In kaum einem Sektor werden solch sensible Daten ausgetauscht, wie im Gesundheitswesen. Diese Tatsache, gepaart mit der stetig wachsenden Vernetzung der Versorgungseinrichtungen untereinander, macht Krankenhäuser und Arztpraxen zum bevorzugten Ziel von Erpressungen durch Cyberattacken. Experten entdecken fortwährend Schwachstellen in der Gesundheits-IT verschiedener Häuser – ein Verbundprojekt aus Nordrhein-Westfalen hat deshalb an Lösungen gearbeitet, um das Sicherheitslevel bei Medizin-IT-Systemen systematisch zu erhöhen.
Im Februar 2016 traf es das Lukaskrankenhaus in Neuss, im September 2020 die Düsseldorfer Uniklinik. Das Klinikum Wolfenbüttel wurde im Sommer 2021 in Mitleidenschaft gezogen, und der Medizin Campus Bodensee zu Beginn des Jahres 2022. Gemeint sind in allen vier Fällen Hackerangriffe auf die IT-Infrastrukturen der medizinischen Einrichtungen, vorgenommen mit sogenannter Ransomware (Erpressungs-Schadsoftware). Besonders der Düsseldorfer Vorfall erregte mediale Aufmerksamkeit, stand er doch im Zusammenhang mit dem tragischen Tod einer Patientin: Aufgrund der lahmgelegten Klinik-IT und der damit verbundenen Abschaltung der Notfallversorgung, musste ein Rettungswagen kurzerhand nach Wuppertal umgeleitet werden – kostbare, lebensrettende Zeit ging verloren.
Beispiele wie dieses zeigen auf eindringliche Weise, welch große Bedrohung Cyberkriminalität mittlerweile für Krankenhäuser und Arztpraxen darstellt. Oft verstreichen gleich mehrere Tage, bis entsprechende IT-Systeme wieder in Gänze hergestellt sind. Dass das Gesundheitswesen aufgrund sensibler Daten und stetig wachsender Medizin-IT-Systeme ein hohes Erpressungspotential besitzt (und somit ein lohnenswertes Ziel für Hacker abbildet), wissen auch die Initiatoren des durch den europäischen Fonds für regionale Entwicklung geförderten nordrhein-westfälischen Verbundprojekts MITSicherheit.NRW. Sieben Partnereinrichtungen aus dem Ruhrgebiet und NRW erforschten und entwickelten ab Januar 2019 rund drei Jahre lang neue Instrumente zur Absicherung der Krankenhaus-IT gegen Cyberattacken. Die Konsortialführung liegt hier bei der MedEcon Ruhr GmbH, dem Netzwerk der Gesundheitswirtschaft an der Ruhr; die Gesamtprojektleitung hat Leif Grundmann inne. Er zeichnet mit Blick auf die Problematik ein Bild der letzten Jahre: „Wir sehen da ein gleichbleibend hohes Risiko für die Krankenhäuser, gehen doch immer wieder einschlägige Fälle durch die Presse. Zudem existiert eine gewisse Dunkelziffer. Neben ungezielten Angriffen – etwa durch das Einschleusen von E-Mails mit schadhaften Anhängen – existieren mittlerweile deutlich ausgefeiltere Methoden.” Der Projektleiter vergleicht die Situation treffend mit dem Wettlauf zwischen Hase und Igel: „Mitarbeitenden werden Awareness-Schulungen angeboten und man zieht die Mauern kontinuierlich höher, parallel aber professionalisieren sich die Angreifer ebenso, weshalb das Risikolevel gleich hoch bleibt.”
Zahlreiche Schwachstellen identifiziert
Die steigende Zahl der Angriffe dürfte auch mit den Auswirkungen von COVID-19 in Zusammenhang stehen. Laut einem Bundeslagebild des Bundeskriminalamts (BKA) passen sich Cyberkriminelle zügig gesellschaftlichen Notlagen an, um diese für ihre Zwecke auszunutzen. Tatsächlich habe das BKA 2020, also im ersten Jahr der Pandemie, mit 108.000 Cyber-Delikten eine Steigerung von 7,9 Prozent zum Vorjahr registriert. Es erfolgen somit Hackerangriffe auf Institutionen und Unternehmen mit einem gesellschaftlich hohen Stellenwert – und das in Zeiten, in denen Pflegepersonal und Ärzte ohnehin am Limit arbeiten. Gleichzeitig steigen im Zuge des pandemiebedingten Digitalisierungsschubs die Anforderungen an die Absicherung der eingesetzten Systeme.
