Sichere und zuverlässige IT-Infrastrukturen sind ein Grundstein für reibungslose Abläufe und eine optimale Patientenversorgung in Krankenhäusern. Foto: Adobe Stock/Dell Inc.
IT-Sicherheit wird mit NIS-2 zum Pflichtprogramm für Krankenhäuser
Die digitalen Infrastrukturen von Krankenhäusern sind fortschrittlichen Cyberbedrohungen oft nicht gewachsen. Mit der NIS-2-Richtlinie der EU soll sich das ändern. Die Richtlinie definiert eine Reihe von Sicherheitsanforderungen, die Krankenhäuser umsetzen müssen, und nimmt explizit auch deren Geschäftsleitungen in die Verantwortung.
Krankenhäuser zählen zu den beliebtesten Zielen von Cyberkriminellen. Zum einen bieten sie aufgrund ihrer Bedeutung für die Gesellschaft und die Arbeit mit vielen sensiblen Daten ein großes Erpressungspotenzial. Zum anderen sind ihre digitalen Infrastrukturen oft sehr verwundbar, was eine lange Liste erfolgreicher Angriffe eindrucksvoll belegt. Damit sich das ändert und wichtige Unternehmen und Einrichtungen wie Krankenhäuser ein einheitlich hohes Sicherheitsniveau erreichen, hat die EU vor gut zwei Jahren eine neue Richtlinie zum Schutz von Netzwerk- und Informationssystemen (NIS-2-Richtlinie) auf den Weg gebracht. Eigentlich hätte Deutschland diese bis spätestens 18. Oktober 2024 in nationales Recht umsetzen müssen, doch der vorliegende Gesetzentwurf wurde nach dem Ampel-Aus nicht mehr verabschiedet.
Für Krankenhäuser darf dies allerdings kein Grund sein, die Verbesserung ihrer IT-Sicherheit noch weiter aufzuschieben, denn dass das Gesetz kommen wird, ist nur eine Frage der Zeit. Im Grunde haben sie lediglich einen Aufschub erhalten, den sie unbedingt nutzen sollten, um die Anforderungen zu erfüllen. Welche das sind, gibt – auch ohne nationales Gesetz – die EU-Richtlinie vor. Die regelt auch, für welche Einrichtungen die Vorschriften gelten. Betroffen sind im Grunde alle Krankenhäuser, denn bereits ab 50 Mitarbeitern und einem Jahresumsatz beziehungsweise einer Jahresbilanzsumme von mehr als 10 Mio. € zählen sie zu den „wichtigen Einrichtungen“ und fallen unter NIS-2. Damit müssen sie alle Anforderungen umsetzen.
Darüber hinaus kennt NIS-2 auch „wesentliche Einrichtungen“, zu denen Krankenhäuser mit mehr als 250 Mitarbeitern und einem Jahresumsatz von mehr als 50 Mio. € oder einer Jahresbilanzsumme über 43 Mio. € zählen. Sie unterliegen einer strengeren Aufsicht durch Behörden und strengeren Pflichten, angeordnete Maßnahmen fristgerecht umzusetzen. Zudem drohen ihnen bei Verstößen gegen NIS-2 höhere Bußgelder von bis zu 10 Mio. € oder bis zu 2 % des Jahresumsatzes. Bei wichtigen Einrichtungen sind es maximal 7 Mio. € oder 1,4 % des Jahresumsatzes.
Im Fokus steht die Minimierung von Risiken
NIS-2 verpflichtet Krankenhäuser, sich bei der zuständigen Aufsichtsbehörde zu registrieren – in Deutschland beim BSI – und bestimmte Mindestanforderungen für den Schutz ihrer IT-Systeme umzusetzen. Genannt werden unter anderem Security-Basics wie Verschlüsselung, Zugriffskontrollen, Multi-Faktor-Authentifizierung und eine sichere Sprach-, Video- und Textkommunikation, die eigentlich längst Standard sein sollten. Wer sie bislang nicht einsetzt, handelt leichtsinnig und künftig dann auch gesetzeswidrig. Hinzu kommt die Vorgabe, Konzepte für die Analyse von Risiken und die Sicherheit von Systemen zu entwickeln und das Risikomanagement kontinuierlich auf Wirksamkeit zu überprüfen.
Damit Sicherheitsvorfälle keine gravierenden Auswirkungen haben, die die Abläufe des Krankenhauses und die Versorgung der Patienten gefährden, müssen alle Einrichtungen geeignete Maßnahmen ergreifen, um den Schaden einzudämmen und den Klinikbetrieb aufrechtzuerhalten. Sprich: Sie benötigen Notfallpläne und Lösungen für die Sicherung und Wiederherstellung ihrer kritischen Daten und Systeme. Ebenso stehen sie künftig in der Verantwortung, die Sicherheit ihrer Lieferketten zu überprüfen, also ihre Dienstleister und Lösungsanbieter. Sie müssen gewährleisten, dass Sicherheitsmaßnahmen für den Kauf, die Entwicklung und die Wartung von Systemen und Anwendungen existieren, und sich um die Beseitigung von Schwachstellen kümmern.
All diese Maßnahmen dienen dazu, die Angriffsfläche von Krankenhäusern zu verkleinern und das Risiko von Angriffen zu minimieren, sodass weder Patienten noch ihre persönlichen Daten gefährdet sind. Kommt es dennoch zu erheblichen Sicherheitsvorfällen, müssen Krankenhäuser diese unverzüglich, spätestens jedoch binnen 24 Stunden melden. Mehr noch: Innerhalb von 72 Stunden müssen sie die Meldung aktualisieren und eine erste Bewertung abgeben, wie schwer der Vorfall ist und welche Auswirkungen er hat. Spätestens nach einem Monat ist ein Abschlussbericht fällig – sollte der Vorfall zu diesem Zeitpunkt noch andauern, ist es ein Fortschrittsbericht, dem der Abschlussbericht innerhalb eines Monats nach Behebung des Vorfalls folgt.
Verpflichtende Schulungen auch für die Geschäftsleitung
Zu den Maßnahmen, die Krankenhäuser umsetzen müssen, gehören regelmäßige Sicherheitsschulungen – nicht nur für die Mitarbeiter, sondern explizit auch für die Geschäftsleitungen. Ziel ist, dass alle Leitungsorgane ausreichende Kenntnisse und Fähigkeiten erwerben, um Risiken zu erkennen und zu bewerten und die Wirksamkeit von Risikomanagementmaßnahmen ebenso wie deren Auswirkungen auf den Krankenhausbetrieb, einzuschätzen. Denn laut NIS-2 sollen Geschäftsleitungen alle Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und für Verstöße persönlich haften. Ja, richtig: Bei Versäumnissen können sie rechtlich zu Verantwortung gezogen werden und müssen unter Umständen auch Schadensersatz leisten.
Inwieweit dann Cyberversicherungen und Manager-Haftpflichtversicherungen greifen, bleibt abzuwarten. Sinnvoll ist es auf jeden Fall, alle Maßnahmen der NIS-2 sorgfältig umzusetzen und die Umsetzung detailliert zu dokumentieren, um Haftungsrisiken zu minimieren. Externe IT-Dienstleister können hier mit ihrer Erfahrung und ihrem unabhängigen Blick von außen eine enorme Hilfe sein. Sie unterstützen dabei, den Security-Reifegrad zu ermitteln und individuelle Risiken zu analysieren. Anschließend können sie gemeinsam mit dem Krankenhaus eine Roadmap für die NIS-2-Umsetzung aufstellen.
Eine gute Orientierung, was zu tun ist, bietet auch der Branchenspezifische Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft. Er listet technische und organisatorische Maßnahmen auf, die KRITIS-Krankenhäusern helfen, die Sicherheitsanforderungen des BSI-Gesetzes zu erfüllen. Mit NIS-2 werden sie nun aufgrund ähnlicher Anforderungen für alle Krankenhäuser relevant.
Alte Backup-Konzepte reichen nicht mehr
Von entscheidender Bedeutung für die von der NIS-2 geforderte Aufrechterhaltung des Betriebs nach einem Angriff ist eine Data Protection, die über klassische Ansätze für Backup und Disaster Recovery hinausgeht. Denn Cyberkriminelle suchen inzwischen gezielt nach Backups, Snapshots und replizierten Daten, um diese ebenso wie die Daten auf Produktivsystemen unbrauchbar zu machen. Daher benötigen Krankenhäuser moderne Backup-Speicher mit einem sogenannten Retention Lock, der die Veränderung von Daten innerhalb einer definierten Aufbewahrungsfrist zuverlässig verhindert. Das Prinzip kommt ursprünglich aus der Archivierung, schützt aber auch Datensicherungen vor einem Verschlüsseln oder Löschen.
Darüber hinaus kann die Einrichtung eines Datentresors sinnvoll sein. Dabei handelt es sich um Systeme, die standardmäßig vom Rest der Infrastruktur isoliert sind, sodass niemand unbefugt auf sie zugreifen kann. Sie sind nur kurzzeitig im Netzwerk sichtbar, um beispielsweise eine Kopie der wertvollsten Daten zu erstellen oder ein besonders wichtiges Backup aufzunehmen. Eine intelligente Forensik erkennt und unterbindet dabei Manipulationen, sodass die Daten und Backups garantiert im Originalzustand bleiben und bei einem Notfall schnell aus dem Tresor wiederhergestellt werden können.
Damit das im Ernstfall auch reibungslos funktioniert, sind Notfallpläne notwendig. Sie stellen sicher, dass alle Abläufe und Verantwortlichkeiten geklärt sind und jeder weiß, was im Ernstfall zu tun ist. Sie müssen regelmäßig getestet werden, damit Mitarbeiter die Abläufe kennen und auch in Krisensituationen jeder Handgriff sitzt. Zudem sind die Tests ein guter Realitätscheck, ob die Pläne den Anforderungen noch gewachsen sind oder angepasst werden müssen. Denn niemandem nutzt ein Backup, das nicht aktuell genug ist oder das Mitarbeiter im Ernstfall nicht einspielen können.
Letztlich ist die Umsetzung der NIS-2-Richtlinie für Krankenhäuser keine einfache, aber eine notwendige Aufgabe. Sie verbessert nicht nur den Schutz von Daten, sondern auch die Patientenversorgung – und stärkt das Vertrauen in Krankenhäuser, denn die Bürger haben mittlerweile kaum noch Verständnis, wenn die Einrichtungen grundlegende Sicherheitsmaßnahmen vernachlässigen und dann von Cyberangriffen ganz oder teilweise lahmgelegt werden.
Dr.-Ing. Marten Neubauer, Field Director Healthcare bei Dell Technologies