E-HealthIT-Sicherheit

Unbedachte Digitalisierung medizinischer Geräte – Risikofaktor für Patientinnen und Patienten

Digitalisierung birgt auch im Gesundheitssektor großes Potenzial, z.B. eine bessere Versorgung, leichtere Verfügbarkeit von Patientendaten, Prozessoptimierung und ein erleichterter Zugang zu Gesundheitsleistungen für Patientinnen und Patienten.[1]

Doch ein technischer Vorsprung allein genügt nicht, wenn die Sicherheitsvorkehrungen nicht mitgedacht und mögliche Cybersicherheitsszenarien nicht ausreichend durchgespielt und entsprechende Maßnahmen ergriffen werden.

IT-Systeme und medizinische Geräte können gehackt werden

Die IT-Sicherheitsfirmen McAfee und Culinda fanden kürzlich heraus, dass Infusionspumpen des Medizintechnikherstellers B. Braun erhebliche Sicherheitslücken aufweisen[2]: Die Sicherheitsforscher konnten Pumpen so manipulieren, dass die Dosis erhöht wurde, während das Display fälschlicherweise die vorgesehene Menge anzeigte. [3] Auch unverschlüsselt übertragene Konfigurationsinformationen konnten mitgeschnitten werden.

Der Hersteller schätzte die beschriebenen Angriffsmethoden als wenig realistisches Szenario ein, da zum einen nur wenige Geräte mit älteren Softwareversionen betroffen seien und zum anderen nicht ersichtlich sei, dass die gemeldeten Schwachstellen tatsächlich ausgenutzt worden seien. Die Sicherheitslücken würden zudem auf bereits seit Oktober 2020 bekannte Schwachstellen beruhen und könnten durch entsprechende Updates und ein umsichtiges Netzwerkmanagement behoben werden.

Als Einfallstor für mögliche Angreifer nannte McAfee das jeweilige Krankenhausnetzwerk auf lokaler Ebene. Zwar sei ein erfolgreiches Ausnutzen der Lücken sehr anspruchsvoll und setze ein hohes Maß an Können und Ressourcen voraus, doch sobald die erste Schwachstelle gefunden sei, wären weitere Angriffe, etwa die Kontrolle der Pumpen oder das Streuen von Ransom- bzw. anderer Malware im gesamten IT-System der jeweiligen Einrichtung verhältnismäßig einfach möglich.[4] Vor diesem Hintergrund hielt McAfee einige Informationen und Details zu den Forschungsergebnissen zurück.

IT-Sicherheit in Krankenhäusern – ein schwieriges Thema

IT-Sicherheit zählt zu den wichtigsten Aspekten im Zusammenhang mit eHealth.[5] Besonders während der Corona-Pandemie wurden Cybersicherheitsvorfälle im Gesundheitswesen in beispiellosem Ausmaß gemeldet. [6] Gerade in diesem Bereich können jedoch die Auswirkungen von Angriffen besonders gravierende Auswirkungen nach sich ziehen, insbesondere für Patientinnen und Patienten. Neben Infusionspumpen sind auch z.B. CT-Scanner, Herzschrittmacher, Insulinpumpen oder auch Rohrpostsysteme mögliche Angriffsziele.[7] Im Vergleich zu 2019 verzeichnete das Gesundheitswesen im Jahr 2020 einen Anstieg der Angriffe um 200 Prozent, der zumindest zum Teil auch auf Telemedizin und Remote-Betreuungsangebote zurückzuführen ist.[8]

Die Folgen von Cybersicherheitsvorfällen reichen von rein administrativen Problemen bis hin zum Verlust sensibler Patientendaten und der Einschränkung des Regelbetriebs: Nach einem Angriff im Mai dieses Jahres auf die Rotunda-Entbindungsklinik in Dublin konnten beispielsweise nur noch Notfälle aufgenommen werden, die Abläufe verlangsamten sich dramatisch, da infolge des Herunterfahrens der IT-Systeme auf Papierunterlagen zurückgegriffen werden musste.[9] 2020 verstarb eine Patientin, deren Rettungswagen wegen einer Cyberattacke auf das nächstgelegene Krankenhaus zu einer anderen, weiter entfernten Klinik umgeleitet werden musste. Einfallstor war in diesem Fall die Remote-Software Citrix, die von zahlreichen Unternehmen, Behörden und anderen Institutionen genutzt wird.[10]

Unter anderem die teils stark veraltete IT-Infrastruktur in Krankenhäusern gilt als enormes Risiko – ein leistungsfähiges und sicheres System setzt neben personellem und finanziellem Aufwand auch entsprechende Wartungsfenster voraus, die im kontinuierlichen 24/7-Betrieb in Krankenhäusern oft schwer eingerichtet werden können.[11]

