Wie sich das Gesundheitswesen besser gegen Cyberbedrohungen schützen kann
Das Gesundheitswesen nutzt die Möglichkeiten der zunehmenden Digitalisierung und Vernetzung, um Abläufe zu optimieren und die Versorgung der Patientinnen und Patienten zu verbessern. Dadurch ergeben sich aber gleichzeitig Herausforderungen für die Cybersicherheit, wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) erklärt. Es stellt sich die Frage, wie die IT-Sicherheit im Gesundheitswesen verbessert werden kann. Wir haben Dr. Tino Großmann, Senior Vice President Connectivity, CompuGroup Medical (CGM), dazu befragt.
Wie bewerten Sie die aktuelle Lage der IT-Sicherheit im Gesundheitswesen?
Dr. Tino Großmann: Das hängt ein wenig davon ab, welchen Bereich des Gesundheitswesens Sie betrachten. Natürlich haben Kliniken, Krankenhäuser und MVZ technisch weitreichendere Sicherheitsprodukte im Einsatz und gegebenenfalls auch mehr personelle Ressourcen. Gleichzeitig sind für diese die zu erledigenden Aufgaben umfangreicher, die Anzahl an Schnittstellen nach außen ist größer, und das Potenzial, angegriffen zu werden, ist ebenfalls höher.
Der Status Quo der IT-Sicherheit im Gesundheitswesen muss aber auch immer im Kontext der aktuellen Bedrohungslage beurteilt werden. Im Allgemeinen steigt das Risiko, Opfer einer Cyberattacke zu werden, stetig an. Dieses Risiko wird vor allem im Bereich der niedergelassenen Leistungserbringer häufig unterschätzt. Viele Praxisinhaber sind nach wie vor der Meinung, dass ihre Praxis kein attraktives Ziel für Cyberkriminelle darstellt und sehen sich deshalb keinem oder nur einem sehr geringen Risiko ausgesetzt.
Das führt dazu, dass Gegenmaßnahmen, unabhängig davon, ob diese gesetzlich vorgegeben oder einfach nur sinnvoll sind, nicht oder nur halbherzig umgesetzt werden. Das größte Risiko für die IT einer Praxis stellt aber eben nicht ein zielgerichteter Hackerangriff dar. Es sind vielmehr die „normalen“ IT-Störungen und -Ausfälle sowie die automatisierten Angriffe von Cyberkriminellen, beispielsweise mittels fingierter Bewerbungsmails, welche wahllos über riesige E-Mail-Verteiler gestreut werden.
Welche Vorgaben muss die IT-Sicherheit im Gesundheitswesen einhalten?
Dr. Tino Großmann: Die IT im Gesundheitswesen verarbeitet im Kern medizinische und damit besonders sensible personenbezogene Daten. Daher ist die Gewährleistung des Datenschutzes eines der wichtigsten Ziele der IT-Sicherheit. Vorgaben hierzu finden sich unter anderem in der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz sowie in den jeweiligen Landesdatenschutzgesetzen der Bundesländer.
Mit Inkrafttreten des Digitale-Versorgung-Gesetzes (DVG) im Dezember 2019 ist eine Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung vorgesehen (§75b im SGB V). Demnach hatten die Kassenärztliche sowie Kassenzahnärztliche Bundesvereinigung bis zum 30. Juni 2020 die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen bzw. vertragszahnärztlichen Versorgung, inklusive sicherheitsrelevanter Aspekte der Anbindung an die Telematikinfrastruktur, in einer Richtlinie festzulegen.
Die erst im Dezember 2020 erschienene und geltende Richtlinie umfasst allerdings lediglich einen kleinen Katalog an Sicherheitsanforderungen ohne Bezug auf einen Standard oder eine Norm. Der ursprüngliche Bezug zum IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist in der verabschiedeten Version ebenfalls nicht mehr vorhanden. (Quelle: Schreiben Bvitg)
Neben diesen allgemeingültigen Vorschriften gibt es zusätzliche spezifische Regelungen für Teilnehmer im Gesundheitswesen. So gilt beispielsweise die ärztliche Schweigepflicht auch im digitalen Umfeld, woraus sich spezielle Anforderungen an die IT-Sicherheit ergeben.
