Zum Hauptinhalt springen
Research:
Research
10 Minuten Lesezeit

Erhöhung der Cyber-Resilienz von Krankenhäusern

Überwindung von Hürden im Gesundheitswesen: Wie Krankenhäuser ihre Cyber-Resilienz verbessern und das Patientenvertrauen stärken können

Cyber Security hat im Krankenhaus eine buchstäblich lebenswichtige Bedeutung. Regulatorische Vorgaben verlangen von den Betreibern daher, die Cyber-Resilienz zu erhöhen. Hierdurch soll das Vertrauen der Patient:innen in die Krankenhäuser gestärkt werden. Für ein starkes Vertrauensverhältnis müssen Datensicherheit und Datenschutz ganzheitlich gedacht werden. Trotz bestehender Hürden wie begrenzten Personalressourcen und Digitalisierungsdefiziten, eröffnen öffentliche Fördermittel im Cyber-Bereich Möglichkeiten. Durch deren intelligenten Einsatz in Bereichen wie dem Business Continuity Management (BCM) und mit einer integrierten Compliance-Strategie können nicht nur die Cyber-Herausforderung bewältigt, sondern auch Ressourcen und Zeit eingespart werden.

Hier können Sie sich unser Whitepaper zum Thema "Erhöhung der Cyber-Resilienz von Krankenhäusern" herunterladen
Download Whitepaper

Der regulatorische Druck auf Krankenhaus-Betreiber im Bereich Cyber Security ist hoch. Der Grund liegt in dem besonders hohen Risiko, das Cyber-Attacken im Gesundheitswesen darstellen. Ein angemessenes Cybersicherheitsniveau bildet zudem die Grundlage für das Vertrauen als Basis der Arzt-Patient:innen-Beziehung insbesondere bei der Nutzung digitalisierter Ge-sundheitsdienste. Die Auswirkungen beispielsweise von erfolgreichen Ransomware-Angriffen auf Krankenhäuser können verheerend sein. Die Bedrohung durch Ransomware hat sich zu einer der größten digitalen Gefahren im Gesundheitswesen entwickelt. Große Mengen an höchst sensiblen Gesundheitsdaten, die den bestehenden Vorschriften zum Datenschutz unterliegen, werden von den Krankenhäusern vorgehalten - diese müssen gegen kriminelle Akteure abgesichert werden. Solche Angriffe blockieren den Zugriff auf entscheidende IT-Systeme und Patientendaten, was die Fähigkeit der Einrichtungen, Patient:innen ordnungsgemäß zu versorgen, erheblich beeinträchtigt. Außerdem kann ein Hacker-Angriff auf die IT von Kliniken Gefahren für Leib und Leben der Patient:innen mit sich bringen.

Erfahrungen in der Praxis zeigen, dass die Wiederherstellung aus einem Krisenmodus, der durch Ransomware verursacht wird, nicht nur Tage dauert, sondern sich über Wochen bis Monate erstrecken kann. Während dieser Zeit müssen Krankenhäuser oft mit reduzierten Kapazitäten arbeiten, was die Gesundheit der Patient:innen gefährden kann.

Attacken mit Ransomware bedrohen das Gesundheitswesen

 

Die erpresserische Natur solcher Angriffe zwingt Organisationen oft in schwierige Verhandlungen über Lösegeldzahlungen, um die Daten wiederzuerlangen. Selbst wenn ein Krankenhaus den Forderungen nachkommt, gibt es keine Garantie, dass alle Systeme vollständig und ohne zusätzliche Kosten oder Datenverluste wiederhergestellt werden können. Krisenmanagement- und Notfallpläne, wie Business Continuity Management (BCM) und IT Service Continuity Management (ITSCM), sind essenziell, um eine gewisse Betriebskontinuität zu gewährleisten und die potenziellen Schäden zu minimieren.

