Suchen

Sicherheit vor Funktionalität im Lukaskrankenhaus Netzwerksicherheit in Krankenhäusern

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

In unserer Serie über IT-Sicherheit in unterschiedlichen Branchen werfen wir dieses Mal einen Blick auf die Krankenhäuser. Deswegen haben wir mit Dr. Nicolas Krämer, dem kaufmännischen Geschäftsführer des Lukaskrankenhauses Neuss, und seinen Mitarbeitern, dem Chief Digital Officer Dr. Klaus Höffgen und dem IT-Leiter Herrn Bernd Zimmer gesprochen.

Firmen zum Thema

Die Awareness der Mitarbeiter ist auch in Krankenhäusern ein zentrales Standbein der IT-Sicherheit. Deswegen gibt es im bspw. im Lukaskrankenhaus jetzt regelmäßig Awareness-Kampagnen.
Die Awareness der Mitarbeiter ist auch in Krankenhäusern ein zentrales Standbein der IT-Sicherheit. Deswegen gibt es im bspw. im Lukaskrankenhaus jetzt regelmäßig Awareness-Kampagnen.
(Bild: gemeinfrei / Pixabay )

Am 10. Februar 2016 kam es am frühen Morgen im Lukaskrankenhaus in Neuss zu Verzögerungen bei den bildgebenden Systemen in der Radiologie. Kurz darauf traten auch bei dem OP-Planer Probleme auf. Schnell stellte sich heraus, dass es sich um einen Cyberangriff handeln musste.

Das Krankenhaus war Opfer einer Ransomware-Attacke geworden. Um die IT-Systeme zu schützen, reagierten die Verantwortlichen sofort, beriefen den Krisenstab ein und fuhren als erste Maßnahme alle Rechner herunter. Auf diese Weise wurden die Patientendaten geschützt und die Ausbreitung der Infektion verhindert. Dr. Krämer erinnert sich: „Eine der zentralen Fragen an diesem Tag war es, zu klären, ob wir die Polizei einschalten sollen. Keiner von uns wusste, ob die Polizei sich hauptsächlich um Beweissicherung und Täterermittlung kümmern würde, oder ob die Polizei dem Krankenhaus dabei helfen würde, seinen Versorgungsauftrag baldmöglichst wieder zu erfüllen. Letztendlich haben wir uns entschlossen, die Polizei einzuschalten. Das war auch richtig, denn sie war sehr hilfreich. Später kam auch das BSI hinzu.“

Die Ransomware wurde in den nächsten Tagen und Wochen von IT-Experten des Krankenhauses in Zusammenarbeit mit dem BSI, Beamten des Landeskriminalamts und externen Beratern aufgespürt und beseitigt. Das brachte einen extrem großen Aufwand mit sich, aber Patientendaten wurden niemals kompromittiert. Das Krankenhaus ging auch nicht auf die Erpressungsversuche der Cyberkriminellen ein.

Entwicklungen seit dem Ransomware-Angriff

Die Mitarbeiter der IT-Abteilung des Lukaskrankenhauses, von links: Dr. Klaus Höffgen, Bernd Zimmer, Jan Lutz, Dennis Kirchhoff, Alexander Zvyagin, Dominik Benz und Dagmar Schulz.
Die Mitarbeiter der IT-Abteilung des Lukaskrankenhauses, von links: Dr. Klaus Höffgen, Bernd Zimmer, Jan Lutz, Dennis Kirchhoff, Alexander Zvyagin, Dominik Benz und Dagmar Schulz.
(Bild: Lukaskrankenhaus)

Auf unsere Frage, was sich bei der IT des Lukaskrankenhauses seit dem Ransomware-Angriff geändert habe, antwortete Herr Zimmer: „Einfach alles!“ Es gilt der Grundsatz „Sicherheit vor Funktionalität“. Dazu wurde unter anderem die Infrastruktur erweitert: Neu dazugekommen sind zwei Firewalls, ein Mail-Gateway, eine NAC-Lösung sowie Überwachungssoftware.

Konkret wurde das Netz des Lukaskrankenhauses, das 600 bis 700 Endgeräte hat, stark segmentiert. Die Segmentierung erfolgte thematisch nach Abteilungen, Funktionen beziehungsweise Aufgabenbereichen. So arbeiten beispielsweise die Medizintechnik, die Buchhaltung und die Verwaltung jeweils in einem eigenen Netz.

