Sign up to save your podcasts
Or
Share Patient Krankenhaus-IT: Sind unsere Kliniken noch zu retten? | Folge 3
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Patient Krankenhaus-IT: Sind unsere Kliniken noch zu retten? | Folge 3
Immer mehr Cyberattacken richten sich gegen Kliniken. Wie ist der Stand der Digitalisierung hier und wie sehen Lösungen aus?
In dieser Folge von WeTalkSecurity geht es um das Thema Digitalisierung in Krankenhäusern und im speziellen natürlich um die IT-Sicherheit. Angriffe auf Kliniken häufen sich und das Risiko eines Ausfalls steigt. Wie ist die Lage in Deutschland? Wie laufen solche Angriffe ab? Gibt es Lösungen? Thorsten Urbanski spricht hierüber mit Dr. Nicolas Krämer, Klinikgeschäftsführer der Hospital Management Group GmbH, und Maik Wetzel, Strategic Business Development Director DACH bei ESET.
Die Gäste
Zu Gast in der Folge ist zum einen Dr. Nicolas Krämer, Klinikgeschäftsführer der Hospital Management Group GmbH. Der Autor, Speaker und Krankenhausmanager Nicolas Krämer gilt bereits seit 2016 als Experte in den Bereichen Digitalisierung und IT-Sicherheit von Kliniken. Damals zeigte er sich als Krankenhausmanager des Lukaskrankenhauses in Neuss, das 2016 Opfer eines Ransomware-Angriffs wurde, als hervorragender Krisenmanager.
Der zweite Gast ist in dieser Folge Maik Wetzel, Strategic Business Development Director DACH bei ESET. Maik ist seit 2009 bei ESET. In seiner Funktion soll die Stellung des Unternehmens in bestimmten vertikalen Märkten ausbauen. Ein Fokus liegt hier insbesondere im Gesundheitswesen.
Wie läuft ein Cyberangriff auf ein Krankenhaus ab?
Nicolas Krämer war als Geschäftsführer eines Krankenhauses 2016 selber von einem Cyberangriff betroffen. Häufig fällt es gar nicht sofort auf, dass die Einrichtung angegriffen wurde. Zunächst starten bildgebende Geräte langsamer oder der OP-Plan stürzt ab. Absolute Gewissheit, dass etwas nicht stimmt, erhält man dann von den Erpressern, die eine Lösegeldforderung an das Krankenhaus stellen. Zum Teil kann man in Deutschland von Glück sprechen, dass der Digitalisierungsgrad von Kliniken so hoch ist, dass ein Offline-Modus im Ernstfall unmöglich wäre.
Zwischenfrage: Durch die Schwache Digitalisierung können Kliniken im IT-Notfall weiterarbeiten. Ist das Glück im Unglück?
Wenn alle Prozesse im Krankenhaus komplett digitalisiert ablaufen würden, hätten wir ein großes Problem. Nicolas nimmt das Beispiel eines modernen Passagierflugzeugs. Trotz aller Digitalisierung gibt es immer noch die Möglichkeit die Maschine manuell zu fliegen. Daher ist es auch in Kliniken ein Segen, dass es hier genauso geht. Im Ernstfall gehen einem Geschäftsführer dennoch alle Schreckensszenarien durch den Kopf. Man denkt an die Sicherheit der Patienten und ihrer Daten. Es kommt die Frage auf, ob nun alle Systeme heruntergefahren werden müssen, um die Ausbreitung des Virus zu unterbinden. Sollte die Polizei eingeschaltet werden? Und schlussendlich muss auch die Frage gestellt werden, ob ein IT-Notfallplan besteht.
Der Medizincampus Bodensee besteht aus zwei Krankenhäusern, die Uni-Klinik in Düsseldurf ist ein Maximalversorger. Beide Häuser sind für die medizinische Versorgung der Region von enormer Bedeutung. Diese Angriffe fanden parallel während der Bewältigung der Corona-Pandemie statt.
Angriffe auf Krankenhäuser haben zugenommen und es wird keine Rücksicht auf die aktuelle Pandemie genommen. Bei einem Umschalten von Automatik- auf Offline-Modus ändern sich Prozesse. Das Wichtigste und Beste in so einer Situation ist es die Systeme herunterzufahren und wieder auf Stift und Papier umzusteigen. Eine Pflegekraft oder ein Arzt sind in Deutschland rund vier Stunden pro Tag mit Dokumentation beschäftigt. (Quelle)
Der Aufwand ist mit Papier und Bleistift dann deutlich höher nach einem Cyberangriff.