Es ist entscheidend, dass Krankenhäuser jetzt präventive Maßnahmen ergreifen, um ihre Cyber-Resilienz zu steigern, da Ransomware nicht nur eine reine IT-Bedrohung ist, sondern das gesamte Gesundheitssystem destabilisieren kann. Es besteht dringende Notwendigkeit für Gesundheitsorganisationen, sich umfassend auf derartige Bedrohungen vorzubereiten und entsprechende Schutzmechanismen zu entwickeln.

Grundlagen für den Datenschutz

 

Sofern die Verantwortlichen in den Krankenhäusern die bestehenden Vorschriften aus der Datenschutzgrundverordnung sowie den nationalen und landesspezifischen Vorschriften angemessen umgesetzt haben, sollten sie bereits Prozesse zu „Privacy by Design“ und „Privacy by Default“ implementiert haben. Demnach sollte auch gewährleistet werden können, dass bereits in der Planungsphase von neuen Datenverarbeitungen, die oftmals auf neu entwickelten IT-Systemen oder neu eingeführten Prozessen beruhen, die datenschutzrechtlichen Anforderungen berücksichtigt werden. Zu diesen gehört auch die angemessene Berücksichtigung von technischen und organisatorischen Maßnahmen, die neben der Erfüllung der regulatorischen Vorgaben auch einen wichtigen Faktor für die Minimierung von Sicherheitsrisiken darstellt.

Zudem stellt auch die Durchführung einer Datenschutzfolgenabschätzung einen wichtigen Faktor zur frühzeitigen Detektion von potenziellen Risiken für die Rechte und Freiheiten der betroffenen Personen dar, da hierbei bereits eine Bewertung von potenziellen Risiken vorgenommen wird und Mitigationsmaßnahmen definiert und implementiert werden. Ferner müssen die Meldeprozesse von Datenschutzverletzungen eindeutig definiert und umgesetzt sein, da diese auch einen wichtigen Faktor im Fall einer etwaigen Datenpanne darstellen und im engen Verhältnis zu den Sicherheitsvorfällen stehen.

Grundlegend müssen die verpflichtenden Vorgaben zum Datenschutz somit effektiv und effizient umgesetzt werden, sodass sie als Grundlage für die weitere Risikobetrachtung sowie -steuerung verwendet werden können.

Hier beschreiben wir, wie Unternehmen im Gesundheitssektor die bestehenden Risiken durch gezielte Maßnahmen im Bereich Datenschutz, Cyber Resilienz oder auch insbesondere im Thema Business Continuity Management (BCM) und IT Services Continuity Management (ITSCM) besser managen und so den Regulationen entsprechen können. 

KRITIS-Verordnung und der Branchenspezifische Sicherheitsstandard (B3S)

 

Für alle Einrichtungen eines Krankenhauses oder einer Krankenhausgruppe in Deutschland greifen im Cyber-Zusammenhang verschiedene Bestimmungen, die Informationssicherheit, Patientensicherheit und Behandlungseffektivität sichern sollen. Neben den bereits angesprochenen datenschutzrechtlichen Vorschriften, die durch alle Krankenhäuser eingehalten werden müssen, sind privat betriebene Krankenhäuser häufig von der KRITIS-Verordnung erfasst, die strikte Vorgaben zur Cyber Security macht. Viele Krankenhäuser in öffentlicher Hand fallen nicht unter diese Verordnung, weil sie unterhalb der Schwellenwerte bleiben. Einschlägig sind für sie aber oft die ähnlich gelagerten NIS2-Bestimmungen der EU bzw. deren nationale Umsetzung, wobei hier einige Erleichterungen für kleinere und mittlere Unternehmen vorliegen. Außerdem enthält das Sozialgesetzbuch relevante Cyber-Vorgaben, die seit 1.1.2022 für sämtliche Einrichtungen gelten (§ 75c SGB V).

