IT-SICHERHEIT 32 DSD 2 | 2022 schaft Mitte Januar 2022 gab jedes fünfte Krankenhaus an, dass mehr als 20 Prozent Pflegekräfte als üblich in dieser Jahreszeit erkrankt seien. Die Normierung der Impfpflicht für Beschäftigte in Einrichtungen des Gesundheits- und Pflegebereichs nach dem Gesetz zur Stärkung der Impfprävention gegen COVID-19 vom 10. Dezember 2021 kann zu einer zusätzlichen Reduzierung von Pflegekräften führen. Die im Januar 2022 nahezu exponentiell ansteigenden Infektionen können durch die Vielzahl von Krankmeldungen und Quarantänepflichten die Einsatz- und Leistungsfähigkeit auch anderer Kritischer Infrastrukturen erheblich beeinträchtigen. Hier ist ein frühzeitigeinsetzendes, vorausschauendes Notfall- und Krisenmanagement dringend geboten. Lösegeld gegen Entschlüsselung Auch Cyberattacken können mindestens auf regionaler Ebene das Gesundheitssystem empfindlich treffen. So berichtete der SWR am 17. Juli 2019, dass unbekannte Cyberkriminelle das komplette Netzwerk des DRK Klinikverbunds von elf Krankenhäusern in Süddeutschland lahmgelegt hatten und für eine Entschlüsselung der Daten Lösegeld verlangten. Am 20. September 2020 wurde das Universitätsklinikum Düsseldorf mit einem Ransomwareangriff attackiert. Das Klinikum ist mit seinen 32 Kliniken ein Grundpfeiler der Patientenversorgung in NRW. Es musste die meisten Windows-Server herunterfahren, um Zugriffe auf das interne Netzwerk auszuschließen. Bei einem Angriff auf die Europäische Arzneimittelagentur EMA am 9. Dezember 2020 erbeuteten die Täter Daten über den Impfstoff Biontech/Pfizer. Sie veröffentlichten die Daten und manipulierten sie so, dass Zweifel an der Wirksamkeit des Impfstoffes entstehen sollten. Im Oktober 2020 gelang es Hackern, die Krankenakten von etwa 40.000 Patienten des Psychotherapiezentrums Vastaamo in Finnland zu stehlen. Weil eine Lösegeldzahlung verweigert wurde, begannen die Täter, täglich die Akten von 100 Patienten im anonymen Tor-Netzwerk zu veröffentlichen. Am 29. November 2021 wurde der Mailserver der Bayerischen Krankenhausgesellschaft mit einer Schadsoftware infiziert. Nach einer Analyse von Check Point wurden 70 Prozent der deutschen Krankenhäuser über eine Schwachstelle bei der Remote Code Execution angegriffen Da immer mehr medizinische Geräte miteinander vernetzt werden, muss sichergestellt werden, dass Mitarbeiter nur Zugriff auf Daten haben, die sie wirklich benötigen. Der IT-Dienstleister DXC Technology beklagt im deutschen Gesundheitswesen heterogen gewachsene IT- Systeme, fehlendes IT-Personal und einen Investitionsstau. Netzwerke müssen konsequenter separiert und Arbeitsrechner durch eine Mehrfaktor-Authentifizierung abgesichert werden. Das BSI hat schon im März 2013 einen Leitfaden über IT-Risiken im Gesundheitswesen erarbeitet. In ihm wird die Methode der Risikoanalyse Krankenhaus IT – RiKrIT – mit den notwendigen vorbereitenden Aktivitäten, der Analyse der Kritikalität, der Identifizierung und Bewertung und Behandlung der Risiken dargestellt und aufgezeigt, wie Handlungsbedarf für die Gewährleistung angemessener IT-Sicherheit erkannt werden kann. Bedrohung der IT-Sicherheit Cyberattacken waren schon vor der Coronapandemie in allen Segmenten Kritischer Infrastrukturen an der Tagesordnung. So wurde zum Beispiel der Flugzeughersteller Airbus im Jahr 2019 von einer Serie von Cyberangriffen getroffen. Im November 2020 wurden die IT-Systeme am Flughafen Saarbrücken durch Ransomware verschlüsselt. Seit 1. Januar 2022 müssen die nach dem LuftSiG regulierten Unternehmen gemäß der DVO (EU) 2019/1583 Anforderungen an die IT- Bild: # 145151692/AdobeStock
RkJQdWJsaXNoZXIy Mjc4MQ==