Cybersecurity im Gesundheitsbereich


Mittlerweile vergeht kein Tag, an dem in den Tagesmedien nicht über Angriffe von Hackern berichtet wird. Datendiebstahl und Erpressung sind konkrete Gefahren, die moderne Unternehmen empfindlich treffen können.



Marc Ruef*

Dass der Gesundheitsbereich von diesen Gefahren nicht verschont bleiben würde, wagte eigentlich niemand zu bezweifeln. Und in der Tat entdecken Cyberkriminelle zunehmend Krankenhäuser und Arztpraxen als lohnende Ziele. Gestohlene Patientendaten können im Darknet verkauft werden. Simple Daten wie Name, Anschrift und Geburtsdatum werden für rund 8 US-Dollar gehandelt. Für umfangreiche Patienteninformationen wird dann schon eher um die 500 Dollar eingesetzt. Ein echter Markt für Schweizer Patientendaten existiert nicht. Noch nicht. Doch nicht nur Datendiebstahl ist eine konkrete Gefahr, sondern auch Erpressung durch sogenannte «Ransomware». Bei dieser speziellen Form von Malware werden die legitimen Daten einer Organisation plötzlich verschlüsselt. Der Zugriff bleibt damit vorerst nicht mehr möglich. Erst wenn eine «Lösegeldsumme» an den Ransomware-Entwickler gezahlt wird, werden die Daten wieder entschlüsselt. Hat man sich eine solche Ransomware eingefangen, kann das sehr schnell sehr teuer werden. Und wenn man zu lange wartet, können die nicht mehr zugänglichen Daten eventuell fatale Folgen haben. Dies hat die weltweite Infektion der Ransomware «WannaCry» eindrücklich aufgezeigt.


Der Gesundheitsbereich verbessert sich
Im Gesundheitsbereich hat man gemerkt, dass man hier nicht mehr nur einfach zuschauen und hoffen darf. Durch neue Geschäftsfelder wie M-Health oder das elektronische Patientendossier wird das Thema Cybersecurity plötzlich sehr akut in den Mittelpunkt gerückt. Und dies ist auch dringendst nötig. Einerseits muss man sich um all die Geräte kümmern, die in den administrativen Bereichen eingesetzt werden. Hier unterscheiden sich die Anforderungen nicht gross von denen eines jeden anderen Unternehmens: Arbeitsplatzrechner, Server, VPN-Gateways, Firewalls, Drucker – alles, was man heutzutage braucht.

In einem ersten Schritt müssen diese Systeme solid aufgesetzt und konfiguriert werden. Durch ein sogenanntes «Härten» (engl. Hardening) wird die Angriffsfläche reduziert. Indem zum Beispiel vorgängig Patches installiert, nicht mehr benötigte Komponenten deaktiviert und Antiviren-Lösungen etabliert werden. Ein solches Härten hat einer Richtlinie zu folgen, die generisch und/oder für Spezialsysteme definiert wird. Dadurch kann ein einheitlicher Sicherheitsstandard in der Umgebung etabliert werden.

In einem weiteren Schritt müssen die Systeme fortwährend gewartet werden. Sobald neue Schwachstellen bekannt werden, müssen diese bewertet und zu grossem Risiko adressiert werden. In den meisten Fällen reicht wiederum das Einspielen eines Patches oder einer neuen Software-Version. In Ausnahmen können komplementäre Massnahmen, wie zum Beispiel das Einbinden einer Firewall-Lösung, erforderlich werden.


Herausforderung Medizingeräte


Dieser sichere Lebenszyklus von Computersystemen wurde in den letzten 25 Jahren gut erforscht und kann mittlerweile wirtschaftlich und effizient gelebt werden. Ein bisschen komplizierter wird es dann, wenn man jene Geräte betrachtet, die hauptsächlich für den medizinischen Einsatz vorgesehen sind. Also Arbeitsplatzrechner, die sich zum Beispiel in einem Untersuchungszimmer finden. Da diese physisch exponiert sind, eine Spezialaufgabe erfüllen und mit sehr heiklen Daten umgehen müssen, ist hier besondere Sorgfalt aufzubringen. Die Anforderungen werden höher sein. Und die Komplexität sowie Individualität der Systeme wird nicht mehr mit einfachen Standardlösungen zurechtkommen. Genauso in Bezug auf Medizinalgeräte. Diese werden gut und gerne unterschätzt. Oftmals werden sie nicht als Computer wahrgenommen, die ebenfalls gehackt und mit Viren infiziert werden können. Die Bedienung sieht anders aus, manchmal haben sie zum Beispiel keine Tastatur. Doch allen Endes sind sie genauso Computer. Viele von ihnen basieren gar auf klassischen Betriebssystemen, wie zum Beispiel Windows oder Linux. Die Hersteller dieser Geräte sind aber darum bemüht, diese offensichtliche Einsicht nicht direkt offenzulegen. Aus diesem Grund wirken viele Medizinalgeräte nicht so, wie sie eigentlich sind.

