Krankenhäuser im Visier: Wird IT-Sicherheit zur Überlebensfrage?

Zahl der Cyberangriffe auf Krankenhäuser deutlich gestiegen. Ein Interview mit Dirk Wolters, Geschäftsführer von NeTec.

In der Nacht zum 1. September haben Hacker die IT-Systeme der Wertachkliniken im Kreis Augsburg angegriffen und lahmgelegt. Hacker haben Ende August die Klinik am Kurpark in Reinhardshausen attackiert und anscheinend personenbezogene Daten gestohlen. Herr Wolters, was sind die Hauptgründe dafür, dass Krankenhäuser zunehmend Ziel von Cyberangriffen werden?

Dirk Wolters: Die Digitalisierung im Gesundheitswesen schreitet voran, und das ist auch gut so. Aber die zunehmende Vernetzung schafft eben auch größere Angriffsflächen für Cyberkriminelle. Krankenhäuser sind besonders attraktive Ziele, da sie eine enorme Menge an wertvollen Daten besitzen – von persönlichen Gesundheitsinformationen bis hin zu sensiblen Abrechnungsdaten. Diese Daten sind auf dem Schwarzmarkt äußerst begehrt und werden dort zu hohen Preisen gehandelt. Dazu kommt die rasante Entwicklung neuer Angriffsmethoden und der zunehmende Dienstleistungscharakter des Cybercrime, also Cybercrime-as-a-Service.  

Schützen sich Krankenhäuser zu wenig oder falsch?

Dirk Wolters: Leider sehe ich, dass viele Krankenhäuser noch nicht ausreichend in ihre IT-Sicherheitsinfrastruktur investiert haben. Oft wird IT-Sicherheit als ein lästiger Zusatzaufwand betrachtet, der im hektischen Klinikalltag zu kurz kommt. Doch genau diese Nachlässigkeit macht Krankenhäuser zu leichten Zielen für Cyberangriffe.

Welche Auswirkungen können Cyberangriffe auf Krankenhäuser haben?

Dirk Wolters: Die Folgen eines Cyberangriffs auf ein Krankenhaus können katastrophal sein. Wenn wichtige Systeme wie Patientenakten, medizinische Geräte oder Kommunikationsplattformen ausfallen, kann das die Patientenversorgung massiv beeinträchtigen. In Notfallsituationen kann ein solcher Ausfall sogar lebensbedrohlich sein.

Hinzu kommt der Verlust sensibler Patientendaten, was nicht nur das Vertrauen der Patienten erschüttert, sondern auch rechtliche Konsequenzen haben kann. Krankenhäuser müssen dann möglicherweise mit Klagen, hohen Geldstrafen und einem Rückgang der Patientenzahlen rechnen. Die Kosten für die Wiederherstellung der Systeme und die Bezahlung von Lösegeld sind enorm. Das belastet die finanziellen Ressourcen der Einrichtungen erheblich und hat langfristige Auswirkungen auf ihre Betriebsfähigkeit und Reputation.

Was sind Ihrer Meinung nach die wichtigsten Maßnahmen, die Krankenhäuser ergreifen sollten, um sich gegen Cyberangriffe zu schützen?

Dirk Wolters: Ein ganzheitlicher Ansatz ist entscheidend. Es reicht nicht aus, nur auf technische Lösungen wie Firewalls und Antivirus-Programme zu setzen. Es muss eine umfassende Sicherheitsstrategie entwickelt werden, die sowohl technische als auch organisatorische Maßnahmen umfasst. Dazu gehört die regelmäßige Schulung der Mitarbeiter, um das Bewusstsein für Cybergefahren zu schärfen und sicherzustellen, dass alle wissen, wie sie sich im Falle eines Angriffs verhalten sollen.

Darüber hinaus sollten Krankenhäuser in moderne Sicherheitstechnologien investieren und sicherstellen, dass ihre Systeme regelmäßig aktualisiert und gepatcht werden. Der Aufbau eines 24/7-Sicherheitsbetriebszentrums (SOC) kann ebenfalls helfen, Bedrohungen in Echtzeit zu überwachen und darauf zu reagieren. Deshalb setzen wir genau auf diesen ganzheitlichen Ansatz und arbeiten eng mit unseren Kunden zusammen, um maßgeschneiderte Sicherheitslösungen zu entwickeln, die sowohl effektiv als auch praktikabel sind.

