Achtung: Malware in Krankenhaus IT-Netzwerken

Malware(Februar 2016) Die Computersysteme gleich mehrerer Krankenhäuser in Nordrhein-Westfalen wurden in den vergangenen Monaten mit Malware infiziert, mit der Konsequenz, dass die digitale Infrastruktur für Diagnostik und Therapie zum Teil über Tage nicht mehr zur Verfügung stand. Dies hatte massive Auswirkungen auf die Patientenversorgung, weil Operationen abgesagt, Notfälle wie Herzinfarktpatienten abgewiesen bzw. in andere Krankenhäuser verlegt werden mussten. Von diesem Virusbefall betroffen waren unter anderem das Lucas Krankenhaus in Neuss, das Klinikum Arnsberg sowie weitere Krankenhäuser in Köln, Kleve und Essen.

 

Bei den aktuell bekannt gewordenen Fällen handelt es sich wohl um eine sogenannte Ransomware (Malware), die über E-Mail-Anhänge eingeschleust und geöffnet wurde. Diese Malware verschlüsselt die auf Rechnern und Server gespeicherten Daten und fordert ein Lösegeld für die Freigabe der Daten.

Der Malwarebefall führt bei den betroffenen Krankenhäusern zur erhebliche Beeinträchtigung der internen digitalen Kommunikation und Prozesse, vor allem dort, wo auf Vorbefunde, Labordaten und Patientendaten zugegriffen werden muss. Aber auch die Kommunikation mit Tablets und Smartphones für die Patientenversorgung ist unterbrochen oder eingeschränkt. In allen Fällen wurde bei den betroffenen Krankenhäusern die digitale Kommunikation zwischen den Abteilungen unterbrochen. Mitarbeiter mussten alle Informationen manuell aufschreiben, Röntgenbilder wurden ausgedruckt und per Boten verteilt, Labordaten ebenfalls als Ausdruck händisch überbracht.

Nach Presseberichten, unter anderem in der Rheinischen Post, hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Vorfeld auf die Gefahren hingewiesen.

Es ist aber nach heutigem Stand noch nicht klar, ob es sich um gezielte Attacken von Hackern handelt oder ob der Virenbefall zufällig entstanden ist. Zumindest in einem betroffenen Krankenhaus sollen laut Presseberichten Meldungen aufgetaucht sein, sodass man von Erpressungsversuchen ausgehen muss.

Unabhängig davon, ob es sich um einen gezielten oder mehr zufälligen Vorfall handelt, zeigt das massive Auftreten von Malware in den genannten Krankenhäusern die Sensibilität und Empfindlichkeit kritischer Strukturen, zu den auch vernetzte Medizinprodukte gehören.

Betrachtet man die Digitalisierung des Gesundheitswesens der letzten 10 Jahre im Rückblick, so war es nur noch eine Frage der Zeit, bis erste, massive Beeinträchtigungen der IT-Infrastruktur von Krankenhäusern und damit der Patientenversorgung auftreten würden. Eine Konsequenz aus diesen Vorfällen bedeutet daher, viel mehr Geld und (Personal-)Ressourcen in die IT-Sicherheit von Klinik-Netzwerken und damit auch vernetzter Medizinprodukte zu stecken. Dabei können auch Risikomanagement nach DIN EN 80001-1 und Informationssicherheits-Managementsysteme (ISMS) eine große Hilfe darstellen. Da IT-Sicherheit vor der Beschaffung vernetzbarer Medizinprodukte beginnt, sind Kliniken gut beraten, diesen Fragestellungen nach der IT-Sicherheit ihrer Medizinprodukte hinsichtlich Vernetzung, Betriebssysteme, Patchmanagement und Malwareschutz deutlich höhere Aufmerksamkeit zu widmen. Dabei kann das Risikomanagement für vernetzte Medizinprodukte in Form der DIN EN 80001-1 helfen, die IT-Sicherheit vernetzter Medizinprodukte deutlich zu erhöhen. Auch wenn die aktuellen Fälle offensichtlich wohl primär Datenbanksysteme bzw. die allgemeine IT-Infrastruktur betroffen haben, ist nicht auszuschließen, dass auch vernetzte Medizinprodukte betroffen sind oder betroffen werden können. Daher sollten Kliniken konsequenterweise ihre Beschaffungsprozesse neu definieren, um vor der Entscheidung und der Beauftragung neuer IT-Produkte die Fragestellungen nach IT-Sicherheit der angebotenen Medizinprodukte zu klären.

Weiterführende Informationen zum Thema „Medizintechnik und Informationstechnologie digital – MIT – Konzepte, Technologien, Anforderungen“ gibt es beim TÜV Media Verlag.

Der Autor und renomierte Fachexperte Armin Gärtner befasst sich im Handbuch „Medizintechnik und Informationstechnologie digital“ mit der Schnittmenge und dem Zusammenwachsen beider Disziplinen und betrachtet sie umfassend aus der technischen, rechtlichen und organisatorischen Perspektive. Praxisnah und zuverlässig macht das Handbuch komplexe Sachverhalte verständlich und dient Technikern, IT-Fachleuten und Medizinern gleichermaßen als äußerst nützlicher Praxisleitfaden.

Quelle Text: Armin Gärtner, Ingenieurbüro für Medizintechnik Ö.b.u.v., Sachverständiger für Medizintechnik und Telemedizin

Quelle Bild: © Olivier Le Moal – fotolia