Dass sich solche Geräte manipulieren lassen, wurde in der Vergangenheit immer wieder bewiesen. Im Rahmen von Sicherheitsprüfungen, die wir für verschiedene Krankenhäuser und Gerätehersteller durchgeführt haben, haben sich teilweise haarsträubende Schwachstellen aufgetan. Die Einflussnahme auf Dosisabgaben oder das Beeinflussen der angezeigten Vitaldaten sind nur zwei Beispiele, die einem zu denken geben. Die Gerätehersteller möchten am liebsten nichts von diesen Problemen wissen. Denn sie müssten mit Patches oder Updates nachbessern. Das kostet zusätzlichen Entwicklungsaufwand. Zudem würden die bestehenden Geräte ihre Marktzulassung verlieren, die aufwendig und kostenintensiv nachgeholt werden müsste. Hier besteht ganz klar ein Interessenskonflikt, in dem schlussendlich der Patient in jedem Fall das Nachsehen hat.

Wir empfehlen, dass schon vor Anschaffung der Geräte der Umgang mit Schwachstellen durch den Hersteller vertraglich geregelt wird. Er muss schon hier in die Pflicht genommen werden, die bestmögliche Qualität liefern zu können. Falls er dann doch nicht mithelfen will, das Problem zu lösen, können eigenmächtige Massnahmen angestrebt werden, bis eine permanente Lösung gefunden werden kann. Zum Beispiel können betroffene Geräte in einer dedizierten Netzwerkzone gesammelt werden, um bei einer Viren-Infektion die Ausbreitung auf andere Bereiche einzuschränken. Dies gilt es individuell anzuschauen und die damit einhergehenden Aufwände zu verstehen.

Fazit
Cybersecurity ist ein Thema, das zwingend Teil einer hochtechnologisierten Gesellschaft sein muss. Computerkriminalität gehört unweigerlich zum heutigen Leben. Dessen muss man sich bewusst sein, die Gefahren identifizieren, um Risiken reduzieren zu können. Im Gesundheitsbereich hat man da vielerorts noch aufzuholen. Dies ist man den Daten der eigenen Mitarbeiter und der Gesundheit der Patienten schuldig.

*Mitinhaber und Head of Research, scip AG



Heime und Spitäler Ausgabe 3 August 2017

EVENTS

IN.STAND

Die Messe für Instandhaltung und Services

Datum: 08.-09. Oktober 2024

Ort: Stuttgart (D)

Chillventa

Weltleitmesse der Kältetechnik

Datum: 08.-10. Oktober 2024

Ort: Nürnberg (D)

Blezinger Healthcare

14. Fachkonferenz – Das Spital der Zukunft

Datum: 10.-12. Oktober 2024

Ort: Bern (CH)

SIAL

Fachmesse für Nahrungsmittel-Innovationen

Datum: 19.-23. Oktober 2024

Ort: Paris (F)

ZAGG

DER BRANCHENTREFFPUNKT MIT RELEVANTEN GASTRO-TRENDS

Datum: 20.-23. Oktober 2024

Ort: Luzern (CH)

IFAS

Fachmesse für den Gesundheitsmarkt

Datum: 22.-24. Oktober 2024

Ort: Zürich (CH)

Swiss Nurse Leaders - Jubiläumskongress

Unter dem Titel «How to eat an elephant – 360° of Leadership & Management in Nursing» steht im Kongressprogramm unsere Profession als Pflegekader im Zentrum.

Datum: 24.-25. Oktober 2024

Ort: Lugano (CH)

Food Packaging Forum (FPF)

Achieving safe and sustainable food packaging: Where are we now?

Datum: 28. Oktober 2024

Ort: Zürich (CH)

Kommunikations-Summit

Entdecken Sie am Kommunikations Summit eine Welt, in der Marketing im Gesundheitssektor neu definiert wird.

Datum: 29. Oktober 2024

Ort: Zürich (CH)

ALL4PACK EMBALLAGE

The global marketplace for Packaging Processing Printing Handling

Datum: 04.-07. November 2024

Ort: Paris (F)

Texcare International

Das Zentrum der globalen Wäscherei-, Reinigungs- und Textilservicebranche.

