Für das Universitätsklinikum Düsseldorf war es im September 2020 der Super-GAU: Ein Hackerangriff legte die IT-Systeme lahm; auf einen Schlag waren 30 Server verschlüsselt. Die Folge: Die Uniklinik musste sich von der Notfallversorgung abmelden, Rettungswagen fuhren sie tagelang nicht an. Eine Patientin musste wegen des Computerausfalls in eine weiter entfernte Klinik gebracht werden und starb. Dabei hatten die Düsseldorfer Glück im Unglück. Als die Ermittler den Erpressern mitteilten, dass sie ein Krankenhaus lahmgelegt hatten, schickten die Hacker – ohne das geforderte Lösegeld – einen digitalen Schlüssel. So konnten die Server nach und nach wieder in Betrieb genommen werden. Der Ruf der Uniklinik litt durch den Vorfall massiv. Mit dem IT-Grundschutz hätte der Hackerangriff vereitelt werden können, kritisierte zum Beispiel Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Inhaltsverzeichnis
Cybersecurity im Gesundheitswesen? Das BSI warnt die Branche schon lange
IT-Sicherheitsgesetz: in zwei Jahren hat sich nicht überall etwas getan
Was der Standard an Sicherheit für die Gesundheitsversorgung vorgibt
Cybersecurity bei Medizinprodukten ist eine Forderung aus der MDR
Was Kliniken in Sachen Cybersecurity von Medizinprodukte-Herstellern brauchen
Medizinproduktehersteller: das Information Security Management System fortlaufend pflegen
Starterpaket für § 75c SGB V
Diga: Anforderungen an Apps steigen
Das Beispiel Düsseldorf ist kein Einzelfall. Im März 2021 traf es das Evangelische Krankenhaus in Lippstadt. Die Notfallversorgung war eingeschränkt, es gab einen vorübergehenden Aufnahmestopp für Patienten. Und im September vergangenen Jahres erwischte es mehrere Kliniken der SRH Holding in Baden-Württemberg und Thüringen. Dabei wurden auch Daten gestohlen. In allen Fällen dauerte es Wochen oder Monate, bis alle IT-Systeme wieder am Netz waren.
Cybersecurity im Gesundheitswesen? Das BSI warnt die Branche schon lange
„Das BSI warnt die Gesundheitsbranche schon seit Jahren vor Cyber-Angriffen und appelliert, dringend Schutzvorkehrungen zu treffen. Doch geschehen ist in der Vergangenheit recht wenig“, weiß Michael Bothe, Leiter der Zertifizierungsstelle Aktive Medizinprodukte bei DQS Medizinprodukte, einer der für die MDR Benannten Stellen. „Bei den meisten Herstellern vernetzter Medizinprodukte ist das Thema IT-Security fest verankert, aber die Krankenhäuser haben sich bislang gewunden.“
Doch nun hat der Gesetzgeber Ernst gemacht. Schon seit 2017 verpflichtet das IT-Sicherheitsgesetz Betreiber von kritischen Infrastrukturen im Gesundheitswesen, ihre IT-Systeme vor Cyberkriminellen wirkungsvoll abzusichern. Diese Regelung betraf bislang größere Krankenhäuser mit mehr als 30 000 vollstationären Fällen pro Jahr. Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 (§ 75c SGB V) sind seit 1. Januar 2022 aber nun alle Krankenhäuser deutschlandweit verpflichtet, entsprechende Schutzmaßnahmen umzusetzen. Die IT-Sicherheit der Häuser soll demnach dem „Stand der Technik“ angepasst sein und alle zwei Jahre aktualisiert werden. Damit auch kleine Krankenhäuser dies umsetzen können, stellt der Bund eine Fördersumme von mehr als 4 Mrd. Euro zur Verfügung.
IT-Sicherheitsgesetz: in zwei Jahren hat sich nicht überall etwas getan
Das IT-Sicherheitsgesetz 2.0 wurde bereits vor zwei Jahren verabschiedet, doch viele Krankenhäuser haben es noch nicht umgesetzt. „Für Kliniken, die sich bisher noch nicht gekümmert haben, läuft jetzt die Zeit“, sagte Jörg Asma, Partner im Bereich Cyber Security bei PWC Deutschland, in einem Webinar des Beratungshauses zur Bedeutung der § 75c SGB V für Krankenhäuser. „Viele Krankenhäuser empfinden das IT-Sicherheitsgesetz 2.0 als lästige Pflicht. Doch man muss das anders sehen: Es geht letztlich immer um die sichere Patientenversorgung.“
Intrinsische Gründe zur Einführung von IT-Security-Maßnahmen und -Prozessen seien immer die besten, aber das sähen leider nicht alle so. „Deshalb hilft der Regulierer nun nach und präzisiert mit dem § 75c SGB V, was der gute Stand der Technik ist.“ „Aussitzen ist keine Option – und der § 75c SGB V ist in der Umsetzung weder Rocket Science noch die Coca-Cola-Formel“, bestätigte Daniel Maier-Johnson, Chief Information Security Officer (CISO) bei der Asklepios-Kliniken-Gruppe, im gleichen Webinar.
