IT-Sicherheit im Krankenhaus

Die Steiermärkische Krankenanstaltengesellschaft m.b.H (KAGes) zählt zu den größten Spitalsunternehmen Europas. An den 20 Standorten der sieben Landeskrankenhäuser und in den drei Landespflegezentren gewährleisten rund 18.500 Mitarbeiterinnen und Mitarbeiter die Gesundheitsversorgung und Langzeitpflege in der Steiermark. DI Dr. Markus Pedevilla, MSc ist Leiter der Fachabteilung Medizininformatik in der KAGes und Obmann des IT-Forums der Österreichischen Spitalsträger. Er gibt Einblick in die Herausforderungen der IT-Sicherheit im Krankenhaus.

Was sind die größten Herausforderungen, die Sie derzeit in Bezug auf die IT-Sicherheit im Krankenhaus sehen?
Das Umsetzen der hohen Anzahl an erforderlichen Maßnahmen und die dafür notwendigen Ressourcen zur Verfügung zu haben. Das bezieht sich sowohl auf die Anzahl der notwendigen Mitarbeiterinnen und Mitarbeiter als auch auf die erforderlichen Skills und Expertisen. Obwohl der Standardisierungsgrad in der Regel hoch ist, gibt es im medizinischen Umfeld eine Vielzahl an IT-Applikationen.
Eine weitere Herausforderung ist die IT-technische Integration von Medizintechnik (MT)- und Haustechnik (HT)-Systemen, die im Fall der Medizintechnik aufgrund der Anforderungen des Medizinproduktegesetzes oftmals keine raschen Updates von Software-Systemkomponenten zulassen, selbst wenn sicherheitsrelevante Schwachstellen aufgedeckt wurden. Zum Teil werden in MT- oder HT-Systemen noch sehr stark veraltete Softwarekomponenten verwendet und von den Lieferanten nicht ausgetauscht, aber auf diese Systeme kann auch nicht rasch verzichtet werden. Eine sehr große Herausforderung ist auch das Dilemma zwischen Remote-Servicemöglichkeiten und einer möglichst vollständigen Abschottung der IT-Systeme eines Krankenhauses.

Haben Mitarbeitende ausreichend Bewusstsein für IT-Sicherheitsrisiken?
In allen Gesundheitsunternehmen herrscht ein sehr hohes Bewusstsein für Datensicherheit und für Datenschutz. Mitarbeitende in Medizin und Pflege müssen zahlreiche Aufgaben und Dokumentationsverpflichtungen erfüllen. Dabei kommt naturgemäß eine große Anzahl von Applikationen zum Einsatz und es ist oft nicht klar ersichtlich, wann die Grenzen des eigenen Unternehmens verlassen werden. Aktuell sind das zum Beispiel Large Language Model Chatbots, die als Unterstützung zurate gezogen werden. Hier ist die Gefahr groß, versehentlich personenbezogene Patientendaten nach außen zu geben. Laufende Awareness- und Schulungsmaßnahmen sind daher unumgänglich.

Wie bereiten Sie die Organisation auf die Anforderungen der NIS-2-Richtlinie vor?
Die meisten Organisationen haben ein sehr gutes Ergebnis bei der NIS-1-Auditierung erzielt und sind auch seit vielen Jahren ISO- 27001-zertifiziert, inklusive der regelmäßigen Überwachungs- und Rezertifizierungsaudits. Die Herausforderungen sind mannigfaltig und deren Bewältigung sehr ressourcenintensiv, wobei die dafür erforderlichen Mittel nicht im notwendigen Ausmaß zur Verfügung stehen. Speziell bei der Umsetzung der NIS-2-Verordnung wird ein großes Augenmerk auf die Lieferkette zu legen sein, was nur mit aufwendigen Lieferantenbewertungen erfüllbar sein dürfte und zusätzliche Ressourcen binden wird.

Wie erfüllen Sie die NIS-2-Anforderungen?
Die konkreten Anforderungen der NIS-2-Verordnung sind noch nicht bekannt. Insbesondere sind auch noch keine Durchführungsbestimmungen seitens der Cybersecurity-Behörde, sogenannte „Fact-Sheets“, bekannt. Die Einhaltung von IT-Sicherheitsstandards wird zum Beispiel in der KAGes durch interne Audits laufend überprüft und ist Fixbestandteil des Jahres-programms der Internen Revision.