Als Leitlinie für die Umsetzung der Anforderungen an die Regulatorik im Bereich Informationssicherheit empfiehlt sich ein Rückgriff auf den Branchenspezifischen Sicherheitsstandard (B3S) für die medizinische Versorgung der Deutschen Krankenhausgesellschaft (Informationssicherheit im Krankenhaus), der von der Deutschen Krankenhausgesellschaft (DKG) bereitgestellt wurde. Der B3S umfasst u. a. Bestimmungen und Schutzziele analog zu den Standards ISO 27001 und BSI IT-Grundschutz (Vertraulichkeit, Integrität, Verfügbarkeit von In-formationen) sowie Authentizität als zusätzliches Ziel und darüber hinaus auch die Aspekte Patientensicherheit sowie Behandlungseffektivität. Vorteilhaft ist zudem, dass das Regelwerk in deutscher Sprache vorliegt.

Im aktuell angespannten Umfeld der Branche stellen die umfangreichen Förderungen aus Mitteln des Krankenhauszukunftsgesetzes eine wesentliche Erleichterung für Cyber-Resilienz-Projekte dar. Die Umsetzung der Maßnahmen zur Erhöhung des Sicherheitsniveaus eines Krankenhauses sollte bald angegangen werden, da die Fördermittel nur für einen begrenzten Zeitraum abgerufen werden können. Entscheidende Bedeutung hat dabei ein möglichst effizienter Mitteleinsatz, der die Resilienz durch gezielte Maßnahmen wirksam erhöht. Im Folgenden erklären wir, auf welche Aspekte es dabei nach Erfahrung der Deloitte-Expert:innen besonders ankommt.

Dimensionen der Cyber-Resilienz

 

Cyber-Resilienz ist ein komplexes Thema, das auf verschiedenen Ebenen angegangen werden muss. Nur durch ein ganzheitliches Vorgehen sind Einrichtungen auf die verschiedenen Phasen und Implikationen eines Cyber-Angriffs vorbereitet. Dabei lassen sich fünf wesentliche Dimensionen ausmachen.

Für eine Sicherstellung der Handlungsfähigkeit von Krankenhäusern im Ernstfall muss die Fortsetzung von Kernprozessen vorbereitet werden, die für den Betrieb der Organisation erforderlich sind. Der Fokus liegt hier auf der Wiederherstellung von Geschäftsprozessen. Die Business-Prozesse weisen typischerweise Abhängigkeiten von einer Reihe Faktoren auf: Personal, Technologie, Räumlichkeiten, Informationen und Drittparteien.

Durch Cyber Incident Response kann auf (potenzielle) Cyberangriffe reagiert werden mit dem Ziel, den Angriff möglichst schnell abzuwehren und zu verstehen

  • Wo hat der Angreifer Zugang zu Systemen bzw. dem Netzwerk erlangt?
  • Wie ist der Angreifer vorgegangen?
  • Wohin ist der Angreifer vorgedrungen?
  • Was ist die Intention des Angreifers?

Cyberangriffe haben das potenziell ganze Organisationen lahmzulegen und größere Cyberangriffe können sich zu Cyber Krisen entwickeln.

Neben der Planung von direkten Response-Maßnahmen muss auch die Organisation auf den Ernstfall vorbereitet werden. Eine entsprechende Governance-Struktur gewährleistet, dass sie effektiv auf Vorfälle, Notfälle und Krisen reagieren kann. Eine Cyberkrise kann finanzielle Kosten nach sich ziehen, das Image schädigen und sich negativ auf direkt und indirekt von der Krise betroffene Personen auswirken. Wenn bereits im Vorfeld eine Krisenkommunikationsstrategie festgelegt wurde und während der Krise interne und externe Stakeholder der Situation angemessen informiert werden, kann dies mögliche Image-Schäden im Idealfall verringern.

Nach einem erfolgten Angriff müssen Einschränkungen so schnell wie möglich behoben werden. Dafür muss die technische Wiederherstellung von IT-Infrastrukturelementen und Medizintechnik geplant werden.

