Suche
E-HEALTH-COM ist das unabhängige Fachmagazin für Gesundheitstelematik, vernetzte Medizintechnik , Telemedizin und Health-IT für Deutschland, Österreich und die Schweiz.
Mehr
Unternehmensnews
Stellenmarkt
Firmenverzeichnis
Advertorials
Who is Who
Köpfe und Karrieren
Kalender
Blogs
Verbände
App des Monats
Links
Aktuelle Ausgabe
Downloads
E-HEALTH-COM App
Mediadaten
Abonnement
ePaper
Newsletter
Suche

Für das ePaper anmelden

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden

Anmelden

Passwort vergessen?

Unternehmensnews |

IT-Sicherheit zu Corona-Zeiten: Virenangriff im Doppelpack

Beim Kampf gegen das Corona-Virus sind Ärzte und Pfleger auf eine funktionierende IT-Infrastruktur angewiesen. Hackerangriffe bedrohen die IT-Systeme von Krankenhäusern derzeit jedoch massiv. Die Versorgung der Patienten ist deshalb zunehmend in Gefahr. Krankenhäuser sollten jetzt pragmatische Maßnahmen ergreifen, um sich besser zu schützen und einen reibungslosen Betrieb sicherzustellen. Auf diese Weise können sie ihre Resilienz gegenüber Hackern auch langfristig steigern.

Krankenhäuser waren schon immer beliebte Angriffsziele für Hacker – etwa um Patientendaten zu stehlen oder Geld zu erpressen. Ende 2019 wurde beispielsweise das Klinikum Fürth Opfer eines Hackerangriffs. Ein Computervirus war über eine E-Mail eingeschleust worden. Das Klinikum trennte daher vorsorglich seine Internetverbindung, um eine Verbreitung der Schadsoftware zu verhindern. In Folge dessen mussten Operationen verschoben und die Aufnahme neuer Patienten ausgesetzt werden. Was noch vor einigen Monaten ein unangenehmer Zwischenfall war, könnte heute – in Zeiten der Corona-Pandemie – dramatische Folgen haben. Denn eine stabile Gesundheitsversorgung entscheidet in der aktuellen Situation mehr denn je über Leben und Tod.

 

Als kritische Infrastrukturen sind Krankenhäuser im besonderen Maß gefordert, ihren Versorgungsauftrag sicherzustellen. Dazu gehört auch der Schutz der Daten und IT-Systeme. Grundlage ist das „E-Health-Gesetz“, das mit umfassenden Regelungen den Aufbau einer sicheren Telematik-Infrastruktur vorschreibt. Zudem müssen Kliniken ab jährlich 30.000 vollstationären Patienten ein Mindestniveau an Informationssicherheit nachweisen. Bei Verstößen drohen Sanktionen.

 

Pragmatische Lösungen

Als Leitfaden dient den betroffenen Krankenhäusern der Sicherheitsstandard „B3S“ Krankenhaus“, den die Deutsche Krankenhaus Gesellschaft (DKG) entwickelt hat. Darin werden technische und organisatorische Prozesse sowie mehr als 160 Maßnahmen beschrieben, die eine widerstandsfähige IT gewährleisten und die Patientenversorgung sicherstellen. Diese Vorgaben sind für den langfristigen Aufbau zukunftsfähiger IT-Sicherheitsstrukturen im Krankenhaus absolut wichtig. Für kurzfristige wirksame Maßnahmen ist ihre Umsetzung jedoch zu langwierig und aufwendig.

 

Denn es besteht akuter Handlungsbedarf. Das BSI hat erst kürzlich davor gewarnt, dass Cyberkriminelle derzeit verstärkt Gesundheitseinrichtungen ins Visier nehmen. Deshalb sind zurzeit pragmatische Lösungen gefordert, die schnell zum Erfolg führen und gleichzeitig die Basis legen für den Aufbau eines zukunftsfähigen IT-Sicherheitskonzeptes.

 

Das Home Office absichern

Zentral für die Resilienz der Krankenhaus-IT ist die Absicherung der Heimarbeitsplätze. Denn v.a. in der Verwaltung von Kliniken arbeiten derzeit viele Mitarbeiter von zu Hause. Heimarbeitsplätze sind jedoch häufig schlecht gesichert und bieten viele Angriffsflächen für Hacker. Mit einigen grundlegenden Schritten lässt sich der Arbeitsplatz auch zu Hause gegen Hacker absichern:

  • Grundlegende Sicherheitsmaßnahmen. Der Arbeitsplatz in den eigenen vier Wänden sollte physisch gesichert werden, indem Türen verschlossen und Bildschirme gesperrt werden. Empfehlenswert ist zudem, die Webcam am Rechner oder Laptop abzudecken, wenn diese nicht benötigt wird, sowie bei Nichtgebrauch das Mikrofon auszuschalten, um mögliche Spionageattacken ins Leere laufen zu lassen.

  • Daten auf den Endgeräten schützen. Die Endgeräte der Mitarbeiter sollten mit einer Festplattenverschlüsselung ausgestattet werden. Nur berechtigte Nutzer können dann ihre Daten und das Betriebssystem nutzen. Geht das Gerät verloren oder wird es gestohlen, ist es für Dritte nicht möglich, auf die Daten zuzugreifen.

  • Heimische WLAN-Verbindung absichern. Das Standard-Administrator-Passwort sollte durch ein neues, starkes Passwort ersetzt und die WPA2-Verschlüsselung aktiviert wird.

