Vorbeugung gegen Cyberpannen und Cyberkriminalität

Wir erinnern uns: Am 19. Juli 2024 standen Flughäfen weltweit still, nachdem über Nacht ein fehlerhaftes Update der Software „CrowdStrike Falcon“ auf 8,5 Millionen Windows-Rechner aufgespielt worden war. Ärgerlich für viele, die stunden- oder tagelang auf ihren ersehnten Urlaubsflug warten mussten. Doch auch Spitäler waren betroffen. Im Krankenhaus Dornbirn mussten geplante Operationen verschoben werden. Probleme gab es auch in Tirol bei der Leitstelle der Blaulichtorganisationen sowie im Bezirkskrankenhaus Kufstein. Erst ein paar Tage später war nach dem Aufspielen eines Updates vom Update die Krankenhaus-Welt wieder in Ordnung. 

Weit bedrohlicher als Software-Pannen sind freilich gezielte kriminelle Angriffe – auch auf sensible Gesundheitseinrichtungen. Oft stellt sich dann heraus, dass

• bei der Sicherheitssoftware gespart wurde;
• Updates verschoben wurden;
• man nicht glauben wollte, dass Cybergangster mit dem Leben von Menschen spielen würden.

Am 3. Juli 2024 wurden bei einem Einbruch in die Computer des Londoner Pathologiedienstleisters „Synnovis“ die dort gespeicherten Blutwerte von zehntausenden Patient*innen gestohlen. Mehrere Krankenhäuser mussten daraufhin tausende Operationen und zehntausende ambulante Termine verschieben. Es musste Spenderblut der Blutgruppe 0 aus anderen Spitälern herangeholt werden. Und es dauerte Wochen, bis in den Krankenhäusern im Süden von London wieder Normalbetrieb herrschte.

Gesundheitseinrichtungen mit „hoher Kritikalität“

Damit, wie sich Krankenhäuser vor IT-Pannen und Cyberattacken schützen können und müssen, beschäftigt sich unter anderem die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2). Die Mitgliedsstaaten sollten die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Die vorgegebene Frist hat die Regierungskoalition nicht eingehalten, die einschlägigen österreichischen Gesetze werden in der nächsten Legislaturperiode in Angriff zu nehmen sein.

Besonders hohe Sicherheitsstandards müssen nach dieser Direktive Gesundheitseinrichtungen einhalten. Sie gelten ab einer Zahl von 50 Mitarbeiter*innen als „Unternehmen mit hoher Kritikalität“, sofern sie einen Umsatz von mehr als 10 Millionen Euro erzielen, oder eine Jahresbilanzsumme in dieser Höhe. NIS-2 schreibt verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen vor. Eine Liste aller zu treffenden Cyber-Risikomaßnahmen findet sich auf der Webseite der WKO www.wko.at/it-sicherheit/nis2-uebersicht.

Rat und Anleitung gibt es unter anderem von der QualityAustria-Tochter CIS (Certification & Information Security Services). Geschäftsführer Harald Erkinger: „Wir unterstützen, indem wir unsere akkreditierten Prüfdienstleistungen anbieten und damit jedem Krankenhaus einen Statusbericht geben, mit praxisnahen Vorschlägen, wie die Vorgaben des kommenden NIS-2-Gesetzes umzusetzen wären. Wir haben viel Erfahrung im Krankenhausbereich und generell im Gesundheitswesen. Und wir können sehr pragmatische Hinweise liefern, wie Maßnahmen effizient umzusetzen sind – und nicht nur theoretische Vorgaben liefern.“

Austrian HealthCERT unterstützt

Die Gesundheits-Stakeholder der Zielsteuerung Gesundheit, also Bund, Länder und Sozialversicherungen, haben erkannt, dass sie die Einrichtungen im Kampf gegen IT-Pannen und Cyberangriffe nicht alleinlassen dürfen. Im Juni 2024 gründeten sie das „Austrian HealthCERT“ (CERT steht für „Computer Emergency Response Team“).  

Die bei der AGES angesiedelte Einheit soll:

• Daten der Patient*innen schützen
• Cyberbedrohungen überwachen
• Gesundheitseinrichtungen beim Bewältigen von Cyberangriffen helfen
• Richtlinien für bessere Sicherheitsmaßnahmen entwickeln
• Schulungen und Sensibilisierungsprogramme anbieten
• den Austausch von Informationen zwischen Krankenhäusern, Apotheken, Ärzt*innen und IT-Dienstleistern koordinieren
• Gesundheitseinrichtungen beim Einführen von Sicherheitsmaßnahmen unterstützen

Nähere Informationen gibt es unter https://a-healthcert.at/.

Text: Josef Broukal

Foto: Pete Linforth auf Pixabay