Staat verordnet Gesundheitswesen eine IT-Sicherheitskur

Cyberkriminalität wird weltweit zu einer zunehmend ernsthafteren Bedrohung. Wird in nicht allzu ferner Zukunft das Know-how eines Hackers darüber entscheiden können, ob zum Beispiel einem insulinpflichtigen Diabetiker eine tödliche Insulindosis verabreicht wird

Denkbar wäre dies, wenn die Gesundheits-App des Diabetikers, die die Insulinpumpe steuert, gehackt und entsprechend manipuliert werden könnte.

Dass dies durchaus kein Hirngespinst cyberparanoider Verschwörungstheoretiker bleiben muss, zeigt der Vorfall eines großen US-amerikanischen Medizintechnikanbieters, der im vergangenen Monat seine Kunden in den USA und Kanada gewarnt hat, dass eine seiner Insulinpumpen gehackt werden könnte.

Es sei eine Sicherheitslücke entdeckt worden, der Chip in der Pumpe könne demnach – auch wenn dies als unwahrscheinlich einzuschätzen sei – von Dritten manipuliert werden, teilte das Unternehmen mit.

Kritische IT-Strukturen im Fokus

Dass Deutschland ein Ziel Cyberkrimineller ist, zeigt aktuell, dass am 27. und 28. November mehr als 900.000 Kundenanschlüsse der Deutschen Telekom von Internet- und Telefonieausfällen betroffen gewesen sind.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ordnet diesen Ausfall explizit einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser sei erfolgt, um die angegriffenen Geräte mit Schadsoftware zu infizieren.

Diese Angriffe seien auch in dem vom BSI geschützten Regierungsnetz registriert worden, in dem sie aber aufgrund funktionierender Schutzmaßnahmen folgenlos geblieben seien.

Die Informations- und Kommunikationstechnologie gehört genauso wie Gesundheitsdienstleistungen zu den "Kritischen Infrastrukturen" (KRITIS).

Diese "versorgen Bevölkerung und Wirtschaft mit wesentlichen Dienstleistungen, ohne die unser modernes Leben nicht denkbar wäre", wie es in dem am 9. November vorgestellten "Bericht zur Lage der IT-Sicherheit in Deutschland 2016" des BSI heißt.

IT-Sicherheitsgesetz sieht Absicherung der Infrastruktur vor

Damit die IT-Sicherheit in Deutschland nicht zum Pappkameraden mutiert, der von Cyberkriminellen nach Lust und Laune abgeschossen werden kann, setzt die Bundesrepublik auf das am 25. Juli vergangenen Jahres in Kraft getretene IT-Sicherheitsgesetz.

"Im Vordergrund steht dabei die Absicherung der IT in sieben der neun Sektoren der Kritischen Infrastrukturen", wie es im Lagebericht heißt.

Als Verhikel dient dabei die vom Bundesinnenministerium erlassene BSI-Kritisverordnung (BSI-KritisV), die anhand bestimmter Kriterien regelt, welche Betreiber die Vorgaben des IT-Sicherheitsgesetzes zu erfüllen haben.

Der erste Teil der Verordnung ist laut BSI am 3. Mai dieses Jahres in Kraft getreten und bestimmt zunächst Kritische Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung.

Bis Frühjahr 2017 sollen auch die Kritischen Infrastrukturen in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen für die Betreiber identifizierbar werden.

Kliniken müssen unterschiedlich abgesichert werden

Wie BSI-Pressereferent Stephan Kohzer am Dienstag auf Nachfrage der "Ärzte Zeitung" verdeutlichte, werden zum Beispiel nicht an alle Krankenhäuser in Deutschland die gleichen Maßstäbe in puncto IT-Sicherheit angelegt werden. "Es geht um die Versorgungsrelevanz einer konkreten Gesundheitsdienstleistung", so Kohzer.

So griffen bei Maximalversorgern wie der Charité höhere IT-Standards als bei einem Kreiskrankenhaus. Dass aber auch kleinere Häuser ins Visier von Cyberkriminellen gelangen können, offenbarten im Februar das Lukaskrankenhaus in Neuss und das Klinikum Arnsberg, die binnen weniger Tage Opfer von Hackerangriffen wurden und ihre EDV-Systeme nach Virenbefall herunterfuhren.

In beiden Fällen hatten offenbar Mitarbeiter verseuchte Anhänge geöffnet. Offensichtlich sind weitere Häuser betroffen, die aber nicht an die Öffentlichkeit gegangen sind.

Im Kern geht es bei der BSI-KritisV für Kliniken um Modalitäten wie die Einrichtung einer Meldestelle, die dem BSI Cyberangriffe anzeigt, oder auch um Audit-Vorgaben. Richtig greifen kann die BSI-KritisV im Gesundheitswesen indes erst in knapp drei Jahren.

Denn die Kliniken haben laut Kohzer nach Inkrafttreten der Verordnung im Gesundheitssektor noch sechs Monate Zeit, Meldestellen einzurichten. Danach werde ihnen eine zweijährige Übergangsfrist zum Aufbau der sicheren IT-Infrastruktur eingeräumt.

MedTech-Cybersicherheit: Hacker treiben Anbieter

In puncto Cybersicherheit von Insulinpumpen und anderen vernetzten Medizintechniklösungen werden zuvörderst die Hersteller dafür Sorge tragen, dass die Anwender effektiv vor unerwünschten Zugriffen Dritter geschützt werden. Das werden sie allein schon aus Imagegründen tun – und, um am Markt zu überleben.

Die Hürden, dass Anbieter bestimmter Medizinprodukte unter die Regelung der BSI-KritisV fallen könnten, sind indes extrem hoch – auch wenn das BSI das Versorgungsgeschehen beobachtet.

Wie Kohzer erklärte, könne seine Institution nur dann auf den Plan gerufen werden, wenn zum Beispiel bei einer Indikation nur ein bestimmter Anbieter eine Versorgungslösung anböte, die wiederum von einer hohen Versorgungsrelevanz wäre.

Danach sieht es aber auch in der ferneren Zukunft in Deutschland nicht aus. Hier werden Hacker die Branche treiben.