Wie anfällig sind digitale Krankenhaussysteme für einen Angriff?
Frosch: Pauschal lässt sich das schwer sagen, um auch niemandem Unrecht zu tun. Die Diskussion wird beherrscht von dem Gedanken eines Angriffs von außen. Von einem Angriff von außen zu einem Angriff von innen ist es aber unter Umständen genau ein Schritt. Konkret kann „von außen“ bedeuten: Ein Angreifer rät oder kauft Remote Desktop- Zugang. Schon ist der Angriff von außen ein Angriff von innen.
Öffnet beispielsweise eine Schwester, ein Pfleger, ein Arzt oder ein Systemadministrator eine gut gemachte, bösartige E-Mail, haben wir den gleichen Effekt. Nur den Perimeter um das Krankenhaus herum zu schützen, ist somit zu wenig. Eine harte Schale ist gut, aber der Kern darf auch nicht weich sein. Unsere Aufgabe als IT-Dienstleister besteht darin eine Verteidigungsfähigkeit herzustellen, denn es ist realistisch, dass ein Angriff passiert. In Folge muss die Infrastruktur im Inneren auch härter sein. Das betrifft insbesondere medizintechnische Geräte, wie ein CT.
Servicetechniker warten das Gerät etwa alle sechs Monate. Dann wird im Allgemeinen auch eine Endpointprotection auf den Geräten geupdated und Patches für das Betriebssystem eingespielt. Zum Vergleich: Updates für eine Endpointprotection gibt es typischerweise alle ein bis acht Stunden, Betriebssystempatches zumindest monatlich. Während nach Möglichkeit jedes einzelne System ein hartes Ziel sein sollte, egal wie tief in der Infrastruktur es steht, wird hier schnell klar: Man muss es anders verteidigen – es gibt nicht einen Perimeter, es gibt viele und um jeden einzelnen muss man sich kümmern.
Mal angenommen ein Angriff auf das Krankenhausnetzwerk gelingt. Was sollte der erste Schritt sein, den die Verantwortlichen unternehmen?
Frosch: Jemanden fragen, der sich damit auskennt. Auch ein Vorfall, der sofort eingefangen wird, ist ein Sicherheitsvorfall. Ob er sofort eingefangen werden kann oder ob er weitere Folgen hat, muss ein Fachmann beurteilen, denn es kommt im Zweifel auf frühzeitige, richtige Entscheidungen an.
Wie kann die Funktionssicherheit in so einem Fall wiederhergestellt werden?
Frosch: Mit harter Arbeit. Es geht darum einen Vorfall zu erkennen, ihn adäquat einzuschätzen und entsprechend zu reagieren. Das Problem muss lückenlos entfernt werden, genauso wie sein Ursprung. Passiert das nicht, kann sich der Vorfall wiederholen. Das möchte keiner, ist aber in einigen Häusern schon vorgekommen.
Warum ist die MEDICA als Medizintechnikmesse auch für Sie, der nicht direkt aus der Branche kommt, die richtige Plattform für das Thema?
Frosch: Wir sind ein Hersteller und Dienstleister, der primär auf dem deutschen Markt agiert und viel im Gesundheitsbereich arbeitet. Die MEDICA ist die große Medizintechnikmesse in Deutschland. Am besten holt man seine Zielgruppe dort ab, wo sie sich zuhause fühlt.