Große Krankenhäuser sind als Teil der kritischen Infrastrukturen an das IT-Sicherheitsgesetz (BSI-Gesetz) gebunden, dessen Anforderungen beispielsweise mithilfe des branchenspezifischen Sicherheitsstandards (B3S) umgesetzt werden können.
Was hat es mit der neuen IT-Sicherheitsrichtlinie für Arzt- und Zahnarztpraxen auf sich?
Dr. Tino Großmann: Die IT-Sicherheitsrichtlinie von KBV und KZBV soll dazu beitragen, ein einheitliches Sicherheitsniveau zu schaffen, um Leistungserbringer und deren Patienten gleichermaßen zu schützen. Zu diesem Zweck hat der Gesetzgeber die Erstellung einer solchen verbindlichen Richtlinie verfügt, die jährlich an die vorherrschende Bedrohungslage und den aktuellen Stand der Technik angepasst werden muss. Insgesamt wurden 70 Anforderungen formuliert, welche von den Praxen zu unterschiedlichen Zeitpunkten umgesetzt sein müssen. Welche Anforderungen die jeweilige Praxis umzusetzen hat, hängt dabei von zwei Faktoren ab: der Anzahl der ständig mit der Datenverarbeitung betrauten Mitarbeiter und der eingesetzten Technik. Wer beispielsweise ein MRT oder anderes medizinisches Großgerät in seiner Praxis betreibt, muss speziell zugeschnittene Anforderungen erfüllen.
Die Richtlinie ist ein erster Schritt in die richtige Richtung, allerdings hätten wir uns teilweise eine noch deutlich umfangreichere Richtlinie und eine noch klarere Formulierung gewünscht. Insbesondere wird auf ein Informationssicherheitsmanagementsystem (ISMS) vollständig verzichtet, welches die Grundlage jeder seriösen Einführung und Aufrechterhaltung von IT-Sicherheit darstellt. Darüber hinaus fehlt eine Kontrollinstanz für die getroffenen Maßnahmen.
Des weiteren wird beispielsweise der Umgang mit Updates für Client- und Serversysteme nicht explizit geregelt, obwohl ungepatchte Systeme nach wie vor zu den größten Sicherheitsrisiken gehören. Dahingegen regelt die Richtlinie aber das Updaten von Betriebssystemen auf Smartphones und Tablets. Bezüglich des Einsatzes von Firewalls regelt die Richtlinie, dass eine Firewall eingesetzt werden muss, macht aber leider keine Vorgaben zu deren Art oder Konfiguration. Eine Firewall ist aber nur so gut wie ihre Konfiguration. Daher ist es möglich, dass Praxen diesen Punkt der Richtlinie zwar erfüllen, aber dennoch nicht besser abgesichert sind als zuvor. Dies erschwert das Erzielen eines einheitlichen Sicherheitsniveaus.
Was empfehlen Sie, um die IT-Sicherheit im Healthcare-Bereich weiter zu erhöhen? Spielen Schulungen eine wichtige Rolle?
Dr. Tino Großmann: Wichtig ist zum einen, die richtigen Dinge zu tun und zum anderen, diese Dinge dann auch richtig umzusetzen. Hier spielt das angesprochene Thema Schulung und Sensibilisierung eine zentrale Rolle. Dabei ist es wichtig, Themen regelmäßig zu wiederholen und nicht nur die Verantwortlichen zu adressieren, sondern auch deren Mitarbeiter. Häufig scheitert die Sicherheit bereits an Zutrittsregeln, nicht gesperrten Computersystemen oder dem falschen Umgang mit Administratorenrechten. Das sind gute Ansatzpunkte für Sensibilisierungsmaßnahmen und zur Erhöhung des Sicherheitsniveaus.
Im Juni 2020 wurde dem Bundesverband Gesundheits-IT von der KBV ein Entwurf der Richtlinie vorgelegt. Darin war ein IT-Grundschutzprofil für Praxen der Vertragsärztlichen und Vertragszahnärztlichen Versorgung auf Basis des BSI IT-Grundschutzes beschrieben. Der bvitg stand dem Entwurf, insbesondere dem zugrundeliegenden IT-Grundschutz positiv gegenüber. Dieser Grundschutz findet sich leider nicht in der aktuellen Richtlinie wieder.
Niedergelassene Heilberufler, aber auch MVZ und Krankenhäuser ohne eigene IT-Abteilung sollten sich zudem mit dem Gedanken beschäftigen, bestimmte Prozesse an externe Dienstleister, wie Managed Security Service Provider (MSSP), auszulagern. Die Bedrohungslage wird sich, nicht zuletzt durch die zunehmende Digitalisierung des Healthcare-Sektors, immer weiter verschärfen, und es wird für die meisten Leistungserbringer, aber auch für kaufmännische Verantwortliche, nahezu unmöglich, ohne externe Unterstützung Herr der Lage zu bleiben.
Neben Schulungsmaßnahmen und Outsourcing sollten auch weiter auf verbindliche und einheitliche Regelungen / Richtlinien gesetzt sowie deren Umsetzung sichergestellt werden.
Wie können zum Beispiel die Krankenhäuser die notwendigen Aufwände stemmen? Hilft das Krankenhauszukunftsgesetz (KHZG)?
Dr. Tino Großmann: Allgemein gilt: IT-Sicherheit ist ein Katalysator für die Digitalisierung. Ohne ausreichende IT- Sicherheit wird die Digitalisierung weder im Gesundheitswesen im Allgemeinen, noch in Krankenhäusern im Speziellen voranschreiten. Eine sichere Digitalisierung versetzt Krankenhäuserin die Lage, ihre Prozesse zu verbessern und neue Mehrwertdienste anzubieten. Aus diesem Blickwinkel betrachtet, geht es bei der Umsetzung von IT-Sicherheitsmaßnahmen nicht darum, Aufwände zu stemmen, sondern Investitionen in die Zukunft zu tätigen. Dabei hilft das KHZG natürlich, indem es Fördermittel zur Verfügung stellt. Es setzt dabei den Fokus auf Digitalisierungsmaßnahmen und schließt gleichzeitig die IT-Sicherheit als Querschnittsthema in allen Aspekten mit ein.
Ein konkretes Beispiel: Als CGM entwickeln wir aktuell ein System zum Management von Identitäten und Zugriffen, ein sogenanntes IAM. Damit können in Zukunft Patienten etwa vor ihrem geplanten Krankenhausaufenthalt zusätzliche Leistungen buchen, die dann entsprechend berücksichtigt und automatisch abgerechnet werden können.
Die beiden Leitgedanken des KHZG – „es geht um Digitalisierung“ und „IT-Sicherheit zählt immer dazu“ – sind aus unserer Sicht der richtige Ansatz. Es wäre wünschenswert, wenn dieser Ansatz weitergedacht und mit einem entsprechenden Förderprogramm auch auf Ebene der Arztpraxen ergänzt würde.
Wie unterstützt CGM zum Beispiel die Arztpraxen dabei, die IT-Sicherheit zu optimieren?
Dr. Tino Großmann: Die CGM bietet schon seit vielen Jahren ein umfangreiches Portfolio an Produkten und Lösungen an, um die Praxen bei allen Aspekten der IT-Sicherheit zu unterstützen. Dazu zählen zum einen produktunabhängige Schulungen zur IT-Sicherheit und detaillierte Beratungen durch unsere Experten. Zum anderen bieten wir den Arztpraxen Sicherheitsprodukte an, die wir auf Wunsch selbst betreuen.
Mit Blick auf die nahe Zukunft, sind hier ganz klar die gemanagten Services und Security-Lösungen zum Thema Firewall und Endpoint Protection (hier geht es weit über die Funktionsweise eines klassischen Virenschutz hinaus) hervorzuheben, welche noch im September unter dem Namen CGM Protect gelauncht werden. Mit dieser Kombination aus Firewall und Endpoint Security können wir den Praxen den bestmöglichen Rundumschutz bieten. Des Weiteren bieten wir seit diesem Jahr ein ISMS-Tool an, welches den Praxen dabei hilft, das eigene IT-Sicherheitsniveaus festzustellen und darauf basierend erforderliche Maßnahmen zu planen. In den kommenden Monaten werden wir zudem unsere Dienstleistungen in Kombination mit unserem Partnernetzwerk stetig ausbauen.