Was der Standard an Sicherheit für die Gesundheitsversorgung vorgibt
Die Referenz für die organisatorischen und technischen Maßnahmen bildet der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus. Entwickelt hat ihn die Deutsche Krankenhausgesellschaft (DKG) in Absprache mit dem BSI.
Der Standard enthält rund 200 Anforderungen und Empfehlungen für Maßnahmen. Dazu gehört neben der Einführung eines Informationssicherheitsmanagementsystems (ISMS) ein aktives Management von Risiken beim Ausfall digitaler Systeme.
Genau hier ziehen die Krankenhäuser nun ihre Zulieferer von Medizinprodukten mit ins Boot: „Die Krankenhausbetreiber schicken derzeit Fragenkataloge – meist auf Basis des MDS2-Formulars – an die Hersteller von Medizinprodukten, gewürzt mit Überlegungen des eigenen Hauses“, berichtet Hans Wenner, Senior Manager Regulatory Affairs bei VDE Medizinprodukte und Software. „Die Krux ist: Ohne diese ausgefüllten Checklisten können Hersteller nicht an Ausschreibungen teilnehmen.“ Laut Wenner ist das MDS2-Formular zwar sehr umfangreich, kann aber im Prinzip vom Hersteller vorbereitet werden für bestehende und potenzielle Kunden. „Doch die individuellen Fragen der Krankenhäuser verursachen bei großen Medizinprodukteherstellern einen großen Aufwand, wie wir in Gesprächen immer wieder feststellen müssen. Kleinere Medizinproduktehersteller sind sogar überfordert mit derartigen Checklisten und Anfragen. Sie wissen oft gar nicht, was zu tun ist“, so Wenner.
Cybersecurity bei Medizinprodukten ist eine Forderung aus der MDR
Dabei fordert die MDR von Herstellern explizit, die Grundsätze der IT-Sicherheit in ihren Medizinprodukten zu erfüllen. Dazu gehört unter anderem ein Risikomanagement. Wenner: „Nicht zuletzt, weil die Krankenhäuser nach den Ergebnissen des Risikomanagements fragen, treten die Hersteller immer wieder an uns heran und möchten wissen, wie wahrscheinlich ein Angriff auf ihr Produkt ist, da die Wahrscheinlichkeit ein Faktor bei der Risikobewertung ist. Unsere Antwort lautet dann, dass die Wahrscheinlichkeit für einen Angriff immer gegeben ist, also: 100 Prozent.“ Daher müsse man es dem Angreifer so schwer wie möglich machen, und die Wahrscheinlichkeit geht in die Risikobewertung ein. „Das heißt, Schnittstellen absichern, mit verschiedenen Netzwerksegmenten arbeiten, Passwortschutz, Verschlüsselungen etc. Mit diesen Maßnahmen ist ein Medizinproduktehersteller auch vorbereitet für solche Checklisten aus Krankenhäusern.“
Um die Forderungen der MDR und der Krankenhäuser zu erfüllen, empfiehlt Wenner auch, IT-Security bereits in die Softwareentwicklung einfließen zu lassen – etwa durch Privacy by Design: „Datensparsamkeit ist das A und O. Statt Daten verschlüsselt abzulegen, sollte sich der Entwickler fragen: Braucht man die erfassten und gespeicherten Daten überhaupt für die Anwendung? Denn warum soll ein Angreifer ein System angreifen, wenn es keine interessanten Daten für ihn gibt? Und wenn es dann doch zu einem Angriff kommt, kann der Angreifer nichts stehlen. Hier haben viele Unternehmen noch Nachholbedarf.“
Was Kliniken in Sachen Cybersecurity von den Medizinprodukte-Herstellern wissen wollen
Die Krankenhäuser wollen zudem wissen, welche Fremdsoftware wie etwa Software-Bibliotheken bei einem Medizinprodukt im Einsatz ist und in welcher Version. Wenner: „Dies hilft einem Krankenhaus, schnell reagieren zu können – indem es bei Bekanntwerden einer Schwachstelle etwa ein CT vom Netz nimmt, bis dafür ein Patch verfügbar ist. So kann Schlimmeres verhindert werden.“ In den USA wurde vor diesem Hintergrund im vergangenen Jahr eine Verordnung erlassen um den Status der Cybersicherheit und den Schutz der IT-Netze drastisch zu verbessern. Einer der Kernpunkte ist die Software-Lieferkette mit der sogenannten Software Bill of Materials (SBOM) für die Beschaffung von IT- und OT-Produkten im öffentlichen Bereich. Das heißt, dass ein Medizinproduktehersteller etwa einem Militärkrankenhaus einen formalen Datensatz übermitteln muss mit allen Details und Lieferkettenbeziehungen der verschiedenen Komponenten, die bei der Erstellung von Software verwendet werden.