Zu den Instrumenten, die im Rahmen des Projekts MITSicherheit.NRW entwickelt wurden, zählt unter anderem ein „Large Scale Scanner”, der das komplette, weltweite (IPv4-basierte) Internet nach potentiell angreifbaren medizinischen Geräten und Systemen absucht. Leif Grundmann erklärt: „Da wurden auf intensive Art und Weise Internetports gescannt. Mit dem umfangreichen Forschungswissen aus dem Konsortium konnten wir hierfür uns bekannte medizinische Konfigurationen gezielt auswählen.” Bereits in der Projektphase ließen sich so zahlreiche Schwachstellen für Angriffe aus dem Internet identifizieren, die über fehlerhafte Konfigurationen in der Datenkommunikation mit Partnereinrichtungen oder Patienten bestanden. „Die von der gematik GmbH für Arztpraxen vorgeschriebenen TI-Konnektoren waren beispielsweise nicht optimal konfiguriert”, so Grundmann. „Insgesamt konnten wir 200 Konnektoren ausmachen, bei denen Patientendaten auszulesen waren.” Die ermittelten Konfigurationen wurden im Anschluss der gematik GmbH gemeldet. Von dort aus erging eine Meldung an die Konnektor-Betreiber, sodass die Sicherheitslücken geschlossen werden konnten.
Mit dem Instrument „MedFUZZ” wurde dank des Verbundprojekts zudem eine Testumgebung für die medizinischen Protokolle DICOM und HL7 geschaffen: Sie ermöglicht den Unternehmen einen Test auf Sicherheitslücken oder Instabilitäten der eigenen Software. Durch die Entwicklung des neuen Scanners „MedVAS” erhalten Krankenhaus-IT-Abteilungen zudem die Chance, einen Verwundbarkeits-Scan der Krankenhausstrukturen bei laufendem Betrieb durchzuführen – dies erfolgt unter Einbeziehung der Ergebnisse aus den „MedFUZZ”-Softwaretests.
Krankenhäuser ringen um IT-Sicherheitsfachkräfte
Das Forschungs- und Entwicklungsprojekt MITSicherheit.NRW wurde von der nordrhein-westfälischen Landesregierung und der EU mit ca. 1,7 Mio. Euro gefördert. Unter der Federführung der MedEcon Ruhr arbeiten die Partnereinrichtungen Ruhr-Universität Bochum, FH Münster, G DATA Advanced Analytics GmbH, radprax Gesellschaft für Medizinische Versorgungszentren mbH und VISUS Health IT GmbH gemeinsam mit der Krankenhausgesellschaft Nordrhein-Westfalen e. V. an einem höheren Sicherheitslevel der NRW-Krankenhäuser. Hinzu kommen 14 weitere assoziierte Partnereinrichtungen aus Versorgung und Wirtschaft. „Als MedEcon Ruhr ist uns in der Rolle der Konsortialführung sehr daran gelegen, den Austausch mit unseren Anwenderinnen und Anwendern in den Einrichtungen zu organisieren und kontinuierlich die Botschaften des Projekts zu senden”, so Leif Grundmann. Mittels einer „Erhebung zum Stand der IT-Sicherheit der Krankenhäuser in Nordrhein-Westfalen“ wurden zudem umfangreich Krankenhäuser des Bundeslandes befragt: „Die jeweilige IT-Leitung, die Datenschutzverantwortlichen und die Geschäftsführungen konnten so ihre Einschätzungen zur IT-Sicherheit in ihrem Haus geben. Die zurückgespielten Ergebnisse haben zu einem aufschlussreichen Bild geführt und wurden im Anschluss dem NRW-Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie vorgestellt.” Für Krankenhäuser bilden die Studienergebnisse somit einen hilfreichen Vergleichsmaßstab ab. Eine Übersicht der im Projekt MITSicherheit.NRW erarbeiteten Lösungen, ein spezialisierter Sicherheits-Newsletter, die Ergebnisse der Studie sowie umfassende Informationen zur IT-Sicherheit im Krankenhaus sind auf der Plattform mits.nrw abrufbar.
Was den medizinischen Einrichtungen aktuell durchaus entgegen kommt, sind die Investitionsförderungen über das Krankenhauszukunftsgesetz. Dieses sieht erstmals zweckgebundene Mittel für die IT-Sicherheit vor. „Dadurch erhalten die Krankenhäuser eine gute Finanzierungsgrundlage, um die eigenen Maßnahmen auszubauen”, betont Leif Grundmann. „Dabei handelt es sich allerdings lediglich um eine einmalige Maßnahme, zumal der Betrieb der Systeme Kenntnisse und Zeit erfordert, was hier nicht abgedeckt ist.” Die Krankenhäuser rängen aktuell um IT-Sicherheitsfachkräfte, so der Experte. Denn: Dass ein nachhaltiger Auf- und Ausbau entsprechender Strukturen unerlässlich ist, zeigen die möglichen Auswirkungen auf die Patientensicherheit und Behandlungseffektivität.
Über das Netzwerk
Die MedEcon Ruhr GmbH nahm ihre Tätigkeit im Oktober 2007 auf und hat ihren Sitz auf dem Gesundheitscampus in Bochum. Sie betreut regionale Netzwerke und Verbünde, entwickelt und koordiniert Projekte, unterstützt und organisiert Veranstaltungen und sorgt mit ihren Medien für Transparenz und Information. Hauptgesellschafter ist der MedEcon Ruhr e.V. als Verbund der Gesundheitswirtschaft des Ruhrgebietes. Auch die PVS holding GmbH zählt zu den derzeit 173 Mitgliedern.