OT-Security in Krankenhäusern: Die unsichtbare Bedrohung im eigenen Netzwerk
Cyberkriminalität ist für Krankenhäuser zu einer ernsten Gefahr geworden: Gegenüber dem Vorjahr hat sich die Zahl der Hackerangriffe nach Angaben der Bundesregierung im Jahr 2020 mehr als verdoppelt. Eines der jüngsten Beispiele ist der Angriff auf die Düsseldorfer Universitätsklinik im September 2020, bei dem Hacker die IT-Systeme mit Ransomware infiziert und so die Patientenversorgung stillgelegt haben. Im Visier von Cyberkriminellen steht allerdings nicht nur die IT von Krankenhäusern – auch die Operational Technology (OT),
also die Steuerungssysteme von medizinischen Geräten und der Gebäudeinfrastruktur, kann zum Angriffsziel werden. Diese Gefahr ist ein blinder Fleck vieler Kliniken, die aktuell erst beginnen, sich auf den Schutz ihrer Informationstechnik und medizinischer Daten zu konzentrieren. Dadurch bleiben gewaltige Sicherheitslücken, die als Einfallstore für gezielte Cyberangriffe dienen können oder auch Schwachstellen für zufällige Kollateral-Infektionen mit Schadsoftware sind.
Ihr Experte für Fragen
Jörg Asma
Partner Cyber Security bei PwC Deutschland
Tel.: +49 221 2084-103
E-Mail
Die Steuerungssysteme von Krankenhäusern stehen im Visier von Cyberkriminellen
Für den Krankenhausbetrieb und die Patientenbehandlung kann ein Vorfall gravierende Folgen haben, denn ein Ausfall der digitalen Infrastruktur bedroht die Patientensicherheit und gefährdet im Ernstfall Menschenleben. Umso wichtiger ist es, dass Krankenhäuser die Risiken aus dem Cyberraum vollständig erfassen und sich absichern. Im Whitepaper „The unseen danger: cyber security threats to hospitals’ operational systems“ beschreiben Experten aus dem internationalen PwC-Netzwerk, wieso Krankenhäuser sich mit einer Sicherheitsstrategie auch für OT-Systeme dringend beschäftigen müssen.
„Eine erfolgreiche Cybersicherheit ist für Kliniken überlebenswichtig. Für Health Professionals ist Hygiene Teil des Alltags, genauso sollte in jedem Krankenhaus auch eine Kultur der digitalen Sicherheit gelebt werden. Die virtuelle Absicherung ist so notwendig wie der Schutz vor traditionellen Gefahren. Oder könnten Sie sich ein Krankenhaus ohne Feuerlöscher und Fluchtwege vorstellen?“
Die wichtigsten Aspekte im Überblick
- Die Folgen eines Angriffs: Die Patientensicherheit ist unmittelbar gefährdet
- Das Risiko richtig einschätzen und eingrenzen
- Eine Abwehrstrategie in vier Schritten
- Aus Prozessen, Menschen und Technologie wird Sicherheit
Die Folgen eines Angriffs: Die Patientensicherheit ist unmittelbar gefährdet
Die Infrastrukturen von Krankenhäusern und Gebäuden anderer Branchen ähneln einander zwar. Doch ein Angriff auf das OT-Netzwerk einer Klinik hat viel verheerendere Konsequenzen. Ein Ausfall des Gebäudemanagements, zu dem etwa Klimatisierung und Transportsysteme gehören, kann die Patientenbehandlung abrupt zum Erliegen bringen. Kritische Systeme sind auch die Gas- und Wasserversorgung innerhalb eines Gebäudes: Ein Ausfall der medizinischen Gase kann Menschenleben gefährden.
Digitale und vernetzte Medizingeräte sind aus dem Versorgungsalltag kaum wegzudenken, sie bieten jedoch auch vielfältige Schwachstellen für Manipulationen, denen sich nur schwer Herr werden lässt. Ein Hacker, der sich den Zugang auf eines dieser Systeme sichert, kann den Krankenhausbetrieb lahmlegen oder auch nur in Teilen kompromittieren und die Geschäftsführung unter Druck setzen, Erpressungsgelder zu begleichen. Die Gefahren, die von den technischen Geräten außerhalb der IT ausgeht, sind bislang von den Verantwortlichen vielfach noch unterschätzt. Das beginnt mit der klaren Zuständigkeit des Chief Information Security Officer (CISO) auch für OT und Medizingeräte, die sich heute meist auf den IT-Bereich beschränkt.
