Unsere Gesundheitssysteme vor Cyberangriffen schützen
Im Gesundheitswesen wurden in zuletzt neue Technologien eingeführt, darunter Big-Data-Analysen, IoT, KI und Cloud-/Mobil-Dienste. Gemeinsam haben diese Fortschritte zur Erstellung elektronischer Gesundheitsakten und der Fähigkeit zur Telemedizin beigetragen. Das Gesundheitswesen stellt eine besondere Herausforderung dar, da die Endgeräte mit mehreren Nutzenden verbunden sind und die Nutzung von Informationssystemen anfällig für menschliche Fehler ist. In Kombination mit fehlenden Maßnahmen zur Informationssicherheit erhöht dieses menschliche Verhalten das Risiko von Cyberangriffen mit potenziellen Datenschutzverletzungen.
Technische Lösungen zur Sicherung der IT-Dienste von Krankenhäusern
Aufgabe des EU-finanzierten Projekts PANACEA war die Erarbeitung technischer Lösungen zur Erkennung und Verwaltung von Risiken in komplexen IT-Umgebungen wie Krankenhäusern. Das Projekt brachte Fachwissen aus verschiedenen Fachgebieten für die Entwicklung eines Instrumentariums zusammen, das IT-Schwächen behebt und einen grundlegenden Dienst im Gesundheitswesen bietet. „PANACEA hat neun Instrumente eingeführt, die Organisationen des Gesundheitswesens dabei helfen sollen, ihre Fähigkeiten zur Vermeidung von Cyberangriffen, die die Geschäftskontinuität stören und sensible Daten gefährden, zu bewerten, zu stärken und zu verwalten“, erklärt Projektkoordinatorin Sabina Magalini. Eines der Instrumente hilft bei der Bewertung der Sicherheit von neu beschafften medizinischen Geräten oder Softwareanwendungen. Es geht darum, keine neuen Schwachstellen in das IT-System des Krankenhauses einzubringen. Die Forschenden haben ein softwarebasiertes Instrument erstellt, das mögliche neue Angriffsarten schnell analysiert und eine dynamische Risikobewertung von IT-Systemen, medizinischen Geräten und Menschen ermöglicht. Außerdem bietet es priorisierte Maßnahmen zur Behebung der festgestellten Schwachstellen. Im Bereich des Datenschutzes führte PANACEA eine sichere softwarebasierte Lösung für den Austausch klinischer Dokumente und Bilder zwischen verschiedenen Unternehmen ein, unabhängig davon, wo diese sich befinden. Um die Sicherheit von Krankenhausarbeitsplätzen zu erhöhen, zu denen in der Regel zahlreiche Angestellte Zugang haben, schlägt das Projekt ein biometrisches Identifikationssystem zur Gesichtserkennung über das Smartphone einer angestellten Person vor.
Die Sensibilisierung des Personals und der organisatorischen Vorbereitung verbessern
Ein beträchtlicher Teil des Projekts war der Sensibilisierung für Cyberbedrohungen und der Vorbereitung von Gesundheitseinrichtungen auf den Umgang mit realen IT-Verletzungen gewidmet. Die Forschenden erstellten eine Checkliste, die Sicherheitslücken in Krankenhäusern in Bezug auf Cybersicherheitsstandards aufzeigt und Leitlinien für den Aufbau einer IT-sicheren Organisation bietet. Das Konsortium hat eine Methode ausgearbeitet, die die Krankenhausleitung bei der Entscheidung über die Priorität der Investitionen in die Cybersicherheit unterstützt und die Rendite in Form einer besseren Einhaltung der Cybersicherheitsstandards maximiert, um Krankenhäusern bei der Einführung der richtigen Cybersicherheitslösungen zu helfen. Hinzu kommt eine Reihe von Leitlinien, die Krankenhäuser bei der Auswahl und dem Einsatz der PANACEA-Instruments entsprechend ihren spezifischen Bedürfnissen unterstützen. Für die Alarmierung des Krankenhauspersonals hat PANACEA eine Methode eingeführt, die unsichere IT-Verhaltensweisen ermittelt und dann kontextspezifische Hinweise in Form von Memes oder Bildschirmschoner-Meldungen ausgibt. Zur Sensibilisierung des Personals wurden außerdem kurze Videoclips mit Cartoons erstellt, die reale Risikosituationen beschreiben. Die Instrumente wurden in drei europäischen Ländern validiert, und jedes Instrument kann allein verwendet werden. „Die wichtigste Errungenschaft ist, dass die PANACEA-Instrumente einen ganzheitlichen, auf Menschen und Unternehmen ausgerichteten Ansatz darstellen“, betont Magalini. Das Instrumentarium ist direkt über die PANACEA Healthcare Cybersecurity Advisory Services (PHCAS) zugänglich, einen Kooperationsmechanismus, der von den Projektpartnern im Rahmen einer Absichtserklärung unterzeichnet wurde. PHCAS bietet multidisziplinäre Beratungsdienste an, um Kundschaft dabei zu helfen, einen ganzheitlichen Ansatz für die Bewertung und Vorbereitung auf die Cybersicherheit zu verfolgen.
Schlüsselbegriffe
PANACEA, Krankenhaus, Gesundheitswesen, IT, Cybersicherheit, Cyberangriff, Instrumentarium