Wo steht Deutschland bei der Digitalisierung im Gesundheitswesen?
Der Digital Health Index 2018 steht Deutschland im europäischen Vergleich auf dem vorletzten Platz. (Quelle) Zudem gibt es rund 24,3 Millionen Patientendatensätze sind frei im Netz zugänglich. (Quelle Lagebericht zur IT-Sicherheit 2020, BSI)
Ist Deutschland da überhaupt noch zu retten? Ist ein Security-Booster geplant? Laut Maik Wetzel bietet die Digitalisierung die Möglichkeit Kosten zu senken und eine sinnvolle Unterstützung für Ärzte und Pflegepersonal ist. Es ist aber auch so, dass durch die Digitalisierung die Komplexität in Krankenhäusern steigt. Alles ist vernetzt und dadurch entstehen auch Abhängigkeiten. Umso wichtiger wird dabei die Absicherung der Systeme.
Eine wichtige Maßnahme hier war das Krankenhauszukunftsgesetz. Die Bundesregierung hat den Digitalisierungsstau erkannt und ein Paket mit Fördermitteln in einem Umfang von 4,3 Milliarden Euro geschnürt. Das sollte die Motivation steigern, um die Digitalisierung zu beschleunigen.
Zudem gibt es in Deutschland einen starken Patientendatenschutz, der gewisse Mindeststandards zur Absicherung vorschreibt.
Zwischenfrage: Was für Mindeststandards gibt es?
Mindeststandards beschreiben die Integrität der Daten, das Vertrauen und ihre Verfügbarkeit. Überall im Krankenhaus gibt es Computer und IT-Systeme. Diese wachsen zusammen und müssen geschützt werden. Technische und organisatorische Verfahren sind wichtig, um hier den Schutz zu gewährleiten. Stichworte sind hier Verschlüsselung, Authentifizierung, Cloud-Sandboxing.
Konnten Krankenhäuser vom Zukunftsgesetz während der Pandemie überhaupt profitieren?
Für Nicolas Krämer sind die 3 Milliarden Euro vom Bund und 1,3 Milliarden Euro von den Ländern viel Geld. Aber durch den enormen Digitalisierungsstau ist es dennoch nur ein Tropfen auf den heißen Stein. Was seitens des Bundespolitik mit dem Krankenhauszukunftsgesetz beschlossen wurde, ist aber ein starkes Zeichen. Gerade in einer regulierten Branche wie das Gesundheitswesen ist es sinnvoll, dass der Staat diese Investitionen finanziert. In den letzten Jahren hat sich der Staat hier zurückgezogen.
Die Krankenhäuser nehmen das starke Signal zur Digitalisierung wahr. Aber sie müssen auch selbst Geld in die Hand nehmen, damit Deutschland den vorletzten 16. Platz beim Digital Health Index verlässt.
Die Bürokratie im Gesundheitswesen ist hoch und schlägt auch beim Krankenhauszukunftsgesetz voll durch. 2021 war das letzte Jahr der Antragsstellung. Das Gesetz wurde erst 2020 verabschiedet. Neben der Covid-Pandemie hatten die Einrichtungen somit auch viel zu tun, um das Verfahren zu bewältigen und die Anträge rechtzeitig zu stellen.
Bisher schätzt Nicolas, dass bis zum Januar 2022 erst eine Handvoll Anträge bewilligt wurden und es gibt rund 2.000 Krankenhäuser in Deutschland. Das ist ein Bürokratiemonster. Hier muss der Staat Gas geben.
IT-Sicherheitsstandards im Krankenhaus
Es gibt den branchenspezifischen Sicherheitsstandard B3S der Deutschen Krankenhausgesellschaft (DKG). (Quelle) Der Standard soll für die Verbesserung der IT-Sicherheit sorgen und einen Leitfaden geben. Hier hat sich laut Maik Wetzel auch einiges getan. Es gab immer schon bestimmte Vorgaben zum Stand der Technik, die ein gewisses Sicherheitsniveau gewährleistet haben. B3S geht hier einen Schritt weiter und geht auf die speziellen Anforderungen im Krankenhaus ein. Diese Prozesse werden dabei definiert und wie die IT-Bereiche bestmöglich geschützt werden. Die Versorgung der Patienten muss dabei stets sichergestellt sein. Aber ist das auch so möglich? Viele Untersuchungsgeräte im Krankenhaus haben alte Windows-Versionen installiert oder erfüllen moderne Sicherheitsanforderungen nicht mehr.