Wie gehen Sie mit dem Thema Risikomanagement und Cyberbedrohungen um?
Cyberbedrohungen wurden in vielen Organisationen als fixe Komponente ins Risikomanagement aufgenommen. Ein Austausch und eine Evaluierung des aktuellen Bedrohungslagebilds in Österreich mit allen diesbezüglich relevanten nationalen Institutionen und eine Zusammenarbeit mit allen Krankenanstaltenträgern in Österreich erfolgen laufend. Als Basis für das IT-Risikomanagement dient in der KAGes das vollständige BSI-Grundschutz-Kompendium in der jeweils aktuellen Fassung.

Inwieweit ist das Krankenhaus auf einen möglichen Cyberangriff vorbereitet?
Es gibt IT-Notfallpläne in jeder Abteilung, die den Ausfall oder Teilausfall von relevanten IT-Systemen abdecken. Dabei ist die Ursache der Störung nur bedingt relevant. Darüber hinaus wurden Vorkehrungen getroffen, um bei einem Ausfall der IT-Systeme auf Intensiv- oder auch Normalstationen die bis zum Ausfall des Systems erfassten medizinischen Informationen der Patientinnen und Patienten auf einem sicheren, aber sehr einfachen Weg zur Verfügung zu haben. So kann die Kontinuität der Patientenversorgung gewährleistet werden. Notfallpläne in den Abteilungen werden regelmäßig, mindestens aber einmal jährlich, geübt und getestet. Die Durchführung dieser Tests wird von der Internen Revision überprüft.

Wie werden die medizinischen Geräte und Systeme, die oft mit dem Netzwerk verbunden sind, auf Sicherheitsrisiken überprüft und geschützt?
Das ist eine der größten Herausforderungen im Krankenhaus! Prinzipiell gelten dieselben IT-technischen Sicherheitsanforderungen, wir orten jedoch einen sehr großen Handlungsbedarf bei sehr vielen Herstellern. Mit Maßnahmen wie zum Beispiel einer sehr feinen Netzwerksegmentierung und sehr rigiden Firewall-Regeln wird versucht, das Risiko zu minimieren und einen etwaigen Schadensfall möglichst lokal einzudämmen.

Welche Herausforderungen sehen Sie in Bezug auf den Datenschutz?
Datenschutz ist im Krankenhaus ein Thema mit höchster Priorität und geht immer Hand in Hand mit IT-Sicherheit. Dabei folgen alle Krankenhausträger dem Prinzip, technische Sicherheitsvorkehrungen vor organisatorische Maßnahmen und Vorschriften zu setzen. Eine restriktive Benutzer- und Rechtevergabe in IT-Systemen ist wirkungsvoller als eine organisatorische Regelung. Zum Beispiel werden alle Passwörter auf Komplexität und Verwundbarkeit technisch überprüft.

Welche Unterstützung oder Ressourcen wären aus Ihrer Sicht notwendig, um die Anforderungen von NIS-2 langfristig effizient umzusetzen?
Bei vollem Bekenntnis zur Notwendigkeit und Sinnhaftigkeit von entsprechend hohen Sicherheitsstandards orten wir doch auch einen massiven Anstieg an administrativen Aufwänden für die Organisationen. Diese Ressourcen fehlen für die Bearbeitung von Schwachstellen.
Es wird wesentlich mehr gut ausgebildete IT-Expertinnen und -Experten brauchen, wobei unserer Erfahrung nach die Themen Datenschutz und IT-Sicherheit noch zusätzlich „aufgeschult“ werden müssen. Es braucht auch noch ein viel stärkeres Bewusstsein der Medizin- und Haustechnikindustrie für die technische Umsetzung der notwendigen Modernisierungsschritte und ihr explizites Bekenntnis dazu. Wahrscheinlich sind auch entsprechende Anpassungen, etwa im Medizinproduktegesetz, notwendig oder andere Scopes bei der Zertifizierung von Medizintechniksystemen zu definieren.