Informationsschutz im Gesundheitswesen
Am 6. Juni 2019 fand bereits die 5. Konferenz «Information Security in Healthcare» statt. Der Anlass in Rotkreuz ZG richtete sich an Informationsverantwortliche des Gesundheitswesens. Grundsatzeferate, Streams und Panels vermittelten jedoch nicht nur Spezialisten das nötige Wissen zur Informationssicherheit in einer immer mehr digital verknüpften Welt.
Was es für das Continuity Management im Gesundheitswesen heisst, wenn zu jeder Stunde quasi Abteilungscomputer oder medizinische Geräte angegriffen werden kön- nen, lernte man einmal mehr an der 5. Konfe- renz «Information Security in Healthcare».
Im Gegensatz zu den Ransomware- und WannaCry-Attacken, die 2017 die Endnutzer und Unternehmen weltweit in Atem hielten (siehe MQ vom Mai 2017 und den Beitrag «WannaCry-Attacke – noch kein Aufatmen möglich»), gab es per se 2018 weniger allum- fassende Ausbrüche bis auf die Emotet-Mal- ware.
Wenn Viren wie Emotet kursieren
So wurde im November 2018 eine Klinik im bayerischen Fürstenfeldbruck komplett durch den Emotet-Virus «eingefroren». Die Klinik musste ohne Computer auskom- men, Krankenwagen in andere Spitäler lei- ten.
Wie man gleich zu Anfang der Konferenz lernte, dominiert inzwischen eine andere, per- fidere Form von Malware die Szene. Diese un- terläuft die gesamte Integrität einer Gesund- heitseinrichtung eher schleichend, kann je- doch auch mal den ganzen Betrieb blockieren.
Malware-Autoren legten vor allem in der zweiten Jahreshälfte 2018 ihr Haupt- augenmerk auf Spitäler – hauptsächlich auf- grund der vielversprechenderen Gewinn- maximierung. Die Erkennung von Malware, die auf Unternehmen abzielt, stieg im Ver-gleich zum Vorjahr deutlich – genauer gesagt um 79 Prozent an.
Und zwar vor allem aufgrund der Zu- nahme von Backdoor-Angriffen, Minern, Spy- ware und Informationsdiebstählen, worun- ter spezifisch auch Gesundheitsdaten fallen.
Im Jahr 2018 kam es zu einem Wandel der Ransomware-Angriffstechniken. Anstelle des klassischen Vorgehens über Malvertising- Exploits, die Ransomware Einfallstore liefer- ten, führten Bedrohungsakteure gezielte, manuelle Angriffe durch.
Bisherige Info-Hoheit verbessern
Sehr komplex sei es, nicht nur die Schäden zu detektieren, sondern auch die Zuständigkei- ten der Informationsverantwortlichen klar zu regeln. Dr. Eric Dubuis, Professor für Informa- tik an der Berner Fachhochschule, wies etwa darauf hin, dass nicht nur Spitalverantwort- liche und Ärzte, sondern auch Apotheker, angeliederte Admin-Dienstleister bis hin zu Laborangestellten mit einer Malware infiziert und ausspioniert werden können.
In den einzelnen Konferenzen-Streams erfuhr man sehr viel über den Status quo der Medizinalbranche. So wies zum Beispiel Chris Berger, UMB AG, auf gewisse Lücken in der Branche hin: «Das Schweizer Gesund- heitswesen ist nur zu 20 Prozent digitalisiert, wenn man einer aktuellen Studie von digital. swiss Aufmerksamkeit schenken möchte.»
Besonders schützenswerten Personen- daten, so waren sich die Konferenzteilneh- mer einig, müssen zureichend geschützt und digital verschlüsselt werden.
In sich geschlossene Systeme wie das elektronische Patientendossier involvieren Gesundheitsdienstleister und Patienten all- mählich zu mehr Awareness, was die Freiga- be von Krankheitsbild oder Behandlungs- schritten angeht. Damit werde ab 2020 eine engere Vernetzung der verschiedenen Leistungserbringer gefördert und die ge- samtheitliche Betrachtung der Gesundheit der Patienten unterstützt.
Problem: Private Apps wie Whatsapp
Tendenziell gibt es jedoch immer mehr Nut- zer, die nicht nur über Bürorechner, sondern auch über Social-Engineering-Angebote, z. B. über Kommunikations-Apps, Inhalte teilen. Hier könnte das Fachpersonal auf persönliche Daten «abgeklopft» werden. Whatsapp wurde beispielsweise erst im Mai 2019 weltweit gehackt.
Sind die Spitaldienstleister über alle ihre mit dem Netz verknüpften (Arbeits-)Ge- räte informiert? Bei einem Ausfall von Medi- zinalgeräten würden gleich umfassende organisatorische Massnahmen – mit zusätz- lichem Personaleinsatz – notwendig, um den Betrieb weiter aufrechterhalten zu können.
Die Digitalisierung und daraus resul- tierende Innovationen unterstützen zwar die Verbesserung und steigern die Effizienz in der Gesundheitsversorgung. Allerdings wür- den die elektronische Aufnahme, Übermitt- lung, Verarbeitung und Interpretation von Gesundheitsdaten nicht überall gleich gewährt weden, meinten Experten an der «Information Security in Healthcare» ab- schliessend.
