Inhalte der Ausgabe

Essentials

Peter Laaks

Redaktion

Redaktion

14

|

29

Deep Dive

Resilienz und Cybersicherheit

Als integraler Bestandteil der kritischen Infrastruktur müssen Krankenhäuser und sensible Gesundheitsdaten besonders gut geschützt werden. Doch Resilienz muss aktiv geschaffen werden. Und aktuelle Gesetztesvorhaben spielen dabei eine große Rolle.

Keine Diskussion: Krankenhäuser sind systemrelevant.
Ihre Aufgaben umfassen ein breites Spektrum, das von der alltäglichen Gesundheitsversorgung bis zur Bewältigung von Großereignissen und der Reaktion auf Gesundheitskrisen reicht. In Zeiten von Naturkatastrophen, Pandemien oder militärischen Konflikten wird die Fähigkeit der Krankenhäuser, effizient und ohne Unterbrechung zu funktionieren, zu einer grundlegenden Voraussetzung. Es geht um BCM – Business Continuity Management:

– Vermeidung,
– Reduzierung,
– Verkürzung
– und am Ende auch um die Akzeptanz des Risikos einer Betriebsunterbrechung. Ohne Risikoanalyse ist ein Risiko jedoch gar nicht zu bewerten.

„Die Sicherheits- und Notfallplanung muss umfassend und proaktiv sein, um die kontinuierliche Verfügbarkeit medizinischer Dienste unter allen Umständen zu gewährleisten“

Krankenhäuser sind als integraler Bestandteil der kritischen Infrastruktur (KRITIS) zu betrachten und zumindest aktuell durch den definierten Schwellenwert von 30.000 stationären Fällen im Jahr auch per Definition KRITIS-Einrichtungen. Ihre kontinuierliche Funktionsfähigkeit unter allen Umständen ist nicht nur eine Frage der nationalen Sicherheit, sondern auch ein zentraler Aspekt der Menschenwürde und des Rechts auf Gesundheit.

Gesetzlich zur Cybersicherheit verpflichtet

In diesem Zusammenhang haben rechtliche Rahmenwerke wie eben das IT-Sicherheitsgesetz (IT-SiG), welches KRITIS adressiert, und die EU-Richtlinie Network and Information Security 2 (NIS-2) zentrale Bedeutung erlangt. Sie stellen nicht nur Anforderungen an die physische Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen, sondern auch an die Cybersicherheit, die in der heutigen vernetzten Welt eine immer wichtigere Rolle spielt. Sie verpflichten die Betreibenden kritischer Einrichtungen, zum Beispiel Krankenhäuser, zu umfassenden Maßnahmen, die von Meldepflichten bis zur Umsetzung geeigneter Cybersicherheitsmaßnahmen reichen, um die Kontinuität der medizinischen Versorgung und den Schutz sensibler Patient:innendaten zu gewährleisten.

Und NIS-2 hat im Grunde konkrete Auswirkungen auf alle Krankenhäuser – gleich welcher Größe. Die Schwellenwerte liegen bei 50 Mitarbeitenden und 10 Millionen Euro Umsatz.

Die Einhaltung dieser rechtlichen Anforderungen setzt voraus, dass die Krankenhäuser nicht nur ihre IT-Infrastrukturen gegen Cyberangriffe sichern, sondern auch ein aktives Risikomanagement betreiben. Die rechtlichen Rahmenbedingungen dienen somit als Leitfaden für die Entwicklung und Umsetzung von Sicherheitsstrategien, die die Widerstandsfähigkeit der Krankenhäuser gegen eine Vielzahl von Bedrohungen stärken.

Krankenhäuser sind als Betreibende kritischer Infrastrukturen verpflichtet, regelmäßige Audits der Sicherheitssysteme durchzuführen. Diese Audits müssen von qualifizierten und unabhängigen Expert:innen durchgeführt werden und dienen dazu, die Einhaltung der gesetzlichen Anforderungen zu dokumentieren. Die Ergebnisse dieser Audits, insbesondere festgestellte Mängel und die zu ihrer Behebung getroffenen Maßnahmen, sind den zuständigen Behörden zu melden. Aktuell gilt dies jedoch lediglich für die Kliniken, die den Schwellenwert überschreiten.