Das Risiko richtig einschätzen und eingrenzen
OT-Netzwerke gibt es inzwischen in nahezu jedem Bereich des Lebens. Dadurch werden sie immer häufiger attackiert. So waren im Frühjahr 2020 beispielsweise mehrere Anlagen eines Wasserversorgers Ziel eines Angriffs von Cyberkriminellen. Es ist nur noch eine Frage der Zeit, bis es zu signifikanten Vorfällen auch in Krankenhäusern kommen wird, zumal sie heute oft schon mit der Absicherung der IT nach dem Stand der Technik zu kämpfen haben. Im OT-Bereich bedingen die hohen Anschaffungskosten und die Langlebigkeit der Produkte, dass viele Altsysteme noch im Einsatz sind, sowohl bei Gebäudesystemen als auch bei Medizinprodukten. Gleichzeitig sind OT-Systeme noch nicht im Fokus der Sicherheitsstandardisierung angekommen.
Eine Abwehrstrategie in vier Schritten
Krankenhäuser und andere medizinische Einrichtungen müssen ihre digitale Infrastruktur bestmöglich vor Bedrohungen aus dem Netz schützen. Die Widerstandsfähigkeit der operativen Netzwerke lässt sich in vier Schritten stärken:
- Die Gefahr verstehen: Im ersten Schritt muss ein Verständnis geschaffen werden, dass nicht nur die IT-, sondern auch die OT-Systeme eines Hauses gefährdet sind. Die spezifischen Risiken der einzelnen Systeme werden erfasst, Schwachstellen identifiziert und unmittelbare Gegenmaßnahmen entwickelt. Bereits in diesen Prozess muss die Krankenhausleitung unbedingt eingebunden werden.
- Ein Zielbild für die OT-Security entwickeln: Die Risiken der OT-Landschaft sind Ausgangspunkt, um grundlegende Fragen zu stellen. Welche Gegenmaßnahmen sind am drängendsten? Welche Systeme sind nicht mehr wartbar, weil der Servicezeitraum des Herstellers abgelaufen ist oder sie nachträglich undokumentiert verändert wurden? Welche dieser „Altlasten” können oder müssen zwangsläufig durch Neuanschaffungen ausgetauscht werden? Und auch, wie kann der der komplette Bereich der OT-Security unter eine Governance- und Managementstruktur gestellt werden?
- Integration in eine Cyber-Sicherheitsstrategie: Sind die Handlungsfelder der OT-Sicherheit erfasst, können sie in eine übergeordnete Cyber-Sicherheitsstrategie integriert werden. Das Cyber-Team wird hierzu ergänzt um Experten für Medizingeräte, Gebäudeleittechnik und OT-Security. Der CISO hat somit nicht nur die strategische Konzeption, sondern auch eine multidisziplinäre Koordinationsaufgabe zu managen.
- IT- & OT-Strategie finanzieren und umsetzen: Je nach bisherigem Reifegrad der Cybersicherheit stehen nun entweder nur die OT-Sicherheitsstrategie zur Umsetzung an oder die gesamte IT- & OT-Sicherheitsstrategie. Die Maßnahmen können nach Umfang, Auswirkungen, Umsetzungsgeschwindigkeit und Kosten priorisiert werden. Für die Finanzierung bieten sich derzeit auch Mittel aus dem Krankenhauszukunftsfonds (KHZG) an, mit dem Bund und Länder insgesamt 4,3 Milliarden Euro zur Verfügung stellen, die für die Sicherheit und Digitalisierung in Krankenhäusern eingesetzt werden können.
Aus Prozessen, Menschen und Technologie wird Sicherheit
Wirksame Sicherheitskonzepte umfassen drei Faktoren: Prozesse, Menschen und Technologie (processes, people, technology, kurz: PPT). Wird nur einer der drei Aspekte vernachlässigt, tun sich Schwachstellen auf. Die sicherheitsrelevanten Prozesse beginnen etwa schon bei formellen Beschaffungs- und Entsorgungsverfahren für technische Geräte, die Standards für Cybersicherheit einbeziehen müssen. Mitarbeiter durch frontale Seminare und Workshops zu schulen reicht heute nicht mehr aus, auch moderne digitale Formate und Lernerfolgsmessung sind nur ein Zwischenschritt zu einer Kultur der Cybersicherheit, auf die alle Maßnahmen zielen müssen. Der Stand der Technik ist schließlich in steter Weiterentwicklung, so dass nur gut ausgebildetes und wachsames Personal und ständig optimierte Prozesse dafür sorgen können, dass die Technologie zeitgemäß, performant und sicher bleibt.
