationssicherheitsmanagementsystem – kurz: ISMS – vorweisen können. Internationale Normen wie ISO/IEC 27001, das BSI IT-Grundschutzkompendium und der branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus sollen dabei unterstützen. Doch wie sieht es damit in der Praxis aus?

Der Erfassung des Status quo bezüglich IT-Sicherheitsmaßnahmen und Digitalisierungsvorhaben war die erste Phase des noch laufenden Projekts Smart Hospitals – sichere Digitalisierung bayerischer Krankenhäuser gewidmet, das vom bayerischen Staatsministerium für Gesundheit und Pflege (StMGP) gefördert und vom Forschungsinstitut Cyber Defence der Universität der Bundeswehr München durchgeführt wird. Nach einer 2019 durchgeführten flächendeckenden Online-Umfrage wirkte eine nach Proporzkriterien ausgewählte zweistellige Anzahl bayerischer Krankenhäuser durch Vor-Ort-Begehungen, Interviews und informelle Workshops daran mit, die aktuellen Stärken und Herausforderungen rund um technische und organisatorische IT-Sicherheitsmaßnahmen und deren Akzeptanz durch die IT-Anwender herauszuarbeiten.

Wenn Bayern Butter bei die Fische wollen…

Ein klares Ergebnis, das sich bei allen Besprechungen abzeichnete, ist, dass es zwar nicht an Vorgaben und theoretischen Lösungen mangelt, die praktische Umsetzung aber oft schwer fällt: Viele existierende Dokumente sind entweder nicht spezifisch für Krankenhäuser oder legen mehr Wert auf eine Bewertung z.B. im Rahmen eines Audits als auf den systematischen Auf- und Ausbau eines ISMS. Somit war der Wunsch nach pragmatischen, handfesten Lösungen für bayerische Krankenhäuser geboren. Diese sollen nicht nur zur weiteren Verbesserung der aktuellen IT-Infrastrukturen dienen, sondern auch als solides Fundament dafür fungieren, zukünftige Digitalisierungsprojekte gemäß „Security-by-Design“-Paradigma anzugehen, also unter Berücksichtigung der IT-Sicherheit von Anfang an.

In enger Abstimmung mit dem bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI), das derzeit an Orientierungshilfen für Betreiber kritischer Infrastrukturen arbeitet, entstand deshalb ein Maßnahmenkatalog der etwas anderen Art. So wie sich eine nach dem Titanen Prometheus aus der griechischen Mythologie benannte Buchreihe an angehende wie auch bereits ausgebildete Mediziner richtet, so soll der im Projekt Smart Hospitals entwickelte Maßnahmenkatalog sich geeignet an alle diejenigen richten, die das Thema IT-Sicherheit im Krankenhaus angeht: Praktisch jeden – von der Geschäftsführung über das IT-Personal bis zu den Hauptnutzern von IT in einem Krankenhaus. Dazu wurden in den vielen Gesprächen mit bayerischen Kliniken nicht nur die Auswahl wichtiger Themen, sondern auch Anforderungen an eine geeignete Gestaltung und Aufbereitung des Katalogs für die Zielgruppe ermittelt.

Ein Maßnahmenkatalog für alle…

Der Maßnahmenkatalog (Abb. 1) ist daher bereits von seinem äußeren Erscheinungsbild bewusst informell und unterhaltsam gestaltet, damit jede und jeder aus der Zielgruppe nicht nur die notwendige Zeit, sondern auch die notwendige Überwindung mitbringen kann, sich diesem wichtigen Thema zu stellen. Da der Maßnahmenkatalog jedoch nicht nur bei den Lesern ein Bewusstsein für IT-Sicherheit schaffen soll, sondern ebenso hilfreiche anwendbare Vorschläge zu konkreten Maßnahmen bietet, wurden notwendige Detailtiefe, Art der Wissensvermittlung und Motivation der Leserschaft berücksichtigt. Um letzteren Aspekt nicht überzustrapazieren, wird daher fast jede Maßnahme auf maximal zwei Seiten auf den Punkt gebracht. Gleichzeitig wurden möglichst viele praktische Lösungen, Beispiele und erklärende Illustrationen eingebaut, sodass sich Betreiber einer Krankenhaus-IT nicht alles von Grund auf neu erarbeiten müssen, sondern bewährte Lösungen vielmehr an ihre Umgebung anpassen können. Weiterführend liefert der Maßnahmenkatalog auch Stützen in Form von Referenzen auf einschlägige Standards und Best Practices, u.a. die Orientierungshilfe des LSI, um auch andere Perspektiven auf die Themenbereiche zu zeigen und Audits bis hin zu Zertifizierungen zu unterstützen. Um den verantwortlichen Stellen im Krankenhaus zudem wertvolle Zeit zu ersparen, werden teilweise für einzelne Maßnahmen Open-Source-Produkte vorgeschlagen, durch die technische Lösungen ohne größere Investitionskosten umsetzbar sind oder den Know-how-Aufbau vor größeren Beschaffungen unterstützen. Eine Beispielmaßnahme aus dem Maßnahmenkatalog ist in Abb.2 gezeigt: Der gleichartige Aufbau – auf eine Kurzbeschreibung folgt eine Zuständigkeitstabelle und darauf die eigentliche Maßnahmenbeschreibung, welche durch Referenzen auf andere Umsetzungshilfen abgeschlossen wird – erleichtert dabei dem Leser die Orientierung im Katalog.

Die aktuelle Ausgabe 2020/21 des Maßnahmenkatalogs ist dabei nur ein Zwischenergebnis, das unter Mitwirkung der Krankenhäuser weiterentwickelt wird. Auch Anregungen von Krankenhäusern außerhalb Bayerns werden gerne berücksichtigt.

Alles in allem ist der Maßnahmenkatalog anders als viele zuvor konzipierte Dokumente als praxisnahe Best-Practice-Sammlung der IT-Sicherheit für Krankenhäuser gedacht. Viele vorgestellte IT-Sicherheitsmaßnahmen haben sich in Krankenhäusern bereits im täglichen Betrieb bewährt und werden durch den Katalog – ergänzt durch weiterführende Konzepte der Autoren – an alle anderen Krankenhäuser in einer strukturiert aufbereiteten Form weitergegeben. Ähnlich wie das Feuer, das Prometheus den Menschen durchaus nutzenbringend gebracht haben soll, soll der Maßnahmenkatalog als Werkzeug für Krankenhäuser dienen, ihr Sicherheitskonzept strukturiert erarbeiten und ausbauen zu können.

Autoren: Wolfgang Hommel und Michael Steinke, Neubiberg

Weitere Informationen: www.unibw.de/code/smart-hospitals