Lesezeit: .
Die jüngste Cyberattacke auf das Uniklinikum Düsseldorf zeigt auf bedrückende Weise, welche zentrale Bedeutung IT-Sicherheit im KRITIS-Bereich Healthcare zukommt. Digitale Prozesse in Kliniken, Arztpraxen und bei angebundenen Dienstleistern im Gesundheitswesen müssen kompromisslos abgesichert sein – sonst drohen desaströse Konsequenzen.


Am 10. September 2020 kam es am Universitätsklinikum Düsseldorf (UKD) zu einem schwerwiegenden IT-Sicherheitsvorfall in Folge eines Ransomware-Angriffs. Wie aus einem Bericht des nordrhein-westfälischen Justizministers Peter Biesenbach (CDU) hervorgeht, verschlüsselten Angreifer über Nacht unbemerkt 30 Server des Klinikums. Für die darauf gespeicherten Daten verlangten die Cyberkriminellen ein Lösegeld. Erst nach der Transaktion der geforderten Summe sollte der Entschlüsselungscode zur Rettung der Daten übermittelt werden.
Kritischer IT-Ausfall durch Ransomware


Healthcare ist KRITIS


Schwierigkeiten bei der konkreten Umsetzung der Regulatorik
Die regulatorischen Vorgaben für Kliniken sind klar definiert. Offenbar hapert es aber in Teilbereichen an der Umsetzung. So beurteilte beispielsweise das BSI in einer jüngst erschienen Studie das Schutzniveau von KRITIS-relevanten Krankenhäusern und Laboren prinzipiell als gut. An der Umsetzung von technischen Schutzmaßnahmen durch die Betreiber gab es in der Regel wenig zu beanstanden, allerdings offenbarte die Untersuchung insbesondere in Krankenhäusern einige Defizite bei den organisatorischen IT-Sicherheitsmaßnahmen. Konkret bemängelt wurde in diesem Zusammenhang etwa unzureichendes Mitarbeiter-Training im Hinblick auf IT-Risikomanagement und IT-Sicherheitsmanagement, wie folgender Absatz der Ausarbeitung zeigt: „Darüberhinausgehende Einübung von Bewältigungsmaßnahmen im Rahmen eines Notfallmanagements (bspw. für manuelle Ersatzverfahren, die bei einem stunden- oder tageweisen Serverausfalls angewendet werden müssten) finden kaum statt.“
Vorhandene Schutztechnologien nutzen und Engpässe schließen


Trotz aller technischer Schutzmaßnahmen lassen sich Sicherheitslücken in den eingesetzten Tools nie zur Gänze ausschließen, wie auch der aktuelle Fall in Düsseldorf beweist. Gleichfalls unterlaufen selbst gut geschultem Personal Fehler im alltäglichen Umgang mit Informationstechnik. Umso wichtiger ist daher eine ganzheitliche Sicht auf das Thema Cybersecurity, die zusätzlich zur präventiven Abwehr auch Maßnahmen für die Aufrechterhaltung zentraler Prozesse und den möglichst schnellen Wiederanlauf der betroffenen Systeme umfasst. Grundlage bildet hier der Aufbau und die beständige Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS). Darin verwalten und konzipieren Krankenhäuser sicherheitsrelevante Richtlinien und Methoden, die neben technischen Schutzmaßnahmen auch organisatorische Elemente wie IT-Risikomanagement und IT-Notfallmanagement umfassen.