Prof. Dr. Thomas Jäschke

Professor Dr. Thomas Jäschke | Vorstand DATATREE AG | LinkedIn | Foto: DIGITAL AVANTGARDE GmbH

Resilenz muss geschaffen werden

Auf dem Weg zur Erhöhung der Resilienz gehören auch Werkzeuge zur Früherkennung von Angriffen. Hier kommen Lösungen wie ein Security Information and Event Management (SIEM) ins Spiel. Es handelt sich um eine Softwarelösung, die Sicherheitsinformationen und Ereignisdaten in Echtzeit sammelt, korreliert, analysiert und visualisiert. SIEM-Systeme ermöglichen es Unternehmen und Organisationen, potenzielle Sicherheitsbedrohungen und Angriffe auf ihre IT-Infrastruktur zu erkennen und darauf zu reagieren. Dieses Monitoring ist nur dann sinnvoll, wenn es 24 Stunden an 7 Tagen in der Woche praktiziert wird. Hier stoßen insbesondere Kliniken an die Grenzen der Ressourcen. Die Überwachung wird daher zukünftig von Dienstleistenden erbracht werden müssen, der mit einem sogenannten SOC, also einem Security Operations Center, diese Aufgabe übernimmt. Aber auch hier werden Expert:innen benötigt, die rar sind, die Klinikprozesse kennen und im Falle eines Incidents die richtigen Maßnahmen einleiten können, unter Berücksichtigung der Priorisierung der kritischen Prozesse.

Die NIS-2-Richtlinie erweitert und präzisiert die Anforderungen der ursprünglichen NIS-Richtlinie, indem sie den Anwendungsbereich auf zusätzliche Sektoren und Arten von Einrichtungen ausweitet und strengere Sicherheits- und Meldepflichten einführt. Sie unterstreicht die Bedeutung von Risikomanagementmaßnahmen und der Meldung von Sicherheitsvorfällen, um eine schnelle und koordinierte Reaktion auf Cyberbedrohungen zu ermöglichen.
Daher ist die Resilienz von Krankenhäusern gegenüber allen Arten von Bedrohungen, einschließlich physischer Angriffe, Naturkatastrophen und Cyberangriffen, eine entsprechend große Herausforderung, die es zu meistern gilt. Die Sicherheits- und Notfallplanung muss umfassend und proaktiv sein, um die kontinuierliche Verfügbarkeit medizinischer Dienste unter allen Umständen zu gewährleisten.

Krankenhäuser müssen agil bleiben

In Zukunft werden innovative Technologien wie Künstliche Intelligenz und Maschinelles Lernen zunehmend Teil der Cybersicherheitsstrategien von Krankenhäusern sein, um Bedrohungen effizient zu erkennen und zu bekämpfen. Gleichzeitig werden sich die rechtlichen Anforderungen weiter entwickeln müssen, um den Schutz kritischer Infrastrukturen zu verbessern. Krankenhäuser müssen in diesem dynamischen Umfeld agil bleiben, um die Sicherheit ihrer Systeme und die Vertraulichkeit von Patient:innendaten in einer zunehmend vernetzten Welt zu gewährleisten.

Regelmäßige Softwareupdates und Patchverwaltung, Passwortmanagement und Authentifizierungsverfahren sowie regelmäßige Sicherheitssicherungen sind wesentliche Cybersicherheitsmaßnahmen für Krankenhäuser. Die Einhaltung der NIS-2-Richtlinie erfordert, dass Krankenhäuser ihre Cybersicherheitsstrategien überprüfen und gegebenenfalls anpassen, um die neuen Anforderungen zu erfüllen. Dazu gehören die Stärkung des Risikomanagements, die Verbesserung der Verfahren zur Meldung von Sicherheitsvorfällen und die Umsetzung wirksamer Sicherheitsmaßnahmen.

Unsere Gründungspartner

Schreibe einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du hast einen Fehler im Artikel gefunden?
Bitte hier melden:

Zum Formular
Consent Management Platform von Real Cookie Banner