Wie können sich Krankenhäuser vor Hackerangriffen schützen?

Foto: Unsplash.com CDC

In den letzten Jahren hat die Digitalisierung in verschiedenen Branchen einen enormen Schub erfahren. Gerade im Gesundheitswesen und speziell im Krankenhausumfeld haben sich dadurch viele neue Möglichkeiten eröffnet. Jedoch bieten die Möglichkeiten der Vernetzung auch neue Angriffsflächen für Cyberkriminelle. 

Mit Blick auf die bereits stattgefundenen Angriffe auf Krankenhäuser, muss sich mit der Frage beschäftigt werden, wie Prozesse zur Sicherheit von IoT-Geräten und der IT-Strukturen in die Organisationen eingebunden werden können. Die Frage, wie sich Krankenhäuser vor Cyberangriffen schützen können, beantwortet Kriminalhauptkommissar und Cybercrime Präventionsexperte Peter Vahrenhorst vom Landeskriminalamt NRW in Form eines 4-Punkte-Präventionsplans:

Ganzheitlicher Sicherheitsansatz

Hacker unterscheiden nicht zwischen Medizin-IT und klassischer-IT, deshalb ist die erste Maßnahme in diesem Bereich das Aufbrechen der Silos und der ganzheitliche Ansatz. Nur mit einer solchen Herangehensweise lässt sich auch ein uneingeschränktes IT-Sicherheitskonzept umsetzen.

Verantwortlichkeiten festlegen

Ein wichtiger Baustein ist auch die Zuordnung von Verantwortlichkeiten. Wenn die Zuordnung klar geregelt und definiert ist, wird auch Verantwortung übernommen. Diese Struktur sollte vom Chef bis zum Hausmeister gelebt werden.

Netzwerksegmentierung

Auch im medizinischen Umfeld gilt die Klassifizierung von Geschäftsprozessen als Sicherheitsbaustein. Welche Bereiche kann ich notfalls länger vom Netz nehmen? Was ist existentiell bis zu Lebensbedrohlich? Netzwerksegmentierung ist hier das Mittel der Wahl.

Breit gestreute Investitionen in Sicherheit 

Beim Investment in IT muss bei jeder Beschaffung auch immer ein Kostenanteil bzw. eine Kostenbewertung für IT-Sicherheit inkludiert werden. Was helfen mir eine Anzahl an X-Geräten, wenn ich dann kein Budget mehr für den sicheren Betrieb habe?

Bei allen Investitionen in die Abwehr von Hackerangriffen, muss man auch den erfolgreichen Angriff auf die IT-Systeme einkalkulieren und einen IT-Recovery-Plan haben.

Weitere Tipps zum Vorgehen, wenn es bereits zu einem HAckerangriff kam, finden Sie der Seite von eco, Verband der Internetwirtschaft.

Neue Gefahren für den KRITIS-Sektor „Wasser“ durch Hackerangriffe

Foto: Unsplash.com Jefferson Santos

In Deutschland gibt es ca. 6000 Unternehmen der Öffentlichen Wasserversorgung und Abwasserbeseitigung. Neben Wetterextremen wie Hochwasser und Trockenzeiten, Umfeld bedingte Gefährdungen sowie dem Ausfall der Stromversorgung, müssen sich die Unternehmen auch vor neuen Gefahren, wie Hackerangriffen, schützen. 

Mehreren Penetrationstests bei großen Wasserwerken nach zu urteilen, sind Wasserwerke Hackerangriffen häufig schutzlos ausgeliefert. Besonders die Bereiche Fernwartung und Pumpsysteme seien anfällig, denn die Industriesteuerungen stammen aus einer Zeit, in der niemand damit gerechnet hat, dass sie eines Tages vernetzt sein würden. Bei kleineren Unternehmen sind die eingesetzten Systeme häufig dieselben, was bedeutet, dass die Ergebnisse der Penetrationstests auf alle übertragbar wären.

Zahlen des Statistischen Bundesamtes ist zu entnehmen, dass weniger als ein Prozent (17 von 5.845) der öffentlichen Wasserversorgung und Abwasserbeseitigung in Deutschland, aus dieser Ableitung verpflichtend unter Auflagen der BSI-Kritisverordnung fallen, da der Regelschwellenwert von 500.000 angeschlossenen Einwohnern bzw. 22 Mio. m³ Wassermenge nicht erreicht wird.

Die Regelschwellenwerte wurden zuletzt Juni 2016 und Juni 2017 überprüft und angepasst. § 9 der BSI-Kritisverordnung sieht eine Anpassung der Regelschwellenwerte mindestens alle zwei Jahre vor. Damit wäre eine erneute Anpassung bereits überfällig.

Auf die Frage, welche Maßnahmen die Bundesregierung für Betreiber der Wasserversorgung vorsieht (Drucksache 19/20965), die aufgrund der Schwellenwerte nicht unter die BSI-KritisV fallen, lautet die Antwort dass dies im Zuständigkeitsbereich der Länder liegt und die Empfehlungen des BSI vollständig oder in Teilen freiwillig umgesetzt werden können.

Problematisch ist jedoch, dass um freiwillig ein Sicherheitskonzept zu etablieren, den meisten kleinen und mittleren Wasserversorgern der Kommunen die finanziellen und personellen Ressourcen fehlen.

Cyberangriffe auf die Trinkwasserversorgung von Krankenhäusern

Cyberangriffe machen immer wieder Schlagzeilen. Auch Krankenhäuser und andere Gesundheitseinrichtungen geraten zunehmend ins Visier der Angreifer.

Wo besteht die größte Gefahr durch Cyberkriminelle für die Trinkwasserversorgung und -Hygiene in Krankenhäusern?

Darüber haben wir in unserem letzten WebTalk am 15. Juli mit unserem Experten Mark Peters gesprochen. Die Antwort finden Sie in diesem kurzen Video-Clip (10 Min.):

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden


Mark Peters
und die unbequemen Debatten über Wasserhygiene und Cyberrisiken. Kontrovers, hintergründig und lösungsorientiert behandelt er brennende Fragen in der Patientenversorgung. Der Datenschutz- und Hygiene-Auditor betreut mit seinem Team seit 15 Jahren über 3.000 Leistungserbringer im
Gesundheitswesen.

 

Gefährden fehlende Investitionen die Trinkwasserhygiene in Krankenhäusern? 

Dazu mehr in unserem nächsten Beitrag kommende Woche.

Sie sind Experte oder haben Sie ein Thema für den Partner für Wasser-WebTalk? Dann melden Sie sich bei uns! Schicken Sie uns Ihre Ideen und Vorschläge im Zusammenhang mit Trinkwasserhygiene und Healthcare per Email an kontakt@partnerfuerwasser.de

Sicherheit in sensiblen Bereichen

Wasseraufbereitung in Pflegeeinrichtungen

Wasserqualität in Bildungs- und Betreuungseinrichtungen

Hygiene und Zuverlässigkeit

Kontakt

Partner für Wasser e.V.
Albrechtstraße 13, Aufgang A
10117 Berlin
030 / 84712268-43
kontakt@partnerfuerwasser.de