Nicolas Krämer betont, dass dies nicht ungewöhnlich ist. Diese Geräte dürfen dann nicht mit dem Internet verbunden werden. Hier erwähnt er die Anekdote, dass er im Gespräch mit zwei Geschäftsführern von Uni-Kliniken darauf hingewiesen wurde, dass das mit den alten Betriebssystem gar kein Problem sei, denn die Geräte bei ihnen im Haus arbeiten ausschließlich mit MS-DOS. Daher verwundert es nicht, dass Deutschland bei der Digitalisierung hinterherhinkt.
Der Umstieg bzw. die besondere Absicherung ist für Maik Wetzel in der Form machbar. Die Digitalisierung kommt aus seiner Sicht voran. Dabei muss die Angemessenheit der IT-Sicherheitsarchitektur im Blick bleiben und modernste Techniken wie Authentifizierung oder Verschlüsselung zum Einsatz kommen. Hierbei müssen auch die Mitarbeiter mitgenommen werden und im Zweifel Dienstleister hinzuziehen, die das eigene Personal unterstützen.
Schafft Deutschland den digitalen Anschluss im Gesundheitswesen?
Nicolas Krämer geht von einem steinigen und schweren Weg aus. Er bedient sich da dem Fußball und vergleicht die Situation mit den 2000er Jahren als der deutsche Fußball hinterlief aber die Weichen für die Zukunft gestellt wurden. Mit einem klaren Ziel vor Augen, wo das Krankenhauszukunftsgesetz ein starkes Signal darstellt, ist der Anschluss möglich.
Maik Wetzel sieht den Anschluss als große Herausforderung. Andere Länder, die vor Deutschland stehen, stellen die Digitalisierung nicht ein. Hier gilt es die Anstrengungen zu verstärken. Eine aktuelle Studie des Bitkom zur allgemeinen Digitalisierung in Deutschland sagt, dass die Ausgaben verdoppelt werden müssten, um zu den führenden Nationen aufzuschließen. Nur um nicht weiter zurückzufallen, müssten wir die Wachstumsraten um den Faktor zwei steigern. (Quelle)
Serviceteil: Was gilt es jetzt zu tun?
Wir haben Fragen formuliert, die sich Geschäftsführer und IT-Verantwortliche in Krankenhäusern stellen sollen, um Handlungsfelder im Bereich IT-Sicherheit zu identifizieren.
View all episodes
By ESET DACHImmer mehr Cyberattacken richten sich gegen Kliniken. Wie ist der Stand der Digitalisierung hier und wie sehen Lösungen aus?
In dieser Folge von WeTalkSecurity geht es um das Thema Digitalisierung in Krankenhäusern und im speziellen natürlich um die IT-Sicherheit. Angriffe auf Kliniken häufen sich und das Risiko eines Ausfalls steigt. Wie ist die Lage in Deutschland? Wie laufen solche Angriffe ab? Gibt es Lösungen? Thorsten Urbanski spricht hierüber mit Dr. Nicolas Krämer, Klinikgeschäftsführer der Hospital Management Group GmbH, und Maik Wetzel, Strategic Business Development Director DACH bei ESET.
Die Gäste
Zu Gast in der Folge ist zum einen Dr. Nicolas Krämer, Klinikgeschäftsführer der Hospital Management Group GmbH. Der Autor, Speaker und Krankenhausmanager Nicolas Krämer gilt bereits seit 2016 als Experte in den Bereichen Digitalisierung und IT-Sicherheit von Kliniken. Damals zeigte er sich als Krankenhausmanager des Lukaskrankenhauses in Neuss, das 2016 Opfer eines Ransomware-Angriffs wurde, als hervorragender Krisenmanager.
Der zweite Gast ist in dieser Folge Maik Wetzel, Strategic Business Development Director DACH bei ESET. Maik ist seit 2009 bei ESET. In seiner Funktion soll die Stellung des Unternehmens in bestimmten vertikalen Märkten ausbauen. Ein Fokus liegt hier insbesondere im Gesundheitswesen.
Wie läuft ein Cyberangriff auf ein Krankenhaus ab?
Nicolas Krämer war als Geschäftsführer eines Krankenhauses 2016 selber von einem Cyberangriff betroffen. Häufig fällt es gar nicht sofort auf, dass die Einrichtung angegriffen wurde. Zunächst starten bildgebende Geräte langsamer oder der OP-Plan stürzt ab. Absolute Gewissheit, dass etwas nicht stimmt, erhält man dann von den Erpressern, die eine Lösegeldforderung an das Krankenhaus stellen. Zum Teil kann man in Deutschland von Glück sprechen, dass der Digitalisierungsgrad von Kliniken so hoch ist, dass ein Offline-Modus im Ernstfall unmöglich wäre.
