Klinik-IT: Besuchszeit für ungebetene „Gäste“?

Es gibt schlechte Nachrichten aus dem Gesundheitswesen. Und diese haben zur Abwechslung einmal gar nichts mit den Entwicklungen rund um das Corona-Virus (COVID-19) zu tun. Vielmehr geht es unter anderem um Viren und Risiken einer ganz anderen Sorte – im Blickfeld steht nämlich einmal mehr die IT-Sicherheit in Krankenhäusern. Der Hintergrund sind alarmierende Ergebnisse einer neuen Studie (zur BSI-Studie KRITIS-Sektor Gesundheit) des Bundesamts für Sicherheit in der Informationstechnik. Die Experten des BSI haben sich dabei mit der Informationssicherheit der Klinik-IT in der stationären medizinischen Versorgung auseinandergesetzt.

IT-Infrastruktur ist vielfach nicht mitgewachsen

Dabei zeigte sich grundsätzlich, dass in vielen Fällen die IT-Infrastruktur in Kliniken nicht mit den wachsenden Anforderungen technischer Natur mitgewachsen ist. Hinzu kommt in Krankenhäusern oft die Problematik von Legacy-Technologien: Altsysteme werden in einzelnen Bereichen weiterhin genutzt, aber nicht mehr gewartet oder weiterentwickelt.

Systematisches IT-Risikomanagement: Oft Fehlanzeige

Aus organisatorischer Sicht hält das BSI in seiner Studie, die bisher nur teilweise veröffentlicht wurde, fest, dass „sich ein systematisches IT-Risikomanagement in vielen Häusern noch nicht auf dem notwendigen Niveau bewegt.“ Die Planung von entsprechenden IT-Sicherheitsmaßnahmen erfolgt nicht immer risikoorientiert. Und auch die Bedrohungsanalyse in der Klinik-IT ist laut BSI häufig unvollständig. Dies berge die Gefahr, dass speziell die vor- und nachgelagerten Prozesse im Rahmen von Risikoanalysen nicht ausreichend berücksichtigt werden.

Defizite bei technischen Schutzmaßnahmen in Klinik-IT

Mit Blick auf die technischen Schutzmaßnahmen in Krankenhäusern kommen die Experten des BSI zu dem Schluss, dass Defizite zum Beispiel in Bereichen bestehen, „die eine aktive Mitwirkung der Beschäftigten erfordern“ – exemplarisch werden hier Themenfelder wie die Verschlüsselung mobiler Speichermedien und die E-Mail Verschlüsselung genannt. Auch eine klare Netztrennung, etwa zwischen dem Verwaltungs-Netz und den von Besuchern und Patienten genutzten Ressourcen, ist nicht immer vorhanden.

Logfile-Analyse häufig unzureichend

Explizit erwähnt das Bundesamt darüber hinaus, dass auf „Maßnahmen zur Detektion und Reaktion“ seitens der Betreiber bislang offenbar nur eher wenig Augenmerk gelegt wird. Neben einem zentralisierten Malware-Scan von E-Mails heben die Security-Experten dabei insbesondere auch das Netzwerk-Monitoring der Klinik-IT hervor. Und das ist durchaus nachvollziehbar, denn gerade eine systematische, kontinuierliche Logfile-Analyse kann dazu beitragen, Risiken und Sicherheitslücken einerseits frühzeitig zu erkennen, andererseits aber auch tatsächliche Vorfälle so effizient und einfach wie möglich aufzuarbeiten.

„Log-Management trägt dazu bei, KRITIS-Anforderungen zu erfüllen″

​