„Daten sind für Unternehmen wie Kinder für Eltern: Das wichtigste und schützenswerteste Gut.”
Diese Aussage während einer Datenschutz-Schulung im Jahr 2023 hat nachhaltig Eindruck hinterlassen. Denn sie bringt in wenigen Worten auf den Punkt, was oft in mehrseitigen Power-Point-Präsentationen, Whitepapers oder Broschüren zu vermitteln versucht wird.
Im Gesundheitsbereich könnte man die Unternehmen aus dem Eingangssatz durch Krankenhäuser oder Pflegeeinrichtungen ersetzen – auch wenn man natürlich darüber diskutieren kann, ob nicht Patienten schützenswerter als Daten sind. Selbstverständlich würde die Antwort hier „ja“ lauten. Trotzdem: Vor etwa 20 Jahren wäre die Eingangsthese vermutlich noch belächelt worden. In der digitalen Welt von 2024 sieht das nun grundlegend anders aus. Physische Einbrüche in Unternehmen, um Produkte zu stehlen, finden seltener statt, da sich dies digital viel einfacher umsetzen lässt. So können Bau- und Produktionspläne gestohlen werden, und nebenbei finden sich womöglich auch noch Strategiepapiere für die Zukunft, Blaupausen für neue Produkte oder Erfindungen und weitere interessante Dokumente wie interne Bilanzen, Namen von Mitarbeitenden oder Daten von Kunden, die besonders schützenswert sind. Letzteres kann bei Verlust auch einen Verstoß gegen die DSGVO bedeuten und zusätzlich neben Reputationseinbußen ein hohes Bußgeld nach sich ziehen (Art. 83, Abs. 5 DSGVO).
Zahl der Angriffe auf Kliniken nimmt zu
Vor diesem Hintergrund ist die Digitalisierung im Gesundheitsbereich Segen und Fluch zugleich. Viele Prozesse können durch die Einführung von IT vereinfacht werden: Von der Patientenverwaltung über die Auswertung verschiedenster Behandlungsdaten, die Vernetzung von Medizingeräten bis hin zur Forschung sowie dem Austausch von Informationen mit anderen Einrichtungen erleichtern IT-Systeme den Ablauf im Alltag. Auf der anderen Seite öffnen sie Tür und Tor für Angreifer, die dies immer öfter ausnutzen.
Für Krankenhäuser und andere medizinische Einrichtungen, bei denen der Ausfall von ITSystemen potenziell Menschenleben gefährden kann, gibt es in vielen organisierten Angreifergruppen einen ungeschriebenen „Code of Conduct“, der solche Ziele von Angriffen ausnehmen soll (ja, auch Ransomware-Gruppen haben einen Rest von Moral). Allerdings hält sich nicht jedes Mitglied dieser Gruppen daran, was eine steigende Zahl von Attacken auf Krankenhäuser in den letzten Jahren bestätigt (unter anderem Uniklinikum Düsseldorf 2020, Klinikum Bremen 2023, Uniklinikum Frankfurt 2023, Krankenhaus Esslingen 2023, CaritasKlinik Dominikus 2024 oder Bezirkskliniken Ansbach 2024). In fast jedem Fall mussten sich die betroffenen Kliniken von der Notfallversorgung abmelden, auf internen (analogen) Notbetrieb umstellen und teilweise Patienten in andere Einrichtungen verlegen lassen.
Schutzziele und Anforderungen an Cybersicherheit von Kliniken
Neben den klassischen Schutzzielen Vertraulichkeit, Verfügbarkeit, Integrität sowie Authentizität gelten für Gesundheitseinrichtungen selbstverständlich auch die Anforderungen aus der DSGVO, genauer die Gewährleistungsziele des Standard-Datenschutzmodells: Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettung, Transparenz sowie Intervenierbarkeit.
Für Krankenhäuser mit mehr als 30.000 vollstationären Behandlungsfällen pro Jahr gelten zusätzlich die Anforderungen für kritische Infrastrukturen nach dem BSI-Gesetz (siehe §§2 Abs. 10, 10 Abs. 1 BSIG i.V.m. §6, Abs. 4 BSI-KritisV).