Welche Herausforderungen sehen Sie bei der Umsetzung dieser Maßnahmen?

Dirk Wolters: Eine der größten Herausforderungen ist der Mangel an qualifiziertem Personal. IT-Sicherheitsspezialisten sind rar und teuer, was es vielen Krankenhäusern erschwert, die notwendigen Fachkräfte zu finden und zu halten. Zudem sind die finanziellen Mittel oft begrenzt, was die Investition in moderne Sicherheitstechnologien und -prozesse erschwert.

Ein weiterer Punkt ist die Integration der IT-Sicherheit in den Klinikalltag. Sicherheitsmaßnahmen müssen so gestaltet sein, dass sie die Arbeitsabläufe der Mitarbeiter nicht unnötig verkomplizieren. Hier ist es wichtig, alle Beteiligten einzubeziehen und sicherzustellen, dass die Sicherheitsstrategien praxisnah und benutzerfreundlich sind. Häufig herrscht die Meinung vor, dass die IT-Abteilung allein für die Informationssicherheit verantwortlich ist, doch das ist ein Trugschluss. Informationssicherheit geht alle im Unternehmen an und muss von der Geschäftsführung vorgelebt werden.

Wie kann die EU-Richtlinie NIS2 Krankenhäuser bei der Verbesserung ihrer IT-Sicherheit unterstützen?

Dirk Wolters: Die NIS2-Richtlinie der EU legt strengere Sicherheitsanforderungen für Betreiber wesentlicher Dienste fest, zu denen auch Krankenhäuser gehören. Sie fordert unter anderem die Einführung von Risikomanagementmaßnahmen, die Meldepflicht von Sicherheitsvorfällen und regelmäßige Sicherheitsüberprüfungen. Diese Vorgaben können Krankenhäuser dazu anregen, ihre Sicherheitsstrategien zu überdenken und zu verbessern. Wichtig ist jedoch, dass diese Richtlinie nicht nur als bürokratische Hürde wahrgenommen wird, sondern als Chance, die eigene Sicherheitsinfrastruktur zu stärken. Durch die Einhaltung der NIS2-Vorgaben können Krankenhäuser nicht nur ihre Widerstandsfähigkeit gegenüber Cyberangriffen erhöhen, sondern auch das Vertrauen der Patienten und Partner stärken.

Welche Zukunftsstrategien sehen Sie als notwendig, um die IT-Sicherheit in deutschen Krankenhäusern nachhaltig zu verbessern?

Dirk Wolters: Es geht darum, IT-Sicherheit als integralen Bestandteil des Krankenhausbetriebs zu verstehen. Wir müssen weg von der Denkweise, dass Sicherheit ein zusätzliches Ärgernis ist, hin zu der Einsicht, dass sie absolut notwendig für den reibungslosen Betrieb ist. Zukünftig müssen wir verstärkt auf präventive Maßnahmen setzen. Das bedeutet, Risiken frühzeitig zu erkennen, bevor sie zu tatsächlichen Bedrohungen werden.

Ein weiterer wichtiger Punkt ist die kontinuierliche Weiterbildung und Sensibilisierung der Mitarbeiter. Cyberkriminelle zielen oft auf den Faktor Mensch ab, daher ist es essenziell, dass alle Mitarbeiter – von der Verwaltung bis zur Pflege – über die neuesten Bedrohungen und Sicherheitspraktiken informiert sind.

Technologisch gesehen müssen wir auf fortschrittliche Lösungen wie KI-gestützte Sicherheitssysteme setzen, die Anomalien und potenzielle Angriffe in Echtzeit erkennen können. Gleichzeitig sollte der Fokus auf der Entwicklung robuster Notfallpläne liegen, damit im Falle eines Angriffs schnell und effizient reagiert werden kann. Letztlich ist es wichtig, Partnerschaften zu suchen und mit Experten zusammenzuarbeiten. Kein Krankenhaus kann die Herausforderungen der IT-Sicherheit allein bewältigen. 

 

Dirk Wolters

ist Geschäftsführer und Inhaber der NeTec GmbH und war zuvor Krankenhaus-CIO. Er kennt die „Pain Points“ des Gesundheitssektors .