13. Mai 2022
MITSICHERHEIT.NRW: Krankenhäuser rüsten gegen Hacker auf
Förderprojekt mit Vorbildcharakter zur IT-Sicherheit in Krankenhäusern abgeschlossen
Cyberangriffe auf nordrhein-westfälische Krankenhäuser machen nicht bei der Informations- und Netzwerktechnik Halt, sie bedrohen insbesondere auch ihre Medizingeräte. Zum Schutz der sensiblen Daten und zur Vermeidung unberechtigter Zugriffe gründeten sechs Partner das Förderprojekt MITSicherheit.NRW. Zwischen 2019 und 2021 erprobten unter der Leitung von MedEcon Ruhr die Unternehmen G DATA Advanced Analytics, Visus Health IT und radprax Gesellschaft für medizinische Versorgungszentren sowie die Ruhr-Universität Bochum und die FH Münster gemeinsam mit der Krankenhausgesellschaft Nordrhein-Westfalen (KGNW) neue Sicherheitsprodukte und -dienstleistungen für die rund 340 NRW-Krankenhäuser. Dabei untersuchten sie die genutzte Informations- und vernetzbare Medizintechnik in abgeschlossener, sicherer Laborumgebung auf mögliche Schwachstellen und erstellten neue Instrumente zur Verbesserung der medizinischen IT-Strukturen in Krankenhäusern. Die EU und das Land NRW förderten das Projekt mit 1,7 Millionen Euro. Weiterhin flossen Eigenmittel.
Inzwischen ist das Projekt erfolgreich beendet. Bei der Abschlussveranstaltung am 2. Mai 2022 in Bochum hob der anwesende Minister für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen, Prof. Dr. Andreas Pinkwart (auf dem Gruppenbild in der Mitte), hervor: „Für Patienten auf der Intensivstation bedeutet ein Cyberangriff mehr als nur der Zugriff auf persönliche Daten. Ein solcher Angriff kann lebensbedrohend sein, daher müssen wir dringend Vorsorge treffen, um im Fall der Fälle vorbereitet zu sein.“
Im Detail: Für die Medizin-IT-Industrie erarbeiteten die Projektbeteiligten die Testumgebung „MedFUZZ“, einen Fuzzer für die medizinischen Protokolle DICOM und HL7. Sie ermöglicht den Unternehmen eine Prüfung auf Sicherheitslücken oder Instabilitäten der eigenen Software. Speziell für die IT-Abteilungen der Krankenhäuser ist der neue Scanner „MedVAS“ entwickelt worden. Er durchsucht die Krankenhausstrukturen bei laufendem Betrieb auf mögliche Verwundbarkeit und bezieht die Ergebnisse aus den MedFUZZ Softwaretests ein.
Für Burkhard Fischer (Foto), Referatsleiter „Qualitätsmanagement, IT und Datenanalyse“ der KGNW, stellt das Projekt einen Meilenstein dar: „Für die IT-Sicherheit unserer nordrhein-westfälischen Krankenhäuser ist das Erkennen möglicher Schwachstellen, bevor ein Angriff erfolgen kann, essenziell. Daher erfüllt das Projekt Vorbildcharakter für das gesamte Gesundheitswesen in Nordrhein-Westfalen und darf nur den Auftakt für eine Verstetigung, auch nach Ende der Förderung, darstellen.“
Bereits während der Projektphase identifizierten die IT-Expertinnen und -Experten über den „Large Scale Scanner“ zahlreiche Angriffspunkte für Angriffe aus dem Internet. Diese beruhten auf fehlerhaften Konfigurationen in der Datenkommunikation mit Partnereinrichtungen oder mit Patientinnen und Patienten. Über die Kooperation mit den zuständigen Behörden ließen sich mehrere hundert konkrete Sicherheitslücken schließen. Damit verbesserte sich das Sicherheitsniveau der NRW Gesundheitswirtschaft insgesamt.
Eine umfangreiche Studie zur IT-Sicherheit der NRW-Krankenhäuser diente als Grundlage für die Entwicklung der Instrumente. Basis bildete die Auswertung einer umfangreichen Befragung von rund zehn Prozent der nordrhein-westfälischen Krankenhäuser. Die Studie gibt darüber hinaus direkte Empfehlungen an die Kliniken, um ihren eigenen Sicherheitslevel zu erhöhen:
- Verstetigung von IT-Sicherheitsbudgets
- Etablierung einer/eines Informationssicherheitsbeauftragte/-n
- Qualifizierung des Personals
- Einführung eines Informationssicherheitsmanagementsystems (ISMS)
- Installation eines Notfallmanagements
- Durchführung von Awareness-Schulungen
- Prüfung der Kooperation mit externen Dienstleistern
- Schaffung gemeinsamer Strukturen
„Nun bedarf es einer Anerkenntnis der vollständigen Kosten, die aus der notwendigen Digitalisierung des Gesundheitswesens entstehen. Die resultierenden Gewinne in puncto Effizienz und Behandlungsqualität kommen nur dann zum Tragen, wenn Informations- und Medizintechnik den Patientinnen und Patienten, den Ärztinnen und Ärzten sowie weiterem Krankenhauspersonal zuverlässig, wie erwartet, zur Verfügung stehen“, forderten Dr. Tilman Frosch, Geschäftsführer G DATA Advanced Analytics, und Burkhard Fischer stellvertretend für die Projektbeteiligten. „Konkret müssen sowohl Landes- und Bundespolitik als auch durch die erste Führungsebene eines jeden Hauses Verantwortung für diese Verfügbarkeit übernehmen. Das Krankenhauszukunftsgesetz sieht erstmalig zweckgebundene Mittel für IT-Sicherheit als Finanzierungsbestandteil vor. Erst eine Verstetigung der relevanten Budgets erlaubt auch die nachhaltige Akquise von IT-Sicherheitsfachleuten und den Aufbau der notwendigen Organisationsstrukturen.“
Mehr Informationen bietet die eigens geschaffene Plattform www.mits.nrw.