Sensibilisieren ist besser als heilen

Diagnose: Der Mensch und das Internet der Dinge gefährden die Informationssicherheit im Krankenhaus am stärksten

Datum
16. Januar 2017
Autor

Zusammenfassung

Cyberkriminelle suchen überall nach Schwächen in Systemen. Deshalb müssen die Systeme im Gesundheitswesen, die immer enger verknüpft sind, ganzheitlich geschützt werden. Die Zeiten, als ein Virenschutzprogramm hier oder eine Firewall dort genügten, sind endgültig vorbei. Alle müssen ihr Sicherheitsbewusstsein schärfen, vom Verwaltungsangestellten des Krankenhauses über den Sachbearbeiter der Krankenkasse bis zum Ingenieur, der medizinische Geräte entwickelt. Nur so können Systeme, Prozesse und Informationen wirksam geschützt werden.

Das schwächste Glied

In einer Studie der Healthcare Information and Management Systems Society (HIMSS) gaben 85 Prozent der befragten Informationsverantwortlichen an, das Sicherheitsbewusstsein aller Mitarbeitenden zu steigern sei eine ihrer wichtigsten Aufgaben. Sie haben erkannt, dass der Mensch häufig das schwächste Glied in der Kette ist. Darum ist es entscheidend, dass die IT- oder IS-Verantwortlichen die Risiken neu bewerten. Sie müssen ihre Mitarbeitenden für mögliche Gefahren sensibilisieren und auf potenzielle Schwachstellen aufmerksam machen.

Vielfalt als Schwachstelle

Ein Angriffspunkt ist Mobile Health. Die unterschiedlichen Geräte mit unterschiedlichen Betriebssystemen und unterschiedlich hohen Sicherheitsstandards machen den Schutz sensibler Patientendaten anspruchsvoller als früher, als nur ein Server geschützt werden musste. IBM schätzt in der Studie Ponemon Cost of Data Breach die Kosten auf 4 Millionen Dollar pro Angriff. Weil immer mehr medizinische Geräte vernetzt werden und immer stärker in den Fokus der Cyberkriminellen geraten, dürften die Angriffe und die Kosten weiter zunehmen.

Problem 1: die vielen Apps

Zum einen werden mehr Gesundheits- und Fitness-Apps heruntergeladen als andere Apps, zum anderen übertragen viele Patienten ihre Gesundheitsdaten, ohne sich Gedanken um die Sicherheit zu machen. Arxan hat die Sicherheit von 71 Gesundheits-Apps in den USA sowie in Großbritannien, Deutschland und Japan getestet. Die Ergebnisse sind ernüchternd: 84 Prozent der von der FDA (Food and Drug Administration, USA) und 80 Prozent der vom NHS (National Health Service, UK) geprüften Apps sind nur ungenügend vor zwei oder mehr der zehn größten Gefahren nach OWASP (Open Web Application Security Project) geschützt.

Problem 2: Internet der Dinge

Das Internet der Dinge hat zahllose Vorteile für Patienten und Ärzte. Doch wo Licht ist, ist auch Schatten. Vor allem Geräte, die erst nachträglich vernetzt wurden, sind schlecht geschützt. So warnte Johnson & Johnson im Herbst 2016 Diabetes-Patienten in den USA, dass eine Insulinpumpe anfällig für Hackerangriffe sei. Gefährdet sind im Prinzip sämtliche Geräte, die vernetzt werden können, zum Beispiel Herzschrittmacher oder Defibrillatoren.

Was können Sie konkret tun?

App-Hersteller müssen die Sicherheit ihrer Apps genauso verbessern wie Gerätehersteller die Sicherheit ihrer Geräte. Aber was können die Krankenhäuser machen? So können Sie die Informationssicherheit in fünf Schritten verbessern:

  1. Kategorisieren Sie alle Geräte nach Risikoklassen.
  2. Führen Sie ein klinisches Risikomanagementsystem ein.
  3. Sensibilisieren Sie alle Mitarbeitenden für das Thema Informationssicherheit.
  4. Berücksichtigen Sie Sicherheitsanforderungen, wenn Sie neue Geräte evaluieren.
  5. Bauen Sie ein sicheres Netzwerk auf, aber vertrauen Sie nichts und niemandem blind.

Andere wichtige Schutzmaßnahmen:

  • Alle Daten regelmäßig und redundant sichern
  • Betriebssystem und Applikationen laufend aktualisieren
  • Virenschutz mit Firewall installieren und regelmäßig aktualisieren

Fazit: Handeln Sie jetzt!

Warten Sie nicht, bis Hacker Ihr Netzwerk mit Ransomware infizieren, das System blockieren oder sämtliche Daten verschlüsseln und Sie erpressen. Gehen Sie die Informationssicherheit ganzheitlich statt punktuell an. Sinnvollerweise mit einem Managementsystem für Informationssicherheit (ISMS). Die ISO 27001 berücksichtigt alle Aspekte eines umfassenden Sicherheitsmanagements.