Datum: 06.-09. November 2024

Ort: Frankfurt am Main (D)

SVG-Symposium

Impulse und Gespräche

Datum: 06. November 2024

Ort: Zürich (CH)

5. Future Food Symposium

 «Made in Switzerland - Gute Partnerschaften für mehr Ernährungssouveränität»

Datum: 08. Februar 2024

Ort: Online-Event (CH)

Medica

Die Weltleitmesse der Medizinbranche

Datum: 11.-14. November 2024

Ort: Düsseldorf (D)

St. Galler Demenz-Kongress

«Dementia Care im Wandel der Zeit – Weiterdenken erwünscht?»

Datum: 13. November 2024

Ort: St.Gallen (CH)

AUTOMA+

Pharmaceutical Automation and Digitalisation Congress 2024

Datum: 18.-19. November 2024

Ort: Zürich (CH)

Swiss Abilities

Die Messe mit Impulsen für ein selbstbestimmtes Leben.

Datum: 29.-30. November 2024

Ort: Luzern (CH)

Heimtextil

Weltweit führende Fachmesse für Wohn- und Objekttextilien

Datum: 14.-17. Januar 2025

Ort: Frankfurt am Main (D)

Empack Schweiz

The Future of Packaging Technology

Datum: 22.-23. Januar 2025

Ort: Zürich (CH)

LOGISTICS & AUTOMATION

Schweizer Fachmesse für Logistik und Transport

Datum: 22.-23. Januar 2025

Ort: Zürich (CH)

Pro Sweets Cologne

Internationale Zulieferer der Snack- und Süsswarenbranche

Datum: 02.-05. Februar 2025

Ort: Köln (D)

BioFach

Weltleitmesse für Bio-Lebensmittel

Datum: 11.-14. Februar 2025

Ort: Nürnberg (D)

Vivaness

Internationale Fachmesse für Naturkosmetik

Datum: 11.-14. Februar 2025

Ort: Nürnberg (D)

HealthEXPO

Gesundheit, New Health Care und Zukunftsform

Datum: 22. Februar 2025

Ort: Basel (CH)

LOPEC

International führende Fachmesse mit Kongress für gedruckte Elektronik

Datum: 25.-27. Februar 2025

Ort: München (D)

ZHAW-IFM Day

Der IFM-Day der ZHAW findet als Begegnungstag für FM-Ausbildung und FM-Praxis statt.

Datum: 07. März 2025

Ort: Wädenswil (CH)

LogiMat

Internationale Fachmesse für Intralogistik

Datum: 11.-13. März 2025

Ort: Stuttgart (D)

INTERNORGA

Leitmesse für den Ausser-Haus-Markt

Datum: 14.-18. März 2025

Ort: Hamburg (D)

Pro Wein

Internationale Fachmesse für Weine und Spirituosen

Datum: 16.-18. März 2025

Ort: Düsseldorf (D)

Additive Manufacturing Forum

Die Entscheider- und Expertenkonferenz bringt das gesamte Wertschöpfungssystem rund um die additive Fertigung zusammen.

Datum: 17.-18. März 2025

Ort: Berlin (D)

Gastia

Die Fach- und Erlebnismesse für Gastfreundschaft

Datum: 23.-25. März 2025

Ort: St.Gallen (CH)

HR Festival Europe

Fachmesse für HRM, trainings to business und Corporate Health

Datum: 25.-26. März 2025

Ort: Zürich (CH)

Trendtage Gesundheit Luzern

Die TGL sind die führende nationale Plattform für Trends und Perspektiven im Gesundheitswesen.

Datum: 26.-27. März 2025

Ort: Luzern (CH)

SWISS eHEALTH FORUM

Pusher der Digitalisierung im Gesundheitswesen

Datum: 27. - 28. März 2025

Ort: Bern (CH)

Hannover Messe

Transfoming Industry Togheter

Datum: 31. März.-04. April 2025

Ort: Hannover (D)

FutureHealth Basel

Accelerating the healthcare system

Datum: 07. April 2025

Ort: Basel (CH)

Altenpflegemesse

Leitmesse für die Pflegewirtschaft

Datum: 08.-10. April 2025

Ort: Nürnberg (D)

DMEA

Connecting Digital Health

Datum: 08.-10. April 2025

Ort: Berlin (D)

Lebensmitteltag

Die führende schweizerische Lebensmittelfachtagung von bio.inspecta und SQS

Datum: 10. April 2025

Ort: Luzern (CH)

Schoggifestival

Das Schoggifestival geht in die dritte Runde!