Disaster Recovery ist ein entscheidender Bestandteil der Cyber-Resilienzstrategie von Krankenhäusern, insbesondere im Umgang mit Ransomware-Angriffen. Die Fähigkeit, nach einem Angriff in den normalen Betriebsmodus zurückzukehren, hängt maßgeblich von der Wirksamkeit der DR-Maßnahmen, insbesondere der Backup-Strategien, ab. Backups bilden die Grundlage, um Daten und Systeme ohne Zahlung des geforderten Lösegelds wiederherstellen zu können. Dies stellt nicht nur die kontinuierliche Patientenversorgung sicher, sondern schützt auch die Integrität und Vertraulichkeit sensibler Patientendaten.

Essenziell für Effective Disaster Recovery sind die folgenden Punkte:

  • Verlässliche Backups:

    • Mindestens tägliche Backups als Standardpraxis.
    • Anwendung der 3-2-1-Regel: drei Kopien der Daten, auf zwei verschiedenen Medien, eine Kopie extern.
       
  • Regelmäßige Tests der Backups:

    • Sicherstellen der Funktionalität und Integrität durch regelmäßige Überprüfungen.
    • Vermeidung von Verzögerungen oder Scheitern bei der Wiederherstellung durch ungetestete Backups.
       
  • Verschlüsselungssichere Backup-Lösungen:

    • Schutz der Backups vor Verschlüsselung durch Angreifer.
    • Implementierung von Warm Backups und Cloud-Backups bei Hyperscalern.
       
  • Schnelligkeit der Wiederherstellung:
     
    • Effektive Backup-Strategien zur Beschleunigung der Systemwiederherstellung nach Angriffen.
    • Praktische Wiederherstellung hunderter Programme kann über einen Monat dauern, was effiziente Prozesse erfordert.
       
  • Systematische Wiederherstellungspläne:

    • Entwicklung technischer Recovery-Workflows und Automatisierung der Wiederherstellung.
    • Regelmäßige Updates und Anpassungen der Pläne bei Veränderungen der Organisationsanforderungen.

Für die praktische Umsetzung sind auch umfangreiche technische Maßnahmen notwendig. Dazu gehört nicht nur der Erwerb einer Firewall,  sowie Detection- und Incident-Management-Lösungen, vielmehr sollten auch die folgenden Punkte berücksichtigt werden:

  • Erweiterte Datenverarbeitung: Durch datengetriebene Methoden wie Outcomes-based Contracts (OBC) und Evidence-based Medicine wird eine große Menge an Patien-tendaten gesammelt, was neue Cyber-Security-Risiken mit sich bringt.
  • Öffnung der IT-Systeme: Die Einbindung von Patientendaten erfordert eine Öffnung bislang interner IT-Systeme, wodurch neue Angriffsflächen entstehen.
  • Kombinationsprodukte und Connectivity: Medikamente werden zunehmend in Kombi-nation mit Apps oder vernetzten Medizintechnik-Geräten eingesetzt, was die Komplexi-tät der IT-Sicherheit erhöht.
  • Zero Trust Architektur: Als moderner Sicherheitsansatz ersetzt Zero Trust die traditio-nelle Perimeter Defense. Es erfordert eine kontinuierliche Überprüfung aller Datenzu-griffe und stärkt somit den Schutz gegen komplexe Angriffe.
  • Intersektoraler Datenaustausch: Die digitale Transformation im Klinikbereich erfordert den Austausch von Patientendaten über Apps und elektronische Patientenakten, was durch eine erhöhte Cyber-Security-Strategie abgesichert werden muss.
  • Regulatorische Herausforderungen: Durch die Digitalisierung entstehen neue regulato-rische Anforderungen, die Unternehmen im Gesundheitswesen proaktiv bewältigen müssen.
  • Systematische Sicherung von Gesundheitsdaten: Die Verwaltung und Sicherung großer Mengen sensibler Gesundheitsdaten erfordert robuste Sicherheitsmaßnahmen, um den Schutz vor Cyberangriffen zu gewährleisten und Vertrauen zu schaffen.