Momentan bestehen die Endpunkte im Netz zu 50 Prozent aus Fat Clients und zu 50 Prozent aus Thin Clients von Igel. Die Bestrebung der IT-Abteilung geht allerdings dahin, so viele Thin Clients wie möglich zu implementieren, um die Zahl der Angriffsvektoren zu minimieren.

Intensivstation

Eines der übelsten Szenarien, das in einem Krankenhaus vorkommen kann, besteht darin, dass Hacker von außen auf die Monitoring Systeme in der Intensivstation zugreifen und dort Manipulationen vornehmen könnten. Deswegen wurden diese Monitoring Systeme im Lukaskrankenhaus komplett von allem anderen getrennt.

Problem Medizinproduktegesetz

Das Medizinproduktegesetz schreibt vor, dass Geräte, die im medizinischen Umfeld zum Einsatz kommen sollen, vollständig zertifiziert sein müssen. Das betrifft auch die darauf installierte Software. Deswegen ist es nicht möglich, einfach aktuelle Patches einzuspielen.

Die zuständigen Mitarbeiter müssen stattdessen auf die Zertifizierung der neuen Komponenten warten. Das führt – wenn überhaupt – zu sehr langen Update-Zyklen.

Demzufolge arbeiten im Lukaskrankenhaus viele Systeme mit alten Windows-Versionen, die von den anderen Komponenten im Netz abgetrennt werden müssen, damit sie weniger angreifbar sind. Beispielsweise existiert ein Gerät, auf dem eine englische Windows-XP-Version läuft und auf dem es nicht einmal möglich ist, das Service Pack 3 zu installieren. Die Beschränkung der Zugriffe auf das absolut Nötige sorgt auch hier für die bestmögliche Sicherheit. Herr Zimmer sagte in diesem Zusammenhang, dass das aber auch einen Vorteil mit sich bringe, alte Geräte kommen nämlich auf diese Weise nicht ohne weiteres ins Netz.

Um für die Sicherheit des Netzes zu sorgen, arbeitet das Lukaskrankenhaus zudem mit einem niederländischen Unternehmen zusammen, das das Netz auf das Auftreten von Anomalien hin überwacht. Es finden auch regelmäßig Termine mit diesem Sicherheitsanbieter statt, auf denen geklärt wird, was auffällig war und auf denen, falls nötig, Gegenmaßnahmen getroffen werden.

Mitarbeiter-Awareness

Zum Schluss unseres Gesprächs wies Dr. Krämer darauf hin, dass die Awareness der Mitarbeiter ein zentrales Standbein der IT-Sicherheit ist. Deswegen gibt es im Lukaskrankenhaus jetzt regelmäßig Awareness-Kampagnen. So schickt beispielsweise ein Dienstleister immer wieder gefälschte Mails an die Mitarbeiter des Krankenhauses, um ihr Sicherheitsbewusstsein zu schärfen. Außerdem finden auch viele Schulungen statt. In diesem Zusammenhang sagte Dr. Höffgen: „Es spielt in der Praxis eine wichtige Rolle, den Mitarbeitern klar zu machen, dass selbst die tollste Technik nicht für Sicherheit sorgen kann, wenn sie nicht mithelfen. Darüber hinaus müssen wir auch sicherstellen, dass alle hier im Haus stets auf neue Themen aufmerksam gemacht werden.“

Letzteres ist in einem Krankenhaus gar nicht so einfach: Schließlich hat – anders als in anderen Branchen – nicht jeder Mitarbeiter einen eigenen Arbeitsplatz mit Computer und E-Mail-Adresse. So gestaltet es sich durchaus problematisch, immer alle zu erreichen. Allerdings sind die Mitarbeiter des Lukaskrankenhauses aufgrund ihrer Erfahrungen mit dem Ransomware-Angriff sehr sensibilisiert, so dass die Arbeit der IT-Abteilung in diesem Zusammenhang relativ unproblematisch abläuft.

(ID:46276525)

Über den Autor

Dr. Götz Güttich

Dr. Götz Güttich

Journalist, IAIT