Bei der Betrachtung von Fragestellungen der IT-Sicherheit müssen mehrere unterschiedliche Aspekte berücksichtigt werden. Zum einen gibt es die sogenannte Funktionssicherheit (safety), die gewährleisten soll, dass Systeme gemäß ihrer erwarteten Funktion arbeiten. Daneben beschreibt die Informations- bzw. Datensicherheit (security) den Schutz der Informationen vor unautorisiertem Zugriff. Darauf aufbauend bezieht sich der Datenschutz auf die Sicherheit von Personen, die Kontrolle über die eigenen persönlichen Daten zu behalten (privacy).
Eine der am weitesten verbreiteten Bedenken bei der Einführung von neuer Technologie im Rahmen „Industrie 4.0“ ist die Security, also die Datensicherheit. Laut einer Umfrage des VDE unter Entscheidern in der Industrie ist für 7 von 10 Befragten die IT-Sicherheit das größte Hindernis der Industrie 4.0 in Deutschland. Daher kommt der IT-Sicherheit eine Schlüsselrolle bei der Entwicklung hin zur Industrie, aber auch dem Krankenhaus 4.0 zu. Die entsprechenden Maßnahmen erfüllen damit nicht nur ihren technischen Zweck, sondern wirken vertrauensbildend als Wegbereiter neuer Technologien.
Wenn immer mehr Systeme vernetzt werden und somit einen breiter verteilten Zugang erlaubt, steigt auch das Risiko von unautorisierten Zugriffen. Dies gilt für Anlagen wie Kraftwerke, Strom- und Telefonnetze, aber auch für Fabriken, Krankenhäuser und Privathaushalte.
Die Sicherheit von Anlagen wie einer „Smart Factory“ der Industrie 4.0 ist durch die Vernetzung im Unternehmen selbst und die Vernetzung nach außen, sowie durch die Heterogenität der Teilnehmer wie cyber-physischer Systeme (CPS) eine besondere Herausforderung. Dies gilt ebenso für das "Krankenhaus 4.0", das durch die Vielzahl unterschiedlicher Anwender, Geräte und Systeme, sowie die Sensibilität der Informationen besonders geschützt werden muss. Doch der Einsatz von neuen Technologien im Zusammenhang mit "4.0" bedeutet nicht automatisch den potentiell öffentlichen Zugang zu den eigenen Daten. So können z.B. Cloud-Strukturen auch als „private cloud“ nur innerhalb des eigenen Unternehmens etabliert werden, physisch getrennt oder durch Firewalls und weitere Systeme und Module geschützt.
Um diese Sicherheit der IT in sogenannten soziotechnischen Systemen, in denen die IT verschiedenste Zwecke erfüllt und die Anwender bzw. Mitarbeiter über unterschiedliches Know-How verfügen zu gewährleisten, bedarf es eines methodischen und systematischen Vorgehens (Security Engineering). Um Unternehmen bei Maßnahmen zur Verbesserung der Sicherheit wie Bedrohungsanalyse, Modellierung und Bewertung zu unterstützten, hat das Bundesministerium für Sicherheit und Informationstechnik (BSI) mehrere Ansätze entwickelt. Das „ICS-Security-Kompendium“ (ICS für Industrial Control Systems) stellt eine Art Grundlagenwerk für die IT-Sicherheit in Automatisierungs-, Prozesssteuerungs- und Prozessleitsystemen dar und richtet sich an IT-Sicherheitsexperten, aber auch als Informationsquelle für Betreiber mit weniger Erfahrung. Ergänzend steht mit dem „Light and Right Security ICS, kurz LARS ICS ein Werkzeug für einen einfachen Einstieg für kleinere und mittlere Unternehmen in das Thema der Cyber-Security zur Verfügung.
Im Krankenhaus 4.0 ergeben sich ähnliche Probleme bezüglich vernetzter Systeme. Doch hier können Angriffe auf die IT eines Krankenhauses mehr als nur wirtschaftlichen Schaden, sondern auch direkt gesundheitliche Konsequenzen für die Patienten bedeuten. Laut einer IBM Studie war das Gesundheitswesen 2015 der am häufigsten von Cyber-Angriffen betroffene Sektor. Über verbundene Medizingeräte wie Messgeräte auf der Intensivstation kann Zugriff auf das Krankenhausnetzwerk erlangt und Malware eingeschleust werden. Ziele der Hacker sind oft die Patientendaten und weitere wichtige und vertrauliche Daten des Krankenhauses, um diese weiter zu verkaufen oder zu sperren, um das Krankenhaus zu erpressen. Auch nach einem Angriff kann die verwendete Malware zu Fehlfunktionen der infizierten Geräte führen. Ein Grund für erfolgreiche Angriffe ist oft die veraltete Software der Geräte, die durch vernachlässigte oder durch rechtliche Hürden blockierte
Updates für neue Bedrohungen angreifbar werden. Daher ist es besonders wichtig, genau zu wissen, welche Geräte verbunden sind und über welche Sicherheitsmaßnahmen diese verfügen, um so das Krankenhaus sowohl im Sinne der Funktionssicherheit als auch der Informationssicherheit und des Datenschutzes zu schützen.
Ein prominentes Beispiel bezüglich des Datenschutzes im Gesundheitswesen ist die deutsche elektronische Gesundheitskarte (eGK). Auf dieser Smartcard sind neben dem Namen und Adressdaten des Versicherten auch Informationen gespeichert, die besonderen Schutz vor unautorisierten Zugriff bedürfen, wie Daten über den sozialen Status, Rezepte oder zukünftig auch weitere medizinische Daten. Die eGK verfügt über verschiedene Verschlüsselungsverfahren und -Ebenen. Neben einer sechs- bis achtstelligen PIN unterstützt die eGK zur Erstellung digitaler Signaturen und Zertifikate das RSA-Verfahren, den X.509 Standard und verwendet Verschlüsselungsalgorithmen wie SHA-1 und 3DES.
Ein wichtiger Schritt hin zu mehr IT-Sicherheit ist die Sensibilisierung der Hersteller, Betreiber und Anwender für das Thema Cyber-Security. Zudem ist es wichtig, dass Abteilungen, die bisher eigenständig agierten, wie Office-, Infrastruktur- und Medizingeräte-IT ein gemeinsames Sicherheitskonzept etablieren, um Schwachstellen in der umfassenden Vernetzung des Krankenhauses zu verhindern.
Referent/in: Philipp Töbich, Business Development BPNG Deutschland GmbH
Referent/in: Prof. Dr. Thomas Eisenbarth, Institut für IT-Sicherheit, Universität zu Lübeck
Zu den klassischen IT Security-Problemen wie Datenschutz und Zuverlässigkeit von IT-Systemen gibt es viele medizinspezifische Probleme wie die Sensibilität und Langlebigkeit von Daten sowie die starke Regulierung.Andererseits ermöglichen neue Technologien wie Big Data und Smart Devices innovative Behandlungsmöglichkeiten und eine bessere medizinische Versorgung. Solche neuen Lösungen drohen schnell in den Konflikt mit der Privatsphäre des Einzelnen zu geraten und erfordern deshalb neue Ansätze zur Bereitstellung von Security und Privacy. Der Vortrag gibt einen Überblick über aktuelle Entwicklungen in der IT-Sicherheit und wie sich diese auf die moderne IT-Infrastruktur in der Medizin auswirken können.
Referent/in: Dr. Bernd Schütze, Deutsche Telekom Healthcare and Security Solutions, Senior Experte Medical Data Security