(Bild: GE Healthcare)
VDE Medizinprodukte und Software geht davon aus, dass der Inhalt dieser Verordnung künftig auch auf den privaten Sektor und nach Europa durchschlagen wird. „Die Inhalte der SBOM werden auch hierzulande diskutiert – und zwar sehr kontrovers: Während die Betreiber diese Informationen haben wollen, sind die Hersteller vernetzter Medizinprodukte eher reserviert, da sie damit viele Details über ihre Produkte transparent machen müssen“, betont Wenner.
Medizinproduktehersteller: das Information Security Management System fortlaufend pflegen
DQS-Med-Experte Bothe macht auf einen weiteren Punkt aufmerksam: „Hersteller vernetzter Medizinprodukte sollten sich bewusst sein, dass sie ein Information Security Management System nicht nur einmalig aufbauen, sondern dass sie es kontinuierlich und dauerhaft leben.“ Hier schließt sich der Kreis zu den Krankenhäusern. Asklepios-CISO Maier-Johnson: „IT-Sicherheit muss als begleitender Prozess wahrgenommen werden.“
Weitere Informationen
Zum Bundesamt für Sicherheit in der Informationstechnik (BSI):
www.bsi.bund.de
Zum Bundesinstitut für Arzneimittel und Medizinprodukte (Bfarm):
www.bfarm.de
Zur Deutschen Krankenhausgesellschaft (DKG):
www.dkgev.de
Zu DQS Medizinprodukte:
www.dqs-med.de
Zu VDE Meso:
Starterpaket für § 75c SGB V
Seit 1. Januar 2022 sind alle Krankenhäuser gemäß § 75c Sozialgesetzbuch V verpflichtet, nach dem Stand der Technik angemessene Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Eine Arbeitsgruppe der Deutschen Krankenhausgesellschaft (DKG) hat dazu ein „Starter-Paket“ erarbeitet. Es
- stellt Motivation und Zielstellung der Umsetzung eines systematischen Informationssicherheitsmanagements im Krankenhaus dar,
- beschreibt die spezifischen Sicherheitsgefährdungen und
- gibt einen kurzen Überblick über einschlägige gesetzliche Grundlagen und Fördermöglichkeiten.
Arbeitshilfen und Vorlagen unterstützen die organisatorische Integration von Informationssicherheit im Krankenhaus, eine initiale Gap-Analyse zur Bestandsaufnahme von bereits implementierten Informationssicherheitsmaßnahmen sowie den Ausbau eines Notfall- und Business-Continuity-Managements.
Diga: Anforderungen an Apps steigen
Seit Dezember 2019 gibt es „Apps auf Krankenschein“, also erstattungsfähige Digitale Gesundheitsanwendungen (Diga). Nun hat das Bundesinstitut für Arzneimittel und Medizinprodukte (Bfarm) die Einstiegshürden für Diga-Anbieter deutlich erhöht: mit der zweiten Novelle der Verordnung über das Verfahren und die Anforderungen zur Prüfung der Erstattungsfähigkeit digitaler Gesundheitsanwendungen in der gesetzlichen Krankenversicherung (Digav). Demnach müssen Anbieter ab dem 1. April 2022 ein wirksames Informationssicherheitsmanagementsystem (ISMS) nachweisen. Das ISMS legt fest, mit welchen Instrumenten und Methoden die Leitungsebene die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert).
Demnach ist für alle Diga ein ISMS gemäß ISO 27001 oder „ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200–2: IT-Grundschutz-Methodik)“ zu erbringen. Dies gilt für neue Apps, aber auch für die bereits gelisteten Diga-Anbieter.
Ab dem 1. Januar 2023 ist nach Digav zusätzlich die „Erfüllung der Anforderungen an die Datensicherheit durch ein Zertifikat des Bundesamts für Sicherheit in der Informationstechnik nach § 139e […] nachzuweisen.“ Auch dies gilt für bereits gelistete Hersteller. Die bisherige Selbsterklärung nach Anhang der Digav ist damit obsolet.
Hintergrund der Änderungen ist laut Bfarm, dass eine „sichere Diga“ immer nur eine Momentaufnahme darstellt: Eine Diga entwickelt sich in schnellen Release-Zyklen weiter, und Sicherheitsmaßnahmen, die heute dem Stand der Technik entsprechen, können so schon in wenigen Monaten wirkungslos sein.
