Vorstände und IT-Sicherheitsbeauftragte von 120 Kliniken in Deutschland träumen mittlerweile bestimmt vom Begriff KRITIS. Sie sind für die Krankenhäuser verantwortlich, die mehr als 30.000 vollstationäre Fälle pro Jahr behandeln und damit seit Juli 2019 besondere IT-Sicherheitsstandards nachweisen müssen. Hier einige Erfahrungen aus unseren Projekten, wo der KRITIS-Schuh in Kliniken besonders drückt.

Viele Kliniken werden voraussichtlich über den Stichtag 30. Juli 2019 hinaus Nachbesserungen an ihrer IT-und Informationssicherheit durchführen. Das liegt auch an zwei Besonderheiten, die KRITIS-Projekte in Krankenhäusern im Vergleich zu anderen KRITIS-Sektoren wie z.B. den Energieversorgern erschweren:

1. Medizintechnik ist auch IT
   Auf 10.000 Krankenhauscomputer und Server kommen nicht selten 50.000 medizinische Geräte. Letztere lagen bis vor kurzem in der Verantwortung von Medizintechnikern bzw. Ingenieuren. Für diese Gruppe bedeutet Sicherheit in erster Linie, dass die Geräte keine Patienten und kein Klinikpersonal verletzen, der Fokus also klar auf Safety und Funktion liegt, und weniger, dass niemand die Geräte „hacked“ und die Kontrolle übernimmt. Dieses neue Denken von Safty zu Security ist noch nicht überall anzutreffen – auch nicht bei Herstellern der Computertomografen und Hightech-Operationsgeräten. Sehr kurze nummerische Passwörter, fehlende Update-Möglichkeiten bei Sicherheitsproblemen und ein fehlendes zentrales Management sind in der klassischen IT längst abgestellt, nicht jedoch im medizinischen Bereich.
2. Physische Sicherheit in Kliniken
   Informationssicherheit basiert zu einem nicht unrelevanten Teil auf physischer Sicherheit – denn vor allem dort, wo potentielle Angreifer physisch an Geräte und Schnittstellen herankommen, ist eine ganze Vielfalt an Sicherheitsmaßnahmen vollständig umzusetzen. Sicherheitsbereiche und Zutrittskontrollen lassen sich in „normalen“ Unternehmen sehr gut umsetzen, denn es gibt klar definierte Zonen, in denen sich Besucher, Kunden und weitere Externe aufhalten sollen. Der Großteil des Unternehmens ist nur für Mitarbeiter erreichbar. Terminals und Computer bekommen Externe ohne Begleitung kaum zu sehen. In einem Klinikum ist es genau anders herum: Besucher und Patienten sind (fast) überall anzutreffen, und überall stehen vernetzte Geräte. Ein realer und nach der reinen ISO-Lehre eigentlich nötiger physischer Schutz der Technikräume, Geräte und IT-Komponenten ist in Kliniken in den seltensten Fällen vorhanden und häufig auch kaum realisierbar.

KRITIS steckt im Detail

Beide Besonderheiten zeigen: KRITIS ist weit mehr als ein IT-Thema, es ist ein riesiger Lernprozess. Das bedeutet auch, keine Abteilung bei den Überlegungen außen vor zu lassen – selbst wenn man initial gar nicht erwartet, dass auch solche dezentralen und z.T. wenig IT-lastigen Bereiche KRITISch sein können:

Die Entsorgung klinischer Abfälle ist beispielsweise ebenso ein Fall für den KRITIS-Verantwortlichen – denn wenn diese Entsorgung zusammenbricht, dann werden die vorgelagerten Bereiche, z.B. die OPs, in Abhängigkeit von den temporären Lagermöglichkeiten solcher Abfälle nach wenigen Stunden oder Tagen aus Hygienegründen nicht mehr arbeitsfähig sein.

Gleiches gilt für die Pathologie, die sich mitnichten nur um bereits verstorbene Patienten kümmert. Die Ergebnisse so genannter Schnellschnitte für Gewebeproben während laufender Operationen werden dem OP-Arzt elektronisch übermittelt und sind für die weitere OP äußerst kritisch.

