IT-Sicherheit
Wo das BSI derzeit Sicherheitslücken im Gesundheitssektor sieht
„Corona verschärft Cyber-Gefährdungslage“, ließ am Dienstag das BSI verlauten. Hinsichtlich neuer Anwendungen über die Telematikinfrastruktur demonstriert das Amt Gelassenheit.
Veröffentlicht:
Dunkle Gestalten unterwegs – früher bevorzugt in nächtlichen Gassen, heute im World Wide Web.
© Herbert P. Oczeret / picturedesk
Berlin. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sorgt sich zunehmend über IT-Risiken im Homeoffice. Anlässlich der Vorstellung seines „Berichts zur Lage der IT-Sicherheit in Deutschland 2020“ erklärte Behördenchef Arne Schönbohm am Dienstag in Berlin, infolge der Pandemie seien anfangs viele Maßnahmen, um von Zuhause aus arbeiten und lernen zu können, spontan umgesetzt worden. Zugunsten ad-hoc funktionierender Homeoffices hätten IT- und Datensicherheit in diesem Moment „oft eine untergeordnete Rolle“ gespielt.
Schönbohm: „In der akuten Situation habe ich durchaus Verständnis dafür. Jetzt aber, nachdem sich vieles eingespielt hat, gilt es, dieses ‚neue Normal‘ nachhaltig und sicher zu gestalten. Tun wir dies nicht, werden wir die Folgen in einigen Wochen oder Monaten spüren.“
Immernoch Emotet
Mit ausufernden Empfehlungen zur Datensicherung am heimischen Schreibtisch hält sich das Amt aber zurück. Und weist lediglich darauf hin, dass VPN-Verbindungen beim Zugriff auf berufliche Dokumente oder dem Dateiversand öffentlichen Cloud-Diensten vorzuziehen seien. Sofern auf Cloud-Dienste nicht verzichtet werden könne, sei „zu erwägen, ob eine Datenhaltung innerhalb einer privaten Cloud eingerichtet werden kann“.
Die Bilanz für den jetzt vorgestellten Berichtszeitraum Juni 2019 bis zum Ende Mai 2020 lässt an der Existenzberechtigung der Bonner Behörde keinen Zweifel: Cyber-Angriffe werden demnach immer ausgefeilter. Die Anzahl bekannter Schadprogramme „übersteigt inzwischen die Milliardengrenze“, heißt es. Allein in der Berichtszeit seien über 117 Millionen neue Varianten hinzugekommen. Dominiert werde das digitale Angriffsgeschehen weiterhin von dem Virenprogramm „Emotet“, das vom BSI als „gefährlichste Schadsoftware der Welt“ bezeichnet wird.
Als im Gesundheitswesen zuletzt besonders eklatanten Fall – allerdings nicht eines Hackerangriffs, sondern unbeabsichtigter Offenlegung sensibler Daten – hebt das BSI in seinem Bericht den Fall der frei einsehbaren radiologischen Bildbefunde hervor, der im Herbst vorigen Jahres bekannt wurde. Allein in Deutschland waren demnach „von Juli bis September 15.000 Patientendatensätze mit mehreren Millionen medizinischen Bildern öffentlich ohne Passwortschutz zugänglich“.
Schwachstelle Medizintechnik
Zu den Herausforderungen in Sachen Datensicherheit medizinischer Anwendungen zählt das BSI aktuell etwa vernetzte Medizinprodukte, die als potenzielle Einfallstore für Cyberkriminelle angesehen werden müssten. Anfang 2019 hatte das Amt die Gerätestudie „ManiMed“ gestartet, die noch bis Ende dieses Jahres laufen soll. Dabei werden unter anderem Beatmungsgeräte, Infusions- und Insulinpumpen oder Schrittmacherimplantate auf ihre digitalen Schwachstellen hin geprüft. Erste Ergebnisse zeigten, „dass Schwachstellen bestehen, die durchaus häufiger auftreten und dass bereits zum Projektende konkrete Aussagen zur Cyber-Sicherheitslage von Medizinprodukten getroffen werden können.“
Einen eigenen Abschnitt widmet das BSI in seinem jüngsten Report auch der elektronischen Gesundheitskarte und deren bevorstehender Erweiterung um Notfalldatensatz, E-Medikationsplan und Patientenakte. Bemerkenswert: Von etwaigen Sicherheitsrisiken ist dabei an keiner Stelle die Rede, im Gegenteil. Ausdrücklich verweist das Bundesamt auf „Technische Richtlinien“, die es zu dem Zweck verfasst habe, die TI-Konnektoren „sicher um die neuen Funktionen zu erweitern“.
Auch in dem Vorhaben, dass Patienten über eigene Geräte auf ihre ePA zugreifen können, sieht das BSI kein Sicherheitsrisiko; dieser Zugriff soll über eine von der gematik zuzulassenden Software erfolgen.
