Informationssicherheit im Krankenhaus: Digitalisierung und IAM
Im Juli 2022 warnten US-Geheimdienste vor einer neuen Welle der Cyberkriminalität. International agierende Banden würden gezielt Ransomware einsetzen, um Betreiber des Gesundheitswesens zu erpressen, hieß es in der Meldung.
Für Betreiber der kritischen Infrastruktur und die Digitalisierung in Krankenhäusern ist das Thema Datenschutz nach wie vor in einem wichtigen Fokus. Seit 01.01.2023 ist das Patientenschutzgesetz für Betreiber kritischer Infrastruktur im Gesundheitswesen gültig.
Mechanismen wie Identity and Access Management (IAM) verbessern die Informationssicherheit im Krankenhaus nach B3S und geben die Möglichkeit, Zugriffe und Automatisierung sicher zu orchestrieren.
Gefahr durch Cyberangriffe auf Krankenhäuser: Symptom Ransomware
Von Versaille nach Lippe: Erst Ende des letzten Jahres zeigte ein Beispiel aus Frankreich, wie der Ernstfall aussehen kann. Aufgrund der angegriffenen Netzwerke war eine Remote-Überwachung von Vorgängen nicht mehr möglich. So standen für OPs nicht genug Personal zur Verfügung. Das Krankenhaus wurde zum zweiten Mal Opfer und auch auf weitere Einrichtungen Frankreichs gab es Attacken.
Auch im Deutschen Lippe war eine Einrichtung von Cyberangriffen auf Krankenhäuser betroffen. Patienten mussten nicht verlegt werden. Die Einrichtung erklärte sich zur Zahlung des Lösegeldes bereit und erhielt danach wieder Zugriff auf sensible Daten. Wie viele der Krankenhäuser insgesamt betroffen sind, lässt sich schwer sagen: Häufig driften stillschweigende Übereinkünfte von Attacken in die geheimhaltung.
In Ransomware-Attacken erbeuten Erpresser immer wieder Daten oder sperren das Computersystem der Betreiber. Ransomware wie Maui oder russische Hackergruppen, welche 2021 Ransomware-as-a-Service angeboten haben, verdeutlichen das akute Bedrohungsszenario. Mehr als 623 Millionen Attacken weltweit soll es 2021 laut Schätzungen gegeben haben. Wirksame Abwehr- und Sicherheitsmaßnahmen für den Datenschutz und der Schutz der Systeme erfordern eine ganzheitliche Perspektive. Einheitliche Maßnahmen gegen Cyberangriffe auf Krankenhäuser müssen zudem die Arbeitsweise unterstützen. Dies scheitert punktuell auch nach Jahren des Auftakts durch Krankenhasuzukunftsgesetz (KHZG) und Krankenhauszukunftsfond (KHZF).
Viele Probleme aktuell
Probleme mit der telematischen Infrastruktur als Ader der digitalen Informationen und an der Praktikabilität der elektronischen Patientenakte sind bis heute nicht beseitigt. Verschiedene Organisationen und Stimmen aus der Gesundheitsbranche üben Kritik an der Digitalisierung, die im Hochgeschwindigkeitstempo keine Orchestrierung erfahre. So sei diese, besonders im Hintergrund internationaler Attacken, unsicher und sei nach wie vor nicht an praktische Bedürfnisse der Ärzte angepasst. Auch die Krankenhaus-IT stößt immer wieder auf Probleme, die im besten Fall zuerst von ethischen Hackern aufgespürt werden.
Datenschutz und Digitalisierung im Krankenhaus
Die Umsetzung der Digitalisierung sollte mit dem Krankenhauszukunftsgesetz der Startschuss für Digitalisierung im Krankenhaus sein. Mit dem Beschluss aus dem Jahr 2020 wurde zudem ein finanzieller Rahmen vereinbart, der Einrichtungen dabei helfen sollte, die dringend erforderliche Digitalisierung zu gewährleisten.
Durch die Maßnahmen wurden Betreiber dazu angehalten, Datenschutz und Compliance nach BSI-KritisV, Branchenspezifischen Sicherheitsstandards (B3S), PDSG oder DSGVO zu erfüllen. Neben der Anschaffung der telematischen Infrastruktur, Schutz der Krankenhaus-IT und deren Einrichtung sind auch weitere Maßnahmen erforderlich, um die Krankenhäuser und Einrichtungen des Gesundheitswesens zu schützen.
So sieht der B3S wichtige Maßnahmen und Anwendungen des Identitäts- und Zugriffsmanagements vor. Möglichkeiten guter Anwendungen gehen dabei über die Governance von IAM und die Einhaltung von Sicherheitsbestimmungen hinaus. Ob Standards erfüllt wurden, muss dabei deutlich nachweisbar sein.
IAM im Krankenhaus: Chancen der Digitalisierung
Als wichtiger Baustein für die Informationssicherheit im Krankenhaus ist ein kompatibles IAM-System für Sicherheitsbestimmungen rund um den Zugriff auf Daten und Netzwerke zuständig. Darüber hinaus muss es Arbeitsabläufe in den Einrichtungen und auch einrichtungsübergreifende Prozesse unterstützen.
OGiTiX unimate ist als IAM-Anwendung KHZG-förderfähig. Erfüllt wird das MUSS-Kriterium des Fördertatbestands 10 sowie 15 % der Mindestanforderungen in weiteren Fördertatbeständen. Darüber hinaus bietet die Anwendung eine sichere Automatisierung von Vorgängen und ist kompatibel mit Schnittstellen wie Dedalus ORBIS und weiteren Anwendungen.
Die Unterstützung des Workflows mit Single Sign-On (SSO), Self-Services und Kontrollen im 4-Augen-Prinzip sorgen für eine Sicherheit, die in lückenloser Protokollierung und Auditierbarkeit nach aktuellen Compliance-Vorschriften nachvollziehbar ist.
Im Rollenmanagement wird dabei der erforderliche Zugriff nur den Personen zugewiesen, die ihn auch benötigen – wichtige Grundlage für Sicherheitsmaxime wie das Least-Privilege-Prinzip (PoLP). Zudem werden Daten vereinheitlicht, die Qualität dadurch gesteigert und sind schnittstellenübergreifend verfügbar. Durch die Automatisierung werden IT und HelpDesk entlastet, Lizenzgebühren gespart und Verantwortliche sind bald wieder für weitere Aufgaben der Digitalisierung einsatzfähig.
In welchen Schritten die Automatisierung die Informationssicherheit im Krankenhaus steigert und auch die Strukturen der Krankenhaus IT schützt, wird in individuellen Expertengesprächen erklärt. Dabei beachten Verantwortliche und Anbieter die grundlegenden Bestimmungen des Ausschreibungsverfahrens.