Fazit: Keine Digitalisierung ohne angemessenes IT-Sicherheitsmanagement

Aus rechtlicher Sicht sind für Krankenhäuser zum einen die Vorgaben des BSIG für Kritische Infrastrukturen zu beachten, zum anderen – und das gilt auch für Krankenhäuser, die nicht in den Anwendungsbereich des BSIG fallen – stellt auch § 75c SGB V Anforderungen an die IT-Sicherheit. Die Norm erfasst ausdrücklich sämtliche Krankenhäuser, die nicht ohnehin als Betreiber Kritischer Infrastrukturen § 8a BSIG unterworfen sind (§ 75c Abs. 3 SGB V). Ab dem 1. Januar 2022 müssen Krankenhäuser nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind (§ 75c Abs. 1 SGB V). Das im Oktober 2020 in Kraft getretene Krankenhauszukunftsgesetz (KHZG) sieht vor, dass mindestens 15 Prozent der gewählten Fördermittel für Maßnahmen zur Verbesserung der IT-Sicherheit verwendet werden.[12] Neben Investitionen in die Digitalisierung von Krankenhäusern soll damit auch explizit das Thema IT-Sicherheit angemessen priorisiert werden.[13] Auch für den vertragsärztlichen Bereich müssen bestimmte Vorgaben beachtet werden. Ein nicht ausreichendes IT-Sicherheitsmanagement kann empfindliche Rechtsfolgen nach sich ziehen.[14]

Neben einem umfassenden IT-Sicherheitsmanagement, das auch die Analyse und Identifizierung möglicher Risikofaktoren und einen Aktionsplan für die Reaktion auf Sicherheitsvorfälle umfasst, sind auch Aspekte der Netzwerk- und physischen Gebäudesicherheit maßgebliche Anknüpfungspunkte.[15] Auch Insider als Gefahrenquelle – sei es aus Fahrlässigkeit und fehlender Information oder aus Böswilligkeit – dürfen nicht vernachlässigt werden. Besonders interne Nachlässigkeiten, die durch externe Täter ausgenutzt werden können, sind dringend zu vermeiden, beispielsweise durch IT-Sicherheitsschulungen und eine allgemeine Sensibilisierung der Mitarbeiterinnen und Mitarbeiter.[16]


[1] Vgl. E-Health – Digitalisierung im Gesundheitswesen, BMG.de; für Status Quo und Perspektiven siehe auch McKinsey & Co., eHealth Monitor 2020, November 2020.

[2] Siehe McKee/Laulheret, McAfee Enterprise ATR Uncovers Vulnerabilities in Globally Used B. Braun Infusion Pump, McAfee.com, 24.08.2021.

[3] Vgl. Biselli, Sicherheitslücken in Infusionspumpen entdeckt, Golem.de, 25.08.2021, dort auch zum Folgenden.

[4] Vgl. Newman, Hackers Could Increase Medication Doses Through Infusion Pump Flaws, Wired.com, 24.08.2021, dort auch zum Folgenden.

[5] Vgl. Müller, AG 2020, R12.

[6] Vgl. Newman, Ransomware Hits Dozens of Hospitals in an Unprecedented Wave, Wired.com, 29.10.2020.

[7] Vgl. Newman, Hospitals Still Use Pneumatic Tubes – and They Can Be Hacked, Wired.com, 02.08.2021.

[8] Vgl. Jung, Gesundheitswesen im Visier von Cyberangreifern, ZDNet, 24.08.2021.

[9] Vgl. Irland fährt IT-System des Gesundheitsdienstes nach Hackerangriff herunter, Welt.de, 14.05.2021.

[10] Vgl. Kerkmann/Nagel, Hackerangriff auf Uni-Klinik Düsseldorf, Handelsblatt.de, 18.09.2020.

[11] Ausführlich Schwegler, Cybersicherheit im Gesundheitssektor. Bei Risiken und Nebenwirkungen fragen Sie Ihren IT-Support, BayWiDI-Magazin 2/2021, S. 3.

[12] § 14a Abs. 3 Satz 5 KHG, siehe auch Dittrich/Ippenbach, GesR 2021, 285, 287.

[13] Vgl. Krankenhauszukunftsgesetz für die Digitalisierung von Krankenhäusern, BMG.de.

[14] Vgl. Dittrich/Ippenbach, GesR 2021, 285.

[15] Vgl. Steinke e. al., Maßnahmenkatalog zur Verbesserung der IT-Sicherheit in bayerischen Krankenhäusern. Ausgabe 2021/2022.

[16] Vgl. Geschonneck, in: Wieland/Steinmeyer/Grüninger, Handbuch Compliance-Management, 2. Aufl. 2020, Teil III, 3.1 Rn. 16.

Sämtliche Links wurden zuletzt am 25.08.2021 abgerufen.