Daraus ergibt sich die Verpflichtung zur Einführung und Umsetzung angemessener organisatorischer und technischer Vorkehrungen (OTV) gem. §8a BSIG, die wiederum dem „Stand der Technik“ entsprechen müssen. Dieser kann durch die Definition sogenannter „branchenspezifischer Sicherheitsstandards“ (B3S) konkretisiert werden, was für Krankenhäuser im B3S „Medizinische Versorgung“ bereits umgesetzt wurde (aktuelle Version bei Erscheinen dieses Artikels: 1.2 vom 10.01.2023). Darin wird in Kapitel 2 explizit erwähnt, dass es aufgrund der heterogenen Systemlandschaft in Krankenhäusern noch keinen allgemein anerkannten Stand der Technik gibt, woraus wiederum der Bedarf einer individuellen Betrachtung resultiert.
Seit Mai 2023 gilt zudem für alle Betreiber kritischer Infrastrukturen die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung (SzA), die automatisiert Daten aus dem laufenden Betrieb auswerten und potenzielle Bedrohungen erkennen können müssen (weiterführende Informationen hier). Hinzu kommen weitere Anforderungen aus aktuellen und zukünftigen Regularien wie der CER-Richtlinie, dem Cyber Resilience Act (CRA) oder der NIS2-Richtlinie, die allesamt eine Reihe an Nachweis- und Auditierungspflichten mit sich bringen.
Die Gretchenfrage – Make or buy?
Die oben erwähnte und auch in der B3S herausgehobene Heterogenität von IT-Systemen in Krankenhäusern in Verbindung mit der – im Vergleich zu Industrieunternehmen bisher relativ geringen – Relevanz von IT-Sicherheitsmaßnahmen dürfte einer der Hauptgründe dafür sein, dass Gesundheitseinrichtungen vermehrt zum Ziel von Angriffen werden. Vereinfacht gesagt sind die Systeme so anfällig und vergleichsweise einfach zu kompromittieren, dass Angreifergruppen diese „low hanging fruits“ trotz ethisch-moralischer Bedenken einsammeln.
Nun stellt sich die Frage, ob Gesundheitseinrichtungen dieser Herausforderung allein begegnen sollten, oder ob sie überhaupt in der Lage dazu sind. Anhand der gezeigten (bei Weitem nicht vollständigen) Anforderungen und Regularien lautet die Antwort in den meisten Fällen „nein“. Und oft beginnt damit die Suche und Auswahl eines Dienstleisters, der in der Lage ist, kompetent und effizient bei der Umsetzung zu unterstützen.
Hier schließt sich nun der Kreis zum Eingangszitat: Wenn Daten für Unternehmen und andere Einrichtungen so schützenswert wie Kinder für Eltern sind, dann entspricht das Auslagern der IT-Sicherheit zum Schutz der Daten an Dienstleister sozusagen der Betreuung von Kindern in Kindertageseinrichtungen. Dabei gibt es – speziell beim ersten Kind – zu Beginn viele Vorbehalte und Sorgen. Schließlich gibt man die Verantwortung für das Kind in fremde Hände, ohne zu wissen, was dort genau vor sich geht. Diese Bedenken müssen ausgeräumt oder zumindest minimiert werden, sodass man das Kind guten Gewissens in die Betreuung gibt.
Ähnlich verhält es sich bei Security-Dienstleistern, denen man die Betreuung und den Schutz der eigenen Daten und die der Patienten anvertraut. Zu einem gewissen Ausmaß wird die Souveränität und damit auch die Hoheit über Integrität und Vertraulichkeit der eigenen Daten aufgegeben. Man kann hier natürlich eine einfache Entscheidung treffen, sich auf Referenzen und Namen verlassen und nach dem Motto „die wissen schon, was sie tun” einen Anbieter wählen. Nicht selten bekommt dann der günstigste den Zuschlag.
Die aufwändigere – dafür aber nachhaltigere – Alternative ist es, die verschiedenen Anbieter intensiv zu prüfen, Gespräche über Sicherheits- und Monitoringkonzepte zu führen, Vision und Menschen hinter dem Firmenlogo kennenzulernen und eine vertrauensvolle Basis aufzubauen. Als Ergebnis wird auf diese Weise nicht der erstbeste Anbieter gewählt, sondern ein Partner, dem man den Schutz seiner Daten guten Gewissens anvertrauen kann: ein Trusted Advisor.
