zur Navigation zum Inhalt
 
Gesundheitspolitik 29. Jänner 2017

Cybersecurity: Die Ereignisse verbreiten sich explosionsartig

Je mehr unser Leben von moderner Datenübertragung abhängig wird, desto reizvoller – und für manche lukrativer – wird es, diese Übertragung zu manipulieren, zu stören und der eigentlichen Bestimmung zu entfremden. Hinzu kommt: Das Bewusstsein für das Problem wird im eigenen Arbeits- und Lebensbereich häufig nicht ausreichend wahrgenommen.

Die Ausbreitung von Problemen im virtuellen, informationstechnologischen Raum erfolgt durch die umfassende Vernetzung der unterschiedlichsten Bereiche rasant. Gleichzeitig werden die Abläufe durch immer spezialisiertere Prozessketten immer komplexer. Gerade im Gesundheitsbereich bietet sich der Vergleich der pandemischen Krankheitsübertragung an, wie Ing. Franz Hoheiser-Pförtner von Cybersecurity Austria, dem Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur, feststellt: „Wenn früher jemand mit einer schweren Krankheit infiziert war und über den Atlantik zu uns kam, nahm das eine lange Dauer in Anspruch, sodass die Krankheit bereits auf dem Schiff ausgebrochen ist und entsprechende Maßnahmen vor dem Landgang ergriffen werden konnten, wie eine Quarantäne oder Ähnliches.“ Das Thema der Inkubation erledigte sich also früher durch die Zeit. Die Modernisierung des Reisens führte nun dazu, dass eine erkrankte Person, die an einem stark frequentierten Luftverkehrsknotenpunkt ankommt und einen öffentlichen Raum durchquert, eine bestimmte Anzahl von Personen infiziert, die zu diesem Zeitpunkt zufälligerweise anwesend sind. „Das erfolgt explosionsartig“, beschreibt Hoheiser-Pförtner.

Risiken hat es immer gegeben

Genau das Gleiche ereignet sich im Bereich der Informationstechnologie: War früher ein infizierter Rechner ein lokales Ereignis, das über Speichermedien oder einzelne Mails verbreitet werden konnte, so hat auch hier die umfassende Vernetzung zu einer sehr schnell dramatischen Ausbreitung von Ereignissen geführt. „Risiken hat es immer gegeben“, stellt Hoheiser-Pförtner fest, allerdings: „Das Zeitfenster, um zu reagieren, wird immer kleiner. Darauf müssen wir uns einstellen.“ Konkret bedeutet dies, die Reaktionen auf mögliche Probleme schon vorab festzulegen und Sicherheiten einzubauen: Daten vor Zugriff zu schützen und nicht nur lokal, sondern zusätzlich an einem anderen Speicherplatz zu sichern. Beispielsweise. Oder auch: Keine Dateien oder Links von unbekannten Absendern zu öffnen. Grundsätzlich gilt: aufmerksam sein. Genau das aber wurde, so Hoheiser-Pförtner, in den vergangenen Jahren eher vernachlässigt. Eine gewisse Unbekümmertheit hat sich daher in breiten Anwendungsgebieten breit gemacht – und Anwender gibt es allerorten und sie werden immer mehr. Der Herzschrittmacher, der seine Daten an einen zentralen Server sendet und so die Überwachung über große Distanzen ermöglicht, ist nur ein Beispiel. Dem Betroffenen ermöglicht er mehr Unabhängigkeit, er kann aber auch als Eintrittspforte für Manipulation dienen. Die Maxime lautet daher: „Security by Design“. Der Hersteller soll bereits dazu verpflichtet werden, Einflussnahmen und missbräuchliche Datenverwendung möglichst zu verhindern bzw. die möglichen Konsequenzen mitzubedenken.

