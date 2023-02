Kliniken sind oft im Visier von Cyberkriminellen. Eine neue Verordnung (KRITIS) soll das eigentlich ändern. Doch vielen Kliniken fehlt das Geld, mehr IT-Sicherheit auch umzusetzen.

Cyber-Angriff auf Krankenhaus

Das Beispiel des Krankenhauses in Neuss vom 10. Februar 2016 ist kein Einzelfall. Ein Computervirus legte knapp vier Wochen lang die Krankenhaus-IT lahm. Eine sogenannte „Ransomware“ nahm digitale Daten der Klinik als Geisel. Die Hacker forderten Lösegeld. Zur selben Zeit wurden weitere – fast ein Dutzend – Häuser in Nordrhein-Westfalen attackierten. Es ist zu befürchten, dass in Zukunft solche Attacken und Erpressungsversuche häufiger auftreten. Das IT-Sicherheitsgesetz und die dazugehörige KRITIS-Rechtsverordnung soll nun unsere kritische Infrastruktur im Gesundheitswesen schützen.

IT-Sicherheitsgesetz nimmt endlich konkrete Formen an

Das im Sommer 2016 beschlossene IT-Sicherheitsgesetz der Bundesregierung soll kritische Infrastruktur - wie etwa Krankenhäuser - vor Angriffen krimineller Hacker schützen. Es soll sicherstellen, dass Notfallversorgung auch in Krisenzeiten erhalten bleibt. Das zuständigen Bundesinnenministerium und seine Bundesbehörde BSI hat am 30. Juli 2017 die Rechtsverortung für schätzungsweise 110 größere Krankenhäuser erlassen und regelt IT-Standards für diese. Anfang dieses Jahrs endete die Übergangszeit.

Der Schwellenwert steht – die Finanzierung ist aber noch unklar

Federführend für die Formulierung der Verordnung ist das BSI (Bundesamt für Sicherheit in der Informationstechnik). Die Bundesbehörde hat bereits einen Branchen-Arbeitskreis UP KRITIS eingerichtet, die bei der Erarbeitung der Verordnung praxisnah mitgeholfen hat. Der Schwellenwert liegt bei Kliniken die 30.000 stationäre Fälle oder mehr im Jahr haben. Bis Ende Anfang dieses Jahrs wird die genaue Anzahl der Häuser ermittelt. Der Branchenarbeitskreis Medizinische Versorgung gibt zusätzlich Handlungsempfehlungen heraus. Auch eine Kontaktstelle beim BSI wurde eingerichtet. Doch noch ist eine wichtige Frage offen: die Finanzierung.

Geplanter Prüfaufwand macht die Verordnung teuer

Hohe Kosten entstehen für die betroffenen Häuser dadurch, dass sie sich alle zwei Jahre einer aufwendigen Prüfung unterziehen müssen. Externe Prüfer werden dann die IT Anlagen und Hacker-Abwehreinrichtungen auf Herz und Nieren untersuchen. Die Befürchtungen dieser Kliniken sind, dass sie die Prüfer und auch eventuelle nötige Verbesserung ihrer Anlagen alleine zu bezahlen haben. Die Landeskrankenhausgesellschaften sind zu den möglichen Kosten dazu im Gespräch mit den betroffenen Häusern, es ist anzunehmen, dass diese LKG über die übergeordnete Deutsche Krankenhausgesellschaft DKG dazu einen Dialog mit den Verantwortlichen aus der Politik suchen.

IT-Sicherheitsgesetz ist erster Baustein für das E-Health-Gesetz

Das IT-Sicherheitsgesetz ist auch ein Gradmesser für die Fähigkeit der Bundesregierung den Bereich Gesundheit fit für die digitale Zukunft zu machen. Denn der nächste große Schritt steht schon seit Jahren in den Startlöchern: die digitale Patienten-Akte in Form der elektronischen Gesundheitskarte. Mit dem E-Health-Gesetz, das dies regelt müssen alle Beteiligten wie Arztpraxen, Kliniken und Labore mit einer besonders sicheren Datenleitung vernetzt werden. Dadurch wir das IT-System im Gesundheitswesen kleinteiliger und schwerer zu kontrollieren. Sollte nicht bald Schwung in die Planung kommen, dann droht ein Flickenteppich an verschiedenen und womöglich konkurrierenden Varianten für die digitale Patienten-Akte. Denn die Zukunft wartet nicht auf staatliche Regelungen.

Ransomware (Erpressungsprogramm)

Dabei handelt es sich um Verschlüsselungs- oder Erpressungstrojaner und sind Schadprogramme, sogenannte „Malware“. Sie können in „.zip“ und anderen Dateien durch ungeprüftes Öffnen auf den Computer gelangen. Das Ransomware-Virus verschlüsselt Daten auf dem befallenen Computer. Für die Entschlüsselung oder Freigabe der verschlüsselten Daten fordern die die kriminellen Urheber „Lösegeld“.

Tipps für ein gutes Passwort (Quelle BSI)



Es sollte mindestens acht Zeichen lang sein, je länger desto besser.

(Ausnahme: Bei Verschlüsselungsverfahren wie zum Beispiel WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren – das geht zum Beispiel beim Hacken von Online-Accounts nicht.)



Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.



Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.

Wenn möglich sollte es nicht in Wörterbüchern vorkommen.



Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd und so weiter.



Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.



Nutzen Sie einen Passwortmanager, um möglichst komplexe Passwörter gut verwalten zu können.



Bitte beachten Sie: Wenn Ihr System Umlaute zulässt, bedenken Sie bei Reisen ins Ausland, dass auf landestypischen Tastaturen diese eventuell nicht eingegeben werden können.