VII-F-09765 Cyberangriffe auf die Krankenhausinfrastruktur
Derzeit gehören Hackerangriffe auf die Krankenhausinfrastruktur u. a. in NRW zum Alltag. So sind beispielsweise das Dreifaltigkeits-Hospital in Lippstadt und die Krankenhäuser in Erwitte und Geseke betroffen. Wann der Krankenhaus-Alltag dort wieder nach Plan läuft, ist unklar. Weite Teile des Computersystems liegen lahm. Neue Patienten können zurzeit nicht aufgenommen werden, Operationen werden verschoben.
Daher fragen wir:
- Wie gut ist das Krankenhaus St. Georg gGmbH vor Cyberangriffen geschützt?
- Welche Maßnahmen wurden ergriffen, um eventuelle Angriffe abzuwehren?
- Welche Notfallpläne existieren, um im Schadensfall den Krankenhausbetrieb aufrecht zu erhalten?
Antwort
- Wie gut ist das Krankenhaus St. Georg gGmbH vor Cyberangriffen geschützt?
Das Klinikum St. Georg ist vom Gesetzgeber als „Kritische Infrastruktur - KRITIS“ eingestuft. In Folge dessen muss sich das Klinikum St. Georg im Abstand von zwei Jahren von externen Sachverständigen prüfen und die Konformität des IT-Gesamtsystems bestätigen lassen („KRITIS-Audits“). Bei diesen Audits werden die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik auf deren Einhaltung im Klinikum St. Georg geprüft, bei Abweichungen werden Fristen zur Abstellung der Mängel gesetzt. Das letzte KRITIS-Audit fand im Mai 2023 statt. Das nächste wird im April/Mai 2025 erfolgen.
2. Welche Maßnahmen wurden ergriffen, um eventuelle Angriffe abzuwehren?
Zur Abwehr von Cyberangriffen gibt es aufeinander aufbauende oder parallele soft- und hardwareseitige sowie organisatorische Schutzmaßnahmen.
Neben grundlegenden Schutzmechanismen, wie z.B. einem mehrstufigen Firewall-System und unterschiedlichen Antivirenprogrammen, setzt die Unternehmensgruppe weitere Systeme zur Früherkennung von Schwachstellen ein.
Ebenso werden gerade die aktuellsten Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Betreiben eines Systems zur Angriffserkennung weiter umgesetzt.
Beim Netzwerkaufbau wurde sich darauf konzentriert, dass im Falle eines erfolgreichen Angriffs nur ein möglichst kleiner Teil des Netzwerks betroffen ist. Dieses Ziel wurde durch eine Segmentierung des gesamten Netzwerks erreicht.
Ein derzeit laufendes Projekt beschäftigt sich mit der Erneuerung der Hardware des Kernnetzwerkes. Die Kernkriterien im Rahmen der Ausschreibung waren unter anderem Zukunftssicherheit und IT-Sicherheit.
Ergänzt werden die Maßnahmen an Hard- und Software durch umfangreiche organisatorische Maßnahmen.
Dazu gehören verschiedene Abstimmungsrunden der IT-Verantwortlichen mit dem Informationssicherheitsbeauftragten zu aktuellen und perspektivischen Themen. In die Unternehmensgruppe erfolgen regelmäßige Informationen und Newsletter, sowie verschiedene Tests, beispielsweise in Form von Phishingmaßnahmen.
3. Welche Notfallpläne existieren, um im Schadensfall den Krankenhausbetrieb aufrecht zu erhalten?
Es existieren Notfallpläne für unterschiedliche Ausfallszenarien in Form von Arbeitsanweisungen und Bereichsspezifischen Handlungsanweisungen.
Weitere Regelwerke werden derzeit überarbeitet oder neu erstellt, dazu gehört beispielsweise das betriebliche Kontinuitätsmanagement.