Nicht immer ist es böse Absicht

Nicht jedes Problem mit drastischen Auswirkungen muss indes aus bösartigen Absichten entstehen. Ganz im Gegenteil: Ein großer Teil beruht auf Fehlern – entweder im System oder im Gerät selbst oder durch die Anwendung. Auch das sollte jedem bewusst sein. In der beabsichtigten Schädigung gibt es wiederum vier große Kategorien, worin das Interesse der Manipulation liegt: Am leichtesten zu enttarnen sind dabei jene, meist jungen, „Hacker“, die einfach zeigen wollen, wie clever sie selbst und wie dumm die anderen sind. Eitelkeit als Motiv. Dann gibt es noch Datendiebstahl für diverse Zwecke, die Lahmlegung vornehmlich von Netzwerken zu Erpressungszwecken und schließlich die Absicht, Angst und Chaos zu erzeugen. Während es jedoch beispielsweise für Medizinprodukte selbstverständlich eine Meldepflicht von Zwischenfällen gibt, gilt dies bisher für Ereignisse im Zusammenhang mit digitalen Daten und Systemen noch nicht.

Spitäler als kritische Infrastuktur

Das wird sich bald ändern. Die beiden auf EU-Ebene beschlossenen Regelungen betreffen einerseits den Datenschutz in Form einer EU-Grundverordnung und den Schutz der Information in Form der NIS-Richtlinie, der Richtlinie für Network Information Security. Beide werden im Mai 2018 auf nationaler Ebene in Kraft treten und damit zwei gravierende Änderungen im System bewirken, wie Hoheiser-Pförtner feststellt. Was den Datenschutz angeht, werden ab diesem Zeitpunkt alle europäischen Firmen, Institutionen und datenverarbeitenden Instanzen unter das gleiche Recht fallen.

Die Koordination der NIS-Richtlinie erfolgt durch das Bundeskanzleramt, und neben anderen Ministerien arbeitet das Bundesministerium für Gesundheit mit. Hier ist derzeit eine Arbeitsgruppe damit beschäftigt zu definieren, welche Unternehmen im Gesundheitsbereich zur „kritischen Infrastruktur“ gezählt werden, für die eine erhöhte Absicherung für den Ernstfall gilt. Schwerpunktspitäler sind da beispielsweise ganz sicher dabei. Betroffen kann freilich jeder Betrieb sein: Der niedergelassene Arzt und die Apotheke gleichermaßen, sobald das Szenario lautet: Es ist damit zu rechnen, dass jemand in die EDV eindringt und Daten manipuliert. Dann muss zuerst einmal erkannt werden, dass die Daten manipuliert wurden – und vorab festgelegt sein, wie darauf zu reagieren ist. Fällt der Betrieb in die Definition der „kritischen Infrastruktur“, so prüft die Behörde die Sicherheitsvorkehrungen und kann diese auch vorschreiben. Zu bedenken ist dabei, dass IT nicht nur in sich abhängig ist, sondern in höchstem Maße von der Stromversorgung. Neu wird nun eine Meldepflicht von Datenverlust und Störfällen sein, auch wenn niemand gerne ein Problem zugibt. Verstöße müssen daher exekutiert werden.

Die Europäische Datenschutzgrundversorgung schreibt hier Strafzahlungen im Ausmaß von vier Prozent des Gesamtunternehmensumsatzes vor. Es muss offenbar weh tun, um zu wirken. Die Absicherung der Daten dient nicht zuletzt dem Eigenschutz: Erpressungen, beispielsweise um wieder Zugriff auf seine böswillig verschlüsselten Informationen zu erhalten, werden nur dort relevant, wo keine zusätzliche Speicherung erfolgt ist. Die geforderte Summe zu zahlen, ist jedenfalls eine schlechte Lösung, versichert Hoheiser-Pförtner. Das wäre eine Einladung, es wieder zu versuchen. Viel besser: Das Thema vorbereiten, bevor etwas passiert. Dazu gibt es bereits Standardisierungen und Regeln, die in Form der ISO/IEC 27000-Serie international genormt sind. Damit nicht zu spät gehandelt wird und großer Schaden eintritt.

Eine sachkundige Erörterung über die allgemeinen und unterschiedlichen Problemlagen in der digitalen Welt des Gesundheitswesens vom Cybersecurity-Experten Ing. Franz Hoheiser-Pförtner folgt in den nächsten Ausgaben von Apotheker Plus/Ärzte Woche.

Zu diesem Thema wurden noch keine Kommentare abgegeben.

Mehr zum Thema

<< Seite 1 >>

Medizin heute

Aktuelle Printausgaben