IT Sicherheit im Krankenhaus: Lösungen für Cyber-Sicherheit

Unser Beitrag zur IT-Sicherheit IT-Sicherheit im Krankenhaus Aktuelle Bedrohungen Downloads Kontakt

Die Bedeutung der IT-Sicherheit von Medizintechnik im Gesundheitswesen

—

Als Ihr Spezialist für die Akutversorgung wissen wir, dass die Sicherheit medizinischer Geräte ein globales Problem im Gesundheitswesen darstellt. Cyberangriffe können in jeder Branche zum Stillstand führen. Aber im Gesundheitswesen – das in Sachen Cybersicherheit teils hinter anderen Branchen zurückliegt – kann eine Abschaltung eine Frage von Leben oder Tod sein. Geräteausfälle können Patienten gefährden, und der Diebstahl von Krankenhaus- und Patientendaten könnte jahrelange Folgen haben. Cyber-Bedrohungen werden nicht verschwinden. Das bedeutet, dass Ihre Organisation Maßnahmen ergreifen muss, um Ihre IT-Systeme, Ihre Daten, Ihre medizinischen Geräte und vor allem Ihre Patienten zu schützen.

Dabei spielt der „Faktor Mensch“ eine entscheidende Rolle. Denn Cyber-Sicherheit ist nur so gut, wie der Mensch, der die Geräte bedient. Gleichzeitig ist es uns wichtig, dass die zugrunde liegende Technologie entsprechende Funktionen und Maßnahmen bietet, um den Anwendern eine sichere Nutzung möglichst einfach zu machen.

„Wir helfen Ihnen dabei, Gefahren zu erkennen – und das auf sicherem Wege. So haben Sie die Möglichkeit, entsprechend darauf zu reagieren.“

Stefan Dräger

Unser Beitrag zur IT-Sicherheit im Krankenhaus

—

Cyber-Sicherheit erfordert umfassende administrative, logische und physische Maßnahmen, um vernetzte medizinische Produkte zu schützen und Risiken für Patienten sowie finanzielle Schäden zu vermeiden. Es handelt sich dabei um kein kurzfristiges oder einmalig zu erledigendes Projekt, sondern um einen kontinuierlichen Prozess zur Minimierung der Risiken für Medizingeräte und Patienten. Erfahren Sie mehr dazu, wie wir die Sicherheit von Produkten und Netzwerken gewährleisten.

Zum Schutz unserer medizinischen Produkte verfolgen wir einen >Security-by-Design<-Ansatz. Unser Ziel ist es, die Angriffsfläche unserer Produkte bestmöglich zu minimieren und gleichzeitig eine einfache Anwendung für das klinische Personal zu gewährleisten. Konkret treffen wir unter anderem diese Maßnahmen:

Implementierung von Sicherheitsstandards, die gegenwärtige gesetzliche Anforderungen und bewährte Verfahren der Branche erfüllen oder übertreffen; wir orientieren uns bspw. an der FDA Guidance CS 2014/18 (Content of Premarket Submissions for Management of Cybersecurity in Medical Devices)* und der FDA Postmarket Management of Cybersecurity in Medical Devices*
Integrierte Sicherheit: gehärtete Systeme, Ende-zu-Ende-Verschlüsselung mit regelmäßigem Ablauf der Zertifikate, Secure Boot, Whitelisting, Data encryption etