Klinikum Fürstenfeldbruck
Cyber-Attacke nur Zufall?
Ein Krankenhaus, in dem kein Computer funktioniert. Diese Erfahrung musste das Krankenhaus in Fürstenfeldbruck machen. Welche Folgen der Cyber-Angriff haben wird, ist noch nicht absehbar – auch für Praxen.
Veröffentlicht:
Der Eingang der Notaufnahme des Klinikums Fürstenfeldbruck.
© picture alliance / SZ Photo (Achrivbild)
FÜRSTENFELDBRUCK. Die Leitung im Klinikum Fürstenfeldbruck lässt Fragen nach verantwortungsbewusstem Umgang mit Patientendaten derzeit unbeantwortet.
Die Folge: „Nicht ein einziger Computer funktionierte“, schrieb der „Münchner Merkur“.
Es soll jedoch keine Lösegeldforderung geben, um die Maschinen und Daten wieder flott zu machen. Der Vorfall wurde dem Bayerischen Datenschutzbeauftragten Thomas Petri fristgerecht gemeldet.
Er habe den Eindruck, dass die Klinik nicht das eigentliche Ziel des Schädlings war, sondern nur zufällig damit verseucht wurde, sagte Petri der „Ärzte Zeitung“.
Wurde die Klinik also zufällig tagelang mal eben vollständig blockiert? Von der Klinik selbst war bislang auf Anfrage keine Antwort zu bekommen.
Kliniken sind rechenschaftspflichtig
Dem „Münchner Merkur“ sagte Klinikvorstand Alfons Groitl: „Wir haben eigentlich gedacht, dass wir in der Computer-Sicherheit gut aufgestellt sind.“
Tatsache ist, dass die Klinik nach der EU-Datenschutzgrundverordnung (DSGVO) „rechenschaftspflichtig“ ist und deshalb die „Integrität und Vertraulichkeit“ der Datenverarbeitung nachweisen können muss. Mit diesem Sicherheitsniveau sollte die Klinik nicht nur „verirrten“ Schädlingen, sondern sogar gezielten Angriffen widerstehen können.
In einem „Leitfaden“ betonen die Bayerischen Datenschutz-Aufsichtsbehörden die Bedeutung der „Risikoabschätzungen“: Demnach sind die Risiken systematisch zu erfassen und zu bewerten.
Daraus ergibt sich das „angemessene Schutzniveau“. Die DSGVO verlangt nach geeigneten technischen und organisatorische Maßnahmen (TOM), um dieses Schutzniveau zu gewährleisten. Die Maßnahmen sollen dabei dem „Stand der Technik“ entsprechen.
Das Bundesjustizministerium definiert den Begriff so: „Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt.“
Es kommen ständig neue Risiken dazu
Diese fortschrittlichen Verfahren ändern sich – genauso wie die Risiken! – ständig, und der Verantwortliche muss ein System nachweisen, mit dessen Hilfe er die Sicherheit seiner Datenverarbeitung ständig auf diesem Niveau hält.
Da zu den vorhandenen Risiken ständig neue hinzukommen, ist ein Werkzeug notwendig, das diese Änderungen wie ein Fieberthermometer „in Echtzeit“ protokolliert: In dem Augenblick, in dem etwa Anmeldedaten der Klinikmitarbeiter im Darknet gehandelt werden, müsste das mit Hilfe Künstlicher Intelligenz erkannt und die Betroffenen veranlasst werden, diese Anmeldedaten augenblicklich zu ändern.
Da sowohl Kriminelle als auch „Verteidiger“ über solche Fähigkeiten verfügen, entspricht das vermutlich dem Stand der Technik.
Nicht jedes Betriebssystem oder jede Anwendung erfüllt diese Definition, nur weil die Technik funktioniert und man damit Arztbriefe verfassen kann! Sinnvoll ist es daher, vom Softwareanbieter eine Bescheinigung darüber zu erhalten, dass die genutzte Software in der verwendeten Version DSGVO-konform ist.
Virtuelle Flicken zum Stopfen der Lücken
Dazu gehört auch einiges an Eigeninitiative in den IT-Abteilungen der Krankenhäuser – und letztlich auch in den Praxen:
»Stopfen Sie Lücken, sobald Ihnen virtuelle Flicken dazu angeboten werden!
»Dokumentieren Sie systematisch und lückenlos, welche Daten wo, wie und zu welchem Zweck Daten erfasst werden sowie welche Rechtsgrundlagen dazu existieren, und definieren Sie, wann diese Daten wieder zu löschen sind!
»Schützen Sie Laufwerke und Verzeichnisse auf Arbeitsplatz- und Zentralrechnern mit kryptografischer Verschlüsselung!
»Informieren Sie sich über den Verschlüsselungsalgorithmus und die erforderlichen Schlüssellängen!
»Erstellen Sie regelmäßig Sicherungskopien!
»Lassen Sie sich „Stand der Technik“ bescheinigen!
»Beauftragen Sie einen spezialisierten Dienstleister mit der Durchführung entsprechender Penetrationstests, um die Wirksamkeit Ihrer TOM nachweisen zu können!
»Lassen Sie sich Kenntnisse und Fertigkeiten Ihrer Dienstleister bescheinigen!
»Schulen Sie die Verantwortlichen in der Verwaltung (Personal-, Einkauf, Küche, Informationstechnik), Medizin (Chef-/Oberärzte), Pflegedienstleitung und alle, die im Auftrag dieser Verantwortlichen Software entwickeln, einrichten oder nutzen, um vernetzte Geräte zu steuern oder personenbezogene Daten (von Patienten, Mitarbeitern, Dienstleistern) damit zu verarbeiten – rollenspezifisch!
Wer seiner Rechenschaftspflicht nicht genügt, muss mit empfindlichen Strafen rechnen: 400.000 Euro können allein für massive Mängel im „Berechtigungsmanagement“ fällig werden, wenn es nach dem Willen der Aufsicht geht. Und zwar ganz ohne Beteiligung krimineller Dritter.
Pflichten nicht nur für Klinik-Riesen
Ein Irrtum, der teuer werden kann, besteht in der Annahme, die Verpflichtung zur Implementierung eines Berechtigungsmanagements oder gar die Beachtung der Rechenschaftspflicht insgesamt gelte nur für Kliniken mit 30.000 und mehr Patienten im Jahr.
Ebenfalls am 8. November kündigte das Bayerische Landesamt für Datenschutzaufsicht „Datenschutzprüfungen bei bayerischen Unternehmen und Ärzten nach der DSGVO“ an: Da der Behörde „wöchentlich“ ein Befall mit Schadsoftware in Arztpraxen gemeldet würde, habe sie sich entschieden, „Ärzte zum Umgang und Prävention“ mit solchen Attacken zu kontrollieren.
Und auch die Klinik in Fürstenfeldbruck ist noch nicht aus dem Schneider: Der Landesdatenschutzbeauftragte Thomas Petri will „sich das nochmal ansehen“, sobald die strafrechtlichen Ermittlungen abgeschlossen sind.
