Die zunehmende Vernetzung in der Medizinbranche öffnet Einfallstore für Cyberangriffe, die verheerende Folgen haben können.
Krankenhäuser, Arztpraxen, Rettungsdienste, Labore, Arzneimittelbehörden, Pharmaunternehmen, Universitäten oder Hersteller von Medizinprodukten – ein Cyberangriff kann jede Organisation treffen, wie Vorfälle der jüngsten Vergangenheit zeigen. Dabei sind die Motive der Kriminellen so verschieden wie ihre Methoden. Lösegelderpressung, Identitätsdiebstahl, Aktivisten, die ihrem Anliegen Gehör verschaffen wollen, aber auch Cyberspionage und gezielte – häufig staatlich geförderte – Angriffe auf kritische Infrastrukturen (KRITIS), um die Bevölkerung zu verunsichern, spielen eine Rolle.
Ein Hackerangriff kann für Patienten nicht nur gesundheitliche Folgen haben, sondern auch den Verlust sensibler Daten bedeuten. Das ist nicht unerheblich, denn die gesundheitsbezogenen Daten sind sehr persönlich und ein Missbrauch könnte sogar einen Identitätsdiebstahl ermöglichen. Zudem geht es für die betroffenen Unternehmen bei einem Cyberangriff um einen oft erheblichen Reputationsschaden und um viel Geld. Fallen die IT oder die Produktion für längere Zeit aus oder lassen sich betriebsnotwendige Daten und Systeme nicht schnell wieder herstellen, kann das existenzbedrohend sein. Wer das geforderte Lösegeld zahlt, in der Hoffnung, schnell wieder Zugriff auf seine Daten zu haben, macht sich zudem möglicherweise strafbar.
Schutzschilde hochfahren: Wie sich Medizintechnikunternehmen auf Cyberangriffe vorbereiten können
Auch wenn die Methoden der Cyberkriminellen immer perfider werden, ist Kapitulation keine Lösung. Gerade Anbieter von Medizinprodukten stehen hier in der Verantwortung, die im Übrigen auch der Gesetzgeber fordert. Cyberrisiken und Schwachstellen, die die Office-IT, Produktion oder die hergestellten Produkte betreffen können, müssen kontinuierlich analysiert und behoben werden. Das ist ungemütlich, aber im Vergleich zu einem Hackerangriff, der die Produktion oder ganze Einrichtungen lahmlegt, das deutlich kleinere Übel. Um mit den Methoden der Angreifer Schritt zu halten, greift jedoch ein alleiniger Blick auf die Technik zu kurz. Neben den Produkten müssen die Prozesse und die regulatorischen Anforderungen ebenfalls bedacht werden. Zur Vorbereitung gehört es daher auch – neben einem Krisenplan, der regelmäßig in Simulationen geübt werden sollte –, ein schlagkräftiges Cybersecurity-Team mit den erforderlichen Qualifikationen und Kompetenzen aufzubauen.
Auch wenn die Methoden der Cyberkriminellen immer perfider werden, ist Kapitulation keine Lösung.
Außerdem sollten Unternehmen beachten, dass Medizingeräte bereits in der Produktion manipuliert werden können. OT-Umgebungen (Operational Technology) im medizinischen Bereich bestehen häufig aus einer Vielzahl von Spezialgeräten, die mit dem Netzwerk verbunden sind. Diese sind meist nur schwach gegen Angriffe gewappnet. Hier gilt es, die Cybersecurity ebenfalls zu stärken. Der „Zero Trust“-Ansatz kann dabei eine Rolle spielen. Hierbei wird der Zugriff für die Anwender auf das absolut notwendige Maß reduziert und grundsätzlich jeder Datenzugriff verifiziert.
Verteidigung im Ernstfall: Was tun, wenn das Unternehmen gehackt wurde?
Eine hundertprozentige Sicherheit gibt es nicht. Mit ausreichend krimineller Energie und hohem Aufwand können Angreifer auch in vermeintlich perfekt gesicherte Systeme eindringen. Es ist wichtig, sich der Gefahren eines Cyberangriffs bewusst zu sein und mit Bedacht zu handeln, um nicht zur leichten Beute für Hacker zu werden. Sollte es dann dennoch zu einem Vorfall kommen, kann dieser mit einer effizienten und strukturierten Verteidigung eingedämmt werden. Mit Verfahren und Werkzeugen wie Incident Response (IR) oder Security Information and Event Management (SIEM) sollten Eindringlinge möglichst in Echtzeit erkannt, kontrolliert, analysiert und schnell wieder ausgesperrt werden.
Cybersicherheit wird oft als Nischenthema betrachtet, um das sich die Fachleute aus der IT-Abteilung kümmern sollen. Fakt ist jedoch, dass Phishing-Mails, deren Anhänge Beschäftigte unbedarft öffnen, nach wie vor eines der größten Einfallstore für Cyberangriffe sind. Im hektischen Alltag werden Computer beim Verlassen des Arbeitsplatzes nicht gesperrt, für Software-Updates ist kaum Zeit, Passwörter werden auf die Rückseiten von Tastaturen geschrieben und Tablets mit sensiblen Patientendaten sind in Krankenhäusern auf Rollwägen offen zugänglich. Da jede und jeder einzelne Mitarbeitende, sei es in medizinischen Einrichtungen oder bei Herstellern von Medizinprodukten, mit dafür verantwortlich ist, die Sicherheit der Systeme zu gewährleisten, müssen alle Beschäftigten geschult und Notfallprozesse geübt werden. Dies gilt auch für reaktive Aufgaben wie zum Beispiel Meldungen an zuständige Behörden, die Bewertung der Risiken (möglicherweise auch für Patienten) und das zeitnahe Informieren von Mitarbeitenden und Anwendern. Eine funktions- und gar abteilungsübergreifende Zusammenarbeit ist essenziell und sollte ebenfalls Teil der regelmäßigen Schulung – beispielsweise in Form einer Cyberkrisensimulation – sein.
Investitionen in Cybersicherheit schützen Patienten und Unternehmen
Angesichts knapper Budgets, Fachkräftemangels und Zeitdrucks wird Cybersicherheit häufig als reiner Kostenfaktor betrachtet, der keinen entscheidenden Beitrag zur Patientenversorgung leistet. Doch Sicherheit im Bereich IT, OT und der Produkte gleicht eher einer Versicherung: Man hofft, dass man sie nie braucht, schläft aber ruhiger, wenn man sie hat. Letztlich schützen Investitionen in die Informationssicherheit die medizinische Versorgung und damit die Gesundheit und das Leben vieler Menschen.
Perspektiven
Fazit
In der Medizintechnik haben Digitalisierung und Vernetzung große Fortschritte gebracht. Sie öffnen jedoch auch Einfallstore für Cyberangriffe, die Folgen für die Gesundheit von Patienten haben können. Den betroffenen Unternehmen drohen neben dem Verlust sensibler Daten oder einem Stopp der Produktion auch ein Reputationsschaden und hohe Kosten. Investitionen in Cybersicherheit helfen, Hackerangriffe zu verhindern oder deren Folgen für Patienten, Betreiber und Anwender medizinischer Geräte und das gesamte Gesundheitswesen zu minimieren.