Diese Punkte unterstreichen die zentrale Bedeutung von Technologie und Sicherheit in der digi-talen Gesundheitsversorgung und verdeutlichen die Notwendigkeit eines ganzheitlichen Ansatzes zur Cyber-Resilienz.

Mehr Resilienz dank BCM

 

Zentrale Bedeutung für die Cyber-Resilienz im Krankenhaus hat ein systematisches BCM. Dadurch bereiten sich die Einrichtungen planmäßig auf Not- und Krisenfälle vor. Risiken können schon im Vorfeld einer potenziellen Krise besser erkannt und behandelt werden. Außerdem werden durch das BCM geeignete Verfahren definiert, um den Betrieb der Organisation im Fall eines erfolgreichen Angriffs so weit wie möglich aufrecht zu erhalten. Die Reaktionszeit auf Vorfälle wird reduziert, ebenso werden die Schäden minimiert.

Im BCM-Lebenszyklus sind mehrere Phasen zu unterscheiden. Sie sind als iterativer „Plan-Do-Check-Act“-Zyklus zu verstehen: Das BCM durchläuft sie in einem Prozess kontinuierlicher Ver-besserung. Und konzeptionell verfolgt grundlegend der dabei genutzte „Plan-Do-Check-Act“-Zyklus das gleiche Vorgehen wie das Standard-Datenschutzmodell (SDM).

Gesamtstrategie, Geltungsbereich und Ziel des BCM werden formuliert. Organisation, Rollen und Verantwortlichkeiten müssen strukturiert und festgelegt werden, die erforderlichen Betriebsmittel sind einzuplanen. Zu berücksichtigen ist dabei, dass in den Einrichtungen oft Personalknappheit herrscht und einzelne Mitarbeitende regelmäßig mehrere Rollen innehaben. 

Im Rahmen der BIA werden durch standardisierte Ansätze kritische Prozesse und Ressourcen identifiziert, die durch eine Cyber-Attacke in Mitleidenschaft gezogen werden könnten. Eine Risikoanalyse wird durchgeführt, in deren Rahmen auch Krisenszenarien erstellt werden.

Diese Phase widmet sich Kontinuitätsstrategien für Prozesse und Ressourcen. Kosten-Nutzen-Analysen werden durchgeführt und übergeordnete sowie empfängerspezifische Notfallpläne eingerichtet, ebenso wie Playbooks und Checklisten. Durch Vorbereitung geeigneter Aktivierungs- und Kommunikationsverfahren wird die Fortsetzung des Betriebs organisatorisch unter-stützt. 

Unabdingbar für Datenschutzthemen, das BCM und die Resilienz insgesamt sind die Schulung von Mitarbeitenden und ergänzende allgemeine Informationskampagnen. Dafür muss Schulungs- und Awareness-Material erstellt werden. Bei der Organisation von Trainings kann auch externe Kompetenz hinzugezogen werden. 

Um ein funktionsfähiges BCM sicherzustellen, müssen regelmäßige theoretische und praktische Tests bzw. Übungen in ausreichendem Umfang durchgeführt werden. Anschließend werden Evaluierungsberichte erstellt und Verbesserungsmaßnahmen abgeleitet, um eine kontinuierliche Optimierung zu ermöglichen.

Als Teil des BCM-Lebenszyklus sollte außerdem ein IT Service Continuity Management (ITSCM) aufgestellt bzw. betrieben werden. Im ersten Schritt werden dabei organisatorische und regulatorische Anforderungen an das ITSCM definiert. Die Organisation verständigt sich auf IT-Notfallszenarien (z. B. Ausfall des Rechenzentrums, Cyberangriff, Stromausfall) und Anforderungen (z. B. Wiederherstellungszeit, maximal tolerierbarer Datenverlust), die für die Wiederherstellung berücksichtigt werden sollen. Bei den regulatorischen und branchenspezifischen Anforderungen sind Regelungen wie beispielsweise auch KritisV, BSI-Gesetz zu berücksichtigen.