Eine weitere nicht zu vergessene KRITIS-Baustelle sind Bestellsysteme für Essen. Kliniken erfassen zwar Standard-Gerichte als Teil der Notfallversorgung, Spezialgerichte zum Teil jedoch nicht. Viele Kliniken haben hier auf IT-gestützte Systeme sowie oft auf externe Dienstleister umgestellt. Brechen diese Bestellsysteme zusammen oder werden sie manipuliert ist eine grundsätzliche Versorgung zwar immer sichergestellt, aber Manipulationen bei Spezialessen bezüglich Allergien, Schonkost oder speziellen Diäten können sehr schnell negative Auswirkungen auf den Behandlungsprozess haben – und genau damit fallen dann auch solche Systeme unter KRITIS.

Nicht zuletzt wird auch das Transportwesen gerne aus dem KRITIS Scope ausgeblendet. Dabei ist die Bewegung und Verlegung der Patienten in- und außerhalb des Klinikums ein elementarer Teil der Versorgung und des Behandlungsprozesses und muss sicher geregelt sein.

Audit lessons learned

Die Ergebnisse aus bereits durchgeführten Audits bei mehreren unserer KRITIS-Kunden zeigen, dass sich die Kliniken auch in den nächsten Monaten und z.T. Jahren um das Verbessern diverser Abläufe und technischer Anlagen kümmern müssen. Drei Bereiche fielen in nahezu jedem Audit auf verdienen besonderes Augenmerk:

1. Prozesse
   Ganz wichtig sind klar definierte Ein-/Austrittsprozesse für das gesamte Klinikum. Gefordert ist hier die Personalabteilung, zusammen mit der IT, der Schlüssel- und Zutrittsverwaltung sowie dem Datenschutzbeauftragten, um sicherzustellen, dass diese Grundlage für alle Authentifizierungs- und Autorisierungsprozesse solide ist. Dazu kommt die Anpassung der Einkaufsprozesse. Es sollte klar geregelt sein, dass und wie ein neues Gerät adäquat beschafft und gleichzeitig abgesichert ist bzw. werden kann. Das vermeidet riskantes und aufwändiges „Nachflicken“ nach jeder Beschaffung. Einkauf, IT, Medizintechnik sowie Haus- und Gebäudeleittechnik sollten hierbei eng zusammenarbeiten.
2. Technik
   Remote Access, vor allem die Fernwartung von Geräten durch Drittfirmen, ist ein sehr kritischer Zutrittspunkt in das Klinik-Netzwerk. Hier existiert oft ein ziemlicher „Wildwuchs“, so dass häufig mit größerem Aufwand zur Herstellung einer KRITIS-Konformität zu rechnen ist. Es beginnt mit dem Aufstellen adäquater Anforderungen (Session-Aufzeichnung, Freischaltung der Fernwartenden, Vier-Augen-Prinzip etc.) und endet mit der Evaluierung, Auswahl und Implementierung einer Lösung.
3. Klinisches Kontinuitätsmanagement (KKM)
   Viele Kliniken besitzen zwar Notfallprozesse, die auch funktionieren und trainiert werden. Dazu zählen die Notstromversorgung, die Bildung eines Krisenstabs oder die Verlagerung von Prozessen in andere Kliniken. Das KKM fokussiert jedoch darauf, den normalen Klinikbetrieb schnell und verlässlich wiederherzustellen – die Notfallprozesse also so kurz wie möglich zu halten. Die dafür nötigen Wiederanlaufpläne, eine Priorisierung sowie die Formalisierung des Kontinuitätsmanagements sind häufig nur rudimentär oder stark verstreut vorhanden.

Resümee

Dieser Blog-Post gibt einen kleinen Einblick in die Dinge, mit denen sich die aktuell zirka 120 KRITIS-Kliniken beschäftigen. Diese Dinge und Themen sind aber nicht nur für KRITIS-Kliniken relevant, sondern sind und werden auch für die restlichen rund 1.800 Kliniken in Deutschland wichtig. Aktuell noch als „Best Practice“, mittel- und langfristig aber auch verbindlich, da der Gesetzgeber die Schwellwerte (Anzahl der stationären Fälle) für KRITIS sukzessiv anpassen wird, so dass es jedes Jahr mehr KRITIS-Kliniken geben wird.

Foto: Getty Images / everythingpossible