Risk und Continuity Management im Gesundheitswesen

Was es fürs Risk und Continuity Management im Gesundheitswesen bedeutet, wenn Sicherheitslücken im Datenprozess existieren, zu jeder Stunde quasi Spitalcomputer und medizinische Geräte angegriffen werden können, lernte man einmal mehr an der 5. Konferenz «Information Security in Healthcare»

Im Gegensatz zu den Ransomware- und WannaCry-Attacken, die 2017 die Endnutzer und Unternehmen weltweit in Atem hielten (siehe z. B. Management und Qualität vom Mai 2017 und den Beitrag über „WannaCry“ Attacke – noch kein Aufatmen möglich“), gab es per se 2018  keine so grossen und allumfassender Ausbrüche bis auf die Emotet-Malware.

So wurde im November 2018 eine Klinik im bayerischen Fürstenfeldbruck komplett durch den Emotet Virus eingefroren.

Die Klinik musste ohne Computer auskommen; Krankenwagen in andere Spitäler leiten. Wie man gleich anfangs der Konferenz lernte, dominiert inzwischen eine andere, perfidere Form von Malware die Szene. Diese unterläuft die gesamte Integrität einer Gesundheitseinrichtung eher schleichend, kann jedoch auch mal den ganzen Betrieb blockieren.

Spitäler im Fokus der Angriffe

Malware-Autoren legten vor allem in der zweiten Jahreshälfte 2018 ihr Hauptagenmerk auf Spitäler – hauptsächlich aufgrund der vielversprechenderen Gewinnmaximierung. Die Erkennung von Malware, die auf Unternehmen abzielen, stieg im Vergleich zum Vorjahr deutlich – genauer gesagt um 79 Prozent an.

Und zwar vor allem aufgrund der Zunahme von Backdoor-Angriffen, Minern, Spyware und Informationsdiebstählen, worunter spezifisch auch Gesundheitsdaten fallen.

Im Jahr 2018 kam es zu einem Wandel der Ransomware-Angriffstechniken. Anstelle des klassischen Vorgehens über Malvertising-Exploits, die Ransomware Einfallstore lieferten, führten Bedrohungsakteure gezielte, manuelle Angriffe durch.

Sehr komplex sei es nicht nur die Schäden zu dedektieren, sodern auch die Zuständigkeiten der Informationsverantwortlichen klar zu regeln. Dr. Eric Dubuis, Professor, Berner Fachhochschule-Informatik, wies etwa darauf hin, dass nicht nur Spitalverantwortliche und Ärzte, sondern auch Apotheker,  angeliederte Admin-Dienstleister bis hin zu Laborangestellten mit einer Malware infiziert und ausspioniert werden können.

Tendenziell gibt es immer mehr Nutzer, die über digitale Social Engeneering Angebote, z. B. über Kommunikations-Apps wie WhatsApp , auf persönliche Daten abgeklopft werden. So wurde WhatsApp im Mai 2019 gehackt. Medizinisches Fachpersonal nutzt auch solche Kommunkationsmittel sehr rege. Die Bedrohungslage im Gesundheitswesen nimmt daher mit steigender Digitalisierung und Vernetzung zu.

Fahrlässige Datenübermittlung

In den einzelnen Konferenzen-Streams erfuhr man sehr viel über den Status Quo der Medizinalbranche. So wies zum Beispiel Chris Berger, UMB AG, auf gewisse Lücken in der Branche hin: „Das Schweizer Gesundheitswesen ist nur zu 20 Prozent digitalisiert, wenn man einer aktuellen Studie von digital.swiss Aufmerksamkeit schenken möchte.“

In seiner Keynote über „Ganzheitliche Ansätze zur Hebung von Mensch und Infrastruktur im Gesundheitswesen“ verwies  Berger mehrmals darauf, dass nicht nur Medizinal-Geräte mit besonders schützenswerten Personendaten unzureichend geschützt sind, sondern auch, dass einzelne Gesundheitsbetriebe fahrlässig mit Daten umgehen – verschicken sie etwa unverschlüsselte E-mails weiter.

Die Digitalisierung und daraus resultierende Innovationen unterstützen zwar die Verbesserung und steigern die Effizienz in der Gesundheitsversorgung. Allerdings würden die elektronische Aufnahme, Übermittlung, Verarbeitung und Interpretation von Gesundheitsdaten nicht überall gleich gewährt werden, meinte Berger abschliessend.

Andererseits bringen in sich geschlossene Systeme wie das Elektronische Patientendossier involvierten Exponenten wie Gesundheitsdienstleistern und Patienten mehr Transparenz zum Krankheitsbild oder zu den Behandlungsschritten.

Damit werde eine engere Vernetzung der verschiedenen Leistungserbringer gefördert und die gesamtheitliche Betrachtung der Gesundheit der Patienten unterstützt. Die Sammlung und Bereitstellung der Gesundheitsdaten in einem geschützten Patientendossier ist ein zentrales Instrument für die Nutzung dieser Möglichkeiten.

Einzeln betroffene Spitaldienstleiter haben in Rotkreuz/ZG die Brisanz der Informationssicherheit im Gesundheitswesen unterstrichen. Angriffe finden laut Franco Cerminara, Chief Consulting Officer, InfoGuard AG,  jedenTag statt. Wenn Hacker Gesundheitseinrichtungen mit der Veröffentlichung von Patientendaten erpressen, drohen Reputationsschäden und Verletzungen der Grundrechte des Patienten.

Worst Case „Black Out“

Schliesslich hat ein Angriff auf eine kritische Infrastruktur, darunter eben auch auf Gesundheitseinrichtungen, gravierende Auswirkungen auf das Wohlergehen der Patienten (siehe z. B. Stromausfall in Venezuela bei der Dialyse von 15 Patienten).

Für Schweizer Gesundheitsverantwortliche scheint es „Black Outs“ nicht zu geben, weil ja jedes Medizinalgerät mit Reservebatterien ausgestattet wird.

Doch sind Spitaldienstleister stets über alle ihre mit dem Netz verknüpften Endgeräte informiert? Bei einem Ausfall der wichtigsten Systeme  werden adhoc umfassende organisatorische Massnahmen mit hohem Personaleinsatz notwendig, um den Betrieb möglichst aufrecht halten zu können.

Mitarbeitende der Gesundheitseinrichtungen haben Zugriff auf besonders schützenswerte Personendaten, werden aber bis dato noch unzureichend in Bezug auf IT- oder Informationssicherheit sensibilisiert.

Nur wenn Anwender, Anbieter und Entscheidungsträger besser miteinander „arbeiten“, so das Fazit an der 5. Konferenz «Information Security in Healthcare», lassen sich die Informationssicherheit und der Datenschutz im Schweizer Gesundheitswesen erhöhen.

www.infosec-health.ch/conference-2019.html