Datum: 12.-13. April 2025

Ort: Zürich (CH)

TUTTOFOOD

Internationale B2B-Messe für Food & Beverage

Datum: 05.-08. Mai 2025

Ort: Mailand (I)

Control

Internationale Fachmesse für Qualitätssicherung

Datum: 06.-09. Mai 2025

Ort: Stuttgart (D)

SBK Kongress

Kongress vom Berufsverband der diplomierten Pflegefachpersonen der Schweiz

Datum: 07.-08. Mai 2025

Ort: Bern (CH)

ICV Gesundheitstagung Schweiz

Controlling im Spannungsfeld von Innovation, Kostenmanagement und digitaler Transformation.

Datum: 13. Mai 2025

Ort: St. Gallen (CH)

LABVOLUTION

Europäische Fachmesse für innovative Laborausstattung und die Optimierung von Labor-Workflows

Datum: 20.-22. Mai 2025

Ort: Hannover (D)

Vorsorge-Symposium

Fachmesse 2. Säule sowie ein Vorsorge-Symposium

Datum: 04.-05. Juni 2025

Ort: Zürich (CH)

Swiss Medtech

Mastering Complexity

Datum: 25. Juni 2025

Ort: Bern (CH)

Automatica

Die Leitmesse für intelligente Automation und Robotik

Datum: 24.-27. Juni 2025

Ort: München (D)

Swiss Medtech Expo

Fachmesse und Symposium: Inspiration, Weiterbildung und Netzwerk

Datum: 09.-10. September 2025

Ort: Luzern (CH)

AM Expo

Fachmesse und Symposium: Inspiration, Weiterbildung und Netzwerk

Datum: 09.-10. September 2025

Ort: Luzern (CH)

Ilmac

Fachmesse für Prozess- und Labortechnologie

Datum: 16.-18. September 2025

Ort: Basel (CH)

CMS Berlin

Internationale Leitmesse für Reinigung und Hygiene

Datum: 23.-26. September 2025

Ort: Berlin (D)

POWTECH

Pharma.Manufacturing.Excellence

Datum: 23.-25. September 2025

Ort: Nürnberg (D)

Anuga

Weltweite Ernährungsmesse für Handel und Gastronomie/Ausser-Haus-Markt

Datum: 04.-08. Oktober 2025

Ort: Köln (D)

A + A

Messe und Kongress für Arbeitsschutz und Arbeitssicherheit

Datum: 04.-07. November 2025

Ort: Düsseldorf (D)

igeho

Internationale Branchenplattform für Hotellerie, Gastronomie, Take-away und Care

Datum: 15.-19. November 2025

Ort: Basel (CH)

maintenance Schweiz

Schweizer Fachmesse für industrielle Instandhaltung und Facility Management

Datum: 26.-27. November 2025

Ort: Zürich (CH)

Pumps & Valves

Die Fachmesse für industrielle Pumpen, Armaturen & Prozesse

Datum: 26.-27. November 2025

Ort: Zürich (CH)

Swissbau

Führende Plattform der Bau- und Immobilienwirtschaft

Datum: 20.-23. Januar 2026

Ort: Basel (CH)

aqua pro

B2B-Plattform in der Schweiz für Fachkräfte des globalen Wasserkreislaufs

Datum: 04.-06. Februar 2026

Ort: Bulle (CH)

analytica

Weltleitmesse für Labortechnik, Analytik, Biotechnologie und analytica conference

Datum: 24.-27. März 2026

Ort: München (D)

PFLEGE PLUS

Die Fachmesse PFLEGE PLUS bringt Fachbesucher mit ausstellenden Unternehmen, Branchenverbände sowie Experten des Pflegemarkts zusammen.

Datum: 05.-07. Mai 2026

Ort: Stuttgart (D)

interpack

Führende Messe für Prozesse und Verpackung

Datum: 07.-13. Mai 2026

Ort: Düsseldorf (D)

ArbeitsSicherheit Schweiz

Fachmesse für Arbeitssicherheit, Gesundheitsschutz und Gesundheitsförderung am Arbeitsplatz

Datum: 20.-21. Mai 2026

Ort: Zürich (CH)

MedtecLIVE with T4M

Fachmesse für die gesamte Wertschöpfungskette der Medizintechnik

Datum: 05.-07. Juni 2026

Ort: Stuttgart (D)

all about automation

Fachmesse für Industrieautomation

Datum: 26.-27. August 2026

Ort: Zürich (CH)

Anuga FoodTec

Internationale Zuliefermesse für die Lebensmittel- und Getränkeindustrie

Datum: 23.-26. März 2027

Ort: Köln (D)

Achema

Internationale Leitmesse der Prozessindustrie

Datum: 14.-18. Juni 2027

Ort: Frankfurt am Main (D)

drupa

Weltweit führende Fachmesse für Drucktechnologien

Datum: 2028

Ort: Düsseldorf (D)

Bezugsquellenverzeichnis