Auf den ersten Blick naheliegende Parameter bei der Bewertung eines Dienstleisters können sein:
- Bereits existierende Partnerschaften
- Produkte und Dienstleistungen im Portfolio
- ökonomische Faktoren (Preis, Vertragsgestaltung, …)
- intern bereits eingesetzte Produkte, die der Dienstleister unterstützt
- frühere Erfahrungen mit dem Dienstleister
- die Fähigkeit des Dienstleisters, gesetzliche Vorgaben selbst einzuhalten
Darüber hinaus gibt es weitere Aspekte, die nicht sofort ins Auge springen, aber für eine langfristige und nachhaltige Partnerschaft nicht unterschätzt werden sollten, zum Beispiel:
- Die Awareness der Gesundheitseinrichtungen für die eigene IT-Sicherheit: Notwendiges Übel oder existenzieller Teil der Wertschöpfungskette?
- Nachhaltigkeit und soziales Engagement des Dienstleisters
- Gemeinsame mögliche Projekte über die gesetzlichen Pflichten hinaus
- Die Möglichkeit des Dienstleisters, auf individuelle Anforderungen einzugehen
Oft sind es gerade diese Aspekte, die sich im Laufe der Zeit als wichtiger als zunächst angenommen herausstellen. Vor allem im Kontext der Heterogenität der Systemlandschaften reicht es in der Regel nicht mehr aus, das „Standardprodukt“ aus der Schublade zu ziehen und zu implementieren, auch wenn das in der Regel die initial günstigste Variante zu sein scheint.
Ein guter Dienstleister unterstützt dabei, zuallererst einen Ist-Zustand zu ermitteln, Lücken zu identifizieren, offene Fragen zu klären und mit Bedenken hinsichtlich der oben aufgeführten Thematiken offen und ehrlich umzugehen. Er bietet die Möglichkeit, handelnde Personen kennenzulernen und klärt sie über das eigene Engagement in Projekten, die über ITSicherheit hinausgehen, auf. Er ermöglicht Proof of Concepts, um eine Bewertung der Lösung zu vereinfachen, bevor man sich auf langfristige Verträge einlässt. Um in der Analogie des Artikels zu bleiben: Es gibt auch hier Probetage wie in der Kindertageseinrichtung.
Fazit
Allein der Überblick über den Umfang an gesetzlichen und regulatorischen Vorgaben zum Schutz der IT-Systeme ist zu einer großen Herausforderung für Einrichtungen im Gesundheitswesen geworden. In Kombination mit der steigenden Anzahl an Angriffen auf Krankenhäuser und Kliniken – oft resultierend aus historischen Entwicklungen und limitierten internen Ressourcen sowie der Verwundbarkeit der IT-Landschaft – ergibt sich der Bedarf an externen Partnern zur Lösung dieser Herausforderung und der Steigerung der CyberResilienz. Hierbei kommt der Wahl des richtigen Dienstleisters eine entscheidende Bedeutung zu. Vor dem Hintergrund der Sensitivität und des Schutzbedarfs der Daten sowie der Komplexität der heutigen Systeme lohnt es sich, dieser Auswahl die notwendige Zeit zu geben und mögliche Anbieter über die ökonomischen Aspekte hinaus zu bewerten.
Denn schlussendlich sorgt der gewählte Partner nicht nur dafür, dass das Angebot auf dem Papier zufriedenstellend ist, sondern auch für ein gutes Bauchgefühl.
Ziel muss sein, dass Einrichtungen die Souveränität über den Schutz von Vertraulichkeit, Integrität und Verfügbarkeit der eigenen Daten ohne Angst abgeben können.
Anders ausgedrückt: Ein Dienstleister im Bereich IT-Sicherheit muss dafür sorgen, dass die Kinder guten Gewissens jeden Morgen im Kindergarten abgegeben und nachmittags wieder abgeholt werden können.
aDvens GmbH ist Teil des Provider Directory