Außerdem müssen im Rahmen des ITSCM Wiederherstellungspläne erstellt werden, die die nötigen Informationen für eine erfolgreiche Wiederherstellung nach einer Störung enthalten. Je nach gewähltem Recovery-Szenario werden Backup- und Service-Architekturen sowie spezifische Recovery-Schritte beschrieben. Wiederherstellungstests und Überprüfungen der Wiederherstellungspläne sollten periodisch durchgeführt werden, um Abweichungen zu identifizieren. Die Pläne müssen regelmäßig aktualisiert werden, ebenso sobald die Ergebnisse der Wiederherstellungstests vorliegen, sowie bei Änderungen der Organisationsanforderungen, der Systemarchitektur oder der Infrastruktur. 

Abbildung 1: BCM-Lebenszyklus nach dem PDCA-Zyklus 

Cyber-Expertise für das Gesundheitswesen

 

Für die Umsetzung dieser Resilienz-Maßnahmen steht den Krankenhäusern zwar hilfreiche Finanzierung, aber wenig Zeit zur Verfügung. Das bestehende Personal ist zudem stark ausgelastet, und IT-Kräfte mit den nötigen Cyber-Fähigkeiten sind aktuell auf dem Arbeitsmarkt nach wie vor Mangelware. Hier stellt die Unterstützung durch einen kompetenten externen Partner wie Deloitte eine wertvolle Option dar.

Deloitte bietet führende Cyber-Expertise und tiefe Einblicke in die Branche ebenso wie in die Regulatorik. Wir unterstützen bei allen Aspekten des BCM-Lebenszyklus: vom B3S Assessment über Gap-Analysen und Priorisierung bis hin zur Maßnahmenplanung und Behebungsstrategie. Auch bei Ausschreibungen begleiten wir, etwa wenn es um die Auswahl von Technologien und die Anforderungen dafür geht. Unsere Resilienz-Expert:innen richten dabei den Fokus immer auf die Zukunftssicherheit der Krankenhäuser durch verbesserte Resilienz. Für weitere Informationen melden Sie sich gerne bei uns. 

Fanden Sie dies hilfreich?

Ja

Vielen Dank für Ihr Feedback

Ihr Feedback ist uns wichtig

Um uns Ihre Meinung mitzuteilen, aktualisieren Sie bitte Ihre Einstellungen, um Analyse- und Performance-Cookies zu akzeptieren.

Benötigen Sie Hilfe beim Aktualisieren der Cookies?

Kontaktieren Sie uns

Ralph Noll

Partner | Cyber Risk
+49 211 87722285

Ibo Teuber

Sector Lead Health Care
+49 89 290367839

Weitere Inhalte

Digitalisierung im Gesundheitswesen

Repräsentative Deloitte-Umfragen erfassen Bürger:innen-Perspektiven zur Digitalisierung im Gesundheitswesen, einschließlich aktueller Maßnahmen wie "Opt-out" ePA oder E-Rezepte.
Research
5 Minuten Lesezeit

Future of Health | Deloitte Deutschland

Das deutsche Gesundheitswesen steht vor zahlreichen Herausforderungen. Steigende Kosten und der demografische Wandel beeinträchtigen die Leistungs- und Zukunftsfähigkeit. Die Deloitte-Publikation „Future of Health“ zeigt Szenarien für die Zukunft des Gesundheitswesens auf.
Research
7 Minuten Lesezeit

Cyber Security Branchentrends: Neue Artikelreihe

Cyber Security steht aktuell ganz oben auf der Agenda. Was das für unterschiedliche Branchen bedeutet, erklärt eine neue Artikel-Reihe von Deloitte.
Perspective
5 Minuten Lesezeit

Future of Cyber Survey 2024

Die neue Deloitte Studie „Future of Cyber Survey 2024“ untersucht die Sichtweise von Führungskräften zu Cyber-Trends weltweit. Erfahren Sie hier die Ergebnisse aus der DACH-Region.
Research
5 Minuten Lesezeit