Zwischenfrage: Durch die Schwache Digitalisierung können Kliniken im IT-Notfall weiterarbeiten. Ist das Glück im Unglück?
Wenn alle Prozesse im Krankenhaus komplett digitalisiert ablaufen würden, hätten wir ein großes Problem. Nicolas nimmt das Beispiel eines modernen Passagierflugzeugs. Trotz aller Digitalisierung gibt es immer noch die Möglichkeit die Maschine manuell zu fliegen. Daher ist es auch in Kliniken ein Segen, dass es hier genauso geht. Im Ernstfall gehen einem Geschäftsführer dennoch alle Schreckensszenarien durch den Kopf. Man denkt an die Sicherheit der Patienten und ihrer Daten. Es kommt die Frage auf, ob nun alle Systeme heruntergefahren werden müssen, um die Ausbreitung des Virus zu unterbinden. Sollte die Polizei eingeschaltet werden? Und schlussendlich muss auch die Frage gestellt werden, ob ein IT-Notfallplan besteht.
Der Medizincampus Bodensee besteht aus zwei Krankenhäusern, die Uni-Klinik in Düsseldurf ist ein Maximalversorger. Beide Häuser sind für die medizinische Versorgung der Region von enormer Bedeutung. Diese Angriffe fanden parallel während der Bewältigung der Corona-Pandemie statt.
Angriffe auf Krankenhäuser haben zugenommen und es wird keine Rücksicht auf die aktuelle Pandemie genommen. Bei einem Umschalten von Automatik- auf Offline-Modus ändern sich Prozesse. Das Wichtigste und Beste in so einer Situation ist es die Systeme herunterzufahren und wieder auf Stift und Papier umzusteigen. Eine Pflegekraft oder ein Arzt sind in Deutschland rund vier Stunden pro Tag mit Dokumentation beschäftigt. (Quelle)
Der Aufwand ist mit Papier und Bleistift dann deutlich höher nach einem Cyberangriff.
Wo steht Deutschland bei der Digitalisierung im Gesundheitswesen?
Der Digital Health Index 2018 steht Deutschland im europäischen Vergleich auf dem vorletzten Platz. (Quelle) Zudem gibt es rund 24,3 Millionen Patientendatensätze sind frei im Netz zugänglich. (Quelle Lagebericht zur IT-Sicherheit 2020, BSI)
Ist Deutschland da überhaupt noch zu retten? Ist ein Security-Booster geplant? Laut Maik Wetzel bietet die Digitalisierung die Möglichkeit Kosten zu senken und eine sinnvolle Unterstützung für Ärzte und Pflegepersonal ist. Es ist aber auch so, dass durch die Digitalisierung die Komplexität in Krankenhäusern steigt. Alles ist vernetzt und dadurch entstehen auch Abhängigkeiten. Umso wichtiger wird dabei die Absicherung der Systeme.
Eine wichtige Maßnahme hier war das Krankenhauszukunftsgesetz. Die Bundesregierung hat den Digitalisierungsstau erkannt und ein Paket mit Fördermitteln in einem Umfang von 4,3 Milliarden Euro geschnürt. Das sollte die Motivation steigern, um die Digitalisierung zu beschleunigen.
Zudem gibt es in Deutschland einen starken Patientendatenschutz, der gewisse Mindeststandards zur Absicherung vorschreibt.
Zwischenfrage: Was für Mindeststandards gibt es?
Mindeststandards beschreiben die Integrität der Daten, das Vertrauen und ihre Verfügbarkeit. Überall im Krankenhaus gibt es Computer und IT-Systeme. Diese wachsen zusammen und müssen geschützt werden. Technische und organisatorische Verfahren sind wichtig, um hier den Schutz zu gewährleiten. Stichworte sind hier Verschlüsselung, Authentifizierung, Cloud-Sandboxing.
Konnten Krankenhäuser vom Zukunftsgesetz während der Pandemie überhaupt profitieren?
Für Nicolas Krämer sind die 3 Milliarden Euro vom Bund und 1,3 Milliarden Euro von den Ländern viel Geld. Aber durch den enormen Digitalisierungsstau ist es dennoch nur ein Tropfen auf den heißen Stein. Was seitens des Bundespolitik mit dem Krankenhauszukunftsgesetz beschlossen wurde, ist aber ein starkes Zeichen. Gerade in einer regulierten Branche wie das Gesundheitswesen ist es sinnvoll, dass der Staat diese Investitionen finanziert. In den letzten Jahren hat sich der Staat hier zurückgezogen.
Die Krankenhäuser nehmen das starke Signal zur Digitalisierung wahr. Aber sie müssen auch selbst Geld in die Hand nehmen, damit Deutschland den vorletzten 16. Platz beim Digital Health Index verlässt.
Die Bürokratie im Gesundheitswesen ist hoch und schlägt auch beim Krankenhauszukunftsgesetz voll durch. 2021 war das letzte Jahr der Antragsstellung. Das Gesetz wurde erst 2020 verabschiedet. Neben der Covid-Pandemie hatten die Einrichtungen somit auch viel zu tun, um das Verfahren zu bewältigen und die Anträge rechtzeitig zu stellen.
Bisher schätzt Nicolas, dass bis zum Januar 2022 erst eine Handvoll Anträge bewilligt wurden und es gibt rund 2.000 Krankenhäuser in Deutschland. Das ist ein Bürokratiemonster. Hier muss der Staat Gas geben.
IT-Sicherheitsstandards im Krankenhaus
Es gibt den branchenspezifischen Sicherheitsstandard B3S der Deutschen Krankenhausgesellschaft (DKG). (Quelle) Der Standard soll für die Verbesserung der IT-Sicherheit sorgen und einen Leitfaden geben. Hier hat sich laut Maik Wetzel auch einiges getan. Es gab immer schon bestimmte Vorgaben zum Stand der Technik, die ein gewisses Sicherheitsniveau gewährleistet haben. B3S geht hier einen Schritt weiter und geht auf die speziellen Anforderungen im Krankenhaus ein. Diese Prozesse werden dabei definiert und wie die IT-Bereiche bestmöglich geschützt werden. Die Versorgung der Patienten muss dabei stets sichergestellt sein. Aber ist das auch so möglich? Viele Untersuchungsgeräte im Krankenhaus haben alte Windows-Versionen installiert oder erfüllen moderne Sicherheitsanforderungen nicht mehr.
Nicolas Krämer betont, dass dies nicht ungewöhnlich ist. Diese Geräte dürfen dann nicht mit dem Internet verbunden werden. Hier erwähnt er die Anekdote, dass er im Gespräch mit zwei Geschäftsführern von Uni-Kliniken darauf hingewiesen wurde, dass das mit den alten Betriebssystem gar kein Problem sei, denn die Geräte bei ihnen im Haus arbeiten ausschließlich mit MS-DOS. Daher verwundert es nicht, dass Deutschland bei der Digitalisierung hinterherhinkt.
Der Umstieg bzw. die besondere Absicherung ist für Maik Wetzel in der Form machbar. Die Digitalisierung kommt aus seiner Sicht voran. Dabei muss die Angemessenheit der IT-Sicherheitsarchitektur im Blick bleiben und modernste Techniken wie Authentifizierung oder Verschlüsselung zum Einsatz kommen. Hierbei müssen auch die Mitarbeiter mitgenommen werden und im Zweifel Dienstleister hinzuziehen, die das eigene Personal unterstützen.
Schafft Deutschland den digitalen Anschluss im Gesundheitswesen?
Nicolas Krämer geht von einem steinigen und schweren Weg aus. Er bedient sich da dem Fußball und vergleicht die Situation mit den 2000er Jahren als der deutsche Fußball hinterlief aber die Weichen für die Zukunft gestellt wurden. Mit einem klaren Ziel vor Augen, wo das Krankenhauszukunftsgesetz ein starkes Signal darstellt, ist der Anschluss möglich.
Maik Wetzel sieht den Anschluss als große Herausforderung. Andere Länder, die vor Deutschland stehen, stellen die Digitalisierung nicht ein. Hier gilt es die Anstrengungen zu verstärken. Eine aktuelle Studie des Bitkom zur allgemeinen Digitalisierung in Deutschland sagt, dass die Ausgaben verdoppelt werden müssten, um zu den führenden Nationen aufzuschließen. Nur um nicht weiter zurückzufallen, müssten wir die Wachstumsraten um den Faktor zwei steigern. (Quelle)
Serviceteil: Was gilt es jetzt zu tun?
Wir haben Fragen formuliert, die sich Geschäftsführer und IT-Verantwortliche in Krankenhäusern stellen sollen, um Handlungsfelder im Bereich IT-Sicherheit zu identifizieren.
More shows like WeTalkSecurity - der ESET Podcast
View all
heiseshow
3 Listeners
KI-Update – ein heise-Podcast
3 Listeners
Passwort - der Podcast von heise security
3 Listeners