FREEDOM OF HEALTH
20.01.2024 | Nabil Khayat
Wenn der Patient die Kontrolle über seine Daten hat, kann er sie auch für ein kollektives Interesse nutzen, das seiner Gesundheit zugute kommt.
Jede Sekunde zählte …
IT-Sicherheit: Die Verletzung war gravierend, es ging um jede Sekunde. Eine 78-Jährige muss im September 2020 mit einer gerissenen Haupt-Schlagader von einem Rettungs-Team notversorgt werden. Normalweise wäre der RTW sofort ins nahegelegende Universitätsklinikum Düsseldorf gefahren. Doch das war unmöglich. Eine Cyberattacke hatte das Klinikum lahmgelegt. Die Frau musste in eine Wuppertaler Klinik gebracht werden.
Der Cyberangriff auf das Klinikum galt vermutlich der gesamten Düsseldorfer Heinrich-Heine-Universität. Im Klinikum verschlüsselten die Hacker 30 Server und verhinderten u. a. die Analyse von Röntgendaten im IT-Netz. Die Zahl der Operationen sank vorübergehend um 70 bis 120 pro Tag auf 10 bis 15. Erfolgreich war der Angriff wegen einer Sicherheitslücke „in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware“. Das schrieb das Klinikum am 17. September.
Mehr als ein Drittel der Kliniken haben ein Problem
36 Prozent der Krankenhäuser haben Defizite in der IT-Sicherheit. Betroffen sind keineswegs nur kleine Kliniken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft nicht wenige von ihnen als hochsensible „kritische Infrastruktur“ ein. Das ergab 2020 eine Analyse der Münchner Universität der Bundeswehr mit Partnern. Das erhöhte Risiko einer blockierten IT besteht schon allein deswegen, weil sich derartige Angriife häufen. Weltweit lag der Anstieg von Cyberattacken von November 2020 bis Anfang 2021 bei 45 Prozent. In Deutschland erreichte er sogar 220 Prozent.
Wie sieht eine geeignete Abwehrstrategie dagegen aus? Der Gesetzgeber in Deutschland hat bereits gehandelt. „Er unternimmt viel, um die IT-Systeme der Kliniken zu schützen“, sagt Mike Burns, IT-Experte von mediorbis und verweist dabei auf die ab 2022 verschärften Regeln.
Verschärfte Regeln für IT-Sicherheit von Kliniken ab 2022
Ab dem 1. Januar 2022 gelten neue Regeln für die IT-Sicherheit in allen deutschen Kliniken (SGB V, §75c). Sie betreffen alle IT-Systeme, die für die Funktionsfähigkeit eines Krankenhauses und die Sicherheit von Patienteninformationen maßgeblich sind. Die Regeln fordern unter anderem angemessene organisatorische und technische Vorkehrungen, um Störungen zu vermeiden. Die branchenspezifischen Sicherheitsstandards der Deutschen Krankenhausgesellschaft verraten, wie Kliniken das konkret umsetzen sollen. Sie empfehlen sieben Schritte, um ein Managementsystem für Informationssicherheit zu etablieren. Der sechste Schritt betrifft die Schulung von Führungskräften und Mitarbeitern.
Hauptproblem: Faktor Mensch
Im Faktor Mensch sieht Mike Burns eines der größten Probleme im Kampf für eine erhöhte IT-Sicherheit in Kliniken. „Die Gesetze in Deutschland sind top“, sagt er, „aber an der Umsetzung hapert es oft.“ Wichtig sind Sicherheitssysteme auf dem neuesten Stand und exzellent geschulte Mitarbeiter. Damit die Versorgung Kranker und Schwerstkranker nie an IT-Problemen scheitern muss. Damit IT-Probleme niemals Leben kosten. Aber Burns sieht bei der Kommunikation mit Kliniken auch Patienten in der Pflicht. Sie sollten mit Kliniken niemals über ein öffentliches Netzwerk kommunizieren und ihre privaten WiFi-Systeme unbedingt mit einem sicheren Passwort schützen.
Für die Akut-Patientin, die nach Wuppertal statt ins viel nähere Düsseldorf gebracht werden musste, kommen diese Änderungen zu spät. Etwa 30 Minuten länger dauerte die Fahrt in die Ausweich-Klinik. Zu viel Zeit für einen Menschen mit gerissener Haupt-Schlagader. Sie starb kurz nach der Einlieferung.
Die anonymen Hacker gaben die blockierten Uni-Server kurz nach dem Tod der Frau wieder frei.
Bild 1: ©iStock / D-Keine , Bild 2: ©iStock / cnythzl