  • Regelmäßig updaten. Alle IT-Technologien eines Unternehmens müssen auf dem aktuellsten Stand sein – das ist ein wesentlicher Schutz vor Hackern. Alle Mitarbeiter sollten daher regelmäßig Updates ausführen und mit der neuesten Systemversion arbeiten.

  • Daten in der Cloud schützen. Für das dezentrale Arbeiten sind Cloud-Anwendungen und Collaboration-Dienste ideal. Doch die Schutzmechanismen der Cloud-Anbieter entsprechen nicht den Sicherheitsanforderungen von Krankenhäusern. Es drohen Datenspionage und Compliance-Verletzungen. Die Lösung ist ein datenzentrischer Schutz: Dabei werden Platzhalter in die Cloud eingestellt, die nur Metadaten enthalten, die für Kollaboration und Workflows notwendig sind. Die schützenswerten Nutzdaten werden fragmentiert im Unternehmensnetzwerk oder an einem anderen Ort abgelegt.

  • Unternehmen sollten sichere Kommunikationskanäle nutzen, um die Tablets, Smartphones oder PCs der Mitarbeiter im Home Office an das Unternehmensnetzwerk anzubinden. Empfehlenswert sind Virtual Private Networks (VPN). Sie bauen über einen „gesicherten Tunnel“ Verbindungen zwischen dem Endgerät und dem Unternehmensnetz auf.

  • Vorsicht vor Betrügern. Angreifer täuschen und tricksen, um an Passwörter, Bankverbindungen oder Zugangsinformationen zu gelangen. Beispielsweise versenden sie täuschend echt wirkende E-Mails, in denen ein Kollege scheinbar die Unterlagen eines Patienten anfordert. Dieses sogenannte Social Engineering stellt in Zeiten dramatischer Veränderungen eines der größten Risiken im Home Office dar.

  • Starke Passwörter nutzen. Passwörter schützen Anwendungen vor unberechtigtem Zugriff. Je komplexer und eindeutiger Passwörter sind, desto schwerer sind sie zu knacken. Eine Multi-Faktor-Authentifizierung beispielsweise unter Einsatz von PIN, Fingerabdruck oder Passwort bietet ergänzend Schutz vor dem Zugriff unbefugter Dritter.

 

Darüber hinaus sollten Krankenhäuser Maßnahmen ergreifen, die weitere IT-Strukturen absichern:

 

  • Webapplikationen absichern: In Krankenhäusern kommen zunehmend so genannte Webapplikation zum Einsatz. Medizinische Unterlagen und Berichte lassen sich mit solchen Apps beispielsweise digital für jede berechtigte Person zugänglich machen – und zwar sowohl vom PC als auch von Tablet, Smartphone oder anderen vernetzten Geräten. Webanwendungen sind für Hacker jedoch leicht zu knacken. Cyberkriminelle erhalten über sie Zugang zu persönlichen Daten und können Patienten und Krankenhäuser erpressen. Um Webapplikationen zu schützen, brauchen Krankenhäuser eine spezielle „Web Application Firewall“: Die Web Application Firewall prüft alle eingehenden Anfragen an den Webserver sowie dessen Antworten. Sobald bestimmte Inhalte als verdächtig eingestuft werden, verhindert die Web Application Firewall den Zugriff.

  • Endgeräte vor Angriffen aus dem Internet schützen. Über gefälschte Webseiten, E-Mails oder Grafiken, die aus scheinbar vertrauensvollen Quellen stammen, wird derzeit vermehrt Malware auf Rechner geschleust. Der beste Schutz vor Angriffen aus dem Internet ist ein virtueller Browser. Kommt dieser zum Einsatz haben Cyberkriminelle keine Chance.

  • Trennung medizinischer und nicht-medizinischer Netzwerke: Sollte es zu einem Hackerangriff auf die nicht-medizinischen IT-Systeme kommen, kann sich der Virus nur dort weiter ausbreiten. Auch eine Trennung vom Internet ist in diesem Fall nur für den befallenen Bereich notwendig. Die Versorgung mit medizinischen Geräten wird nicht unterbrochen.    

 

Mit diesen Maßnahmen stärken Gesundheitseinrichtungen ihre IT-Systeme ganz akut gegenüber Angreifern. Langfristig bilden sie wichtige Bausteine für den Aufbau eines Mindestniveaus an Informationssicherheit, so wie es gesetzlich gefordert ist.

 

Weitere Informationen finden Sie hier

Meistgelesen

Blog
GDNG: Quantensprung für die medizinische Forschung?
Unternehmensnews
Mesalvo auf der DMEA 2024 – Empower Excellence in Health and Care
Unternehmensnews
Kooperation geschlossen: Nui Care und DAK-Gesundheit unterstützen pflegende Angehörige
Unternehmensnews
„Noah Labs Ark“ erhält die medizinische Zulassung

Cookies auf e-health-com.de

Diese Website nutzt Cookies, um ihre Dienste anbieten zu können und Zugriffe zu analysieren. Dabei ist uns der Datenschutz sehr wichtig.

Legen Sie hier Ihre Cookie-Einstellungen fest. Sie können Sie jederzeit auf der Seite Cookie-Informationen ändern.

Mehr über die genutzten Cookies erfahren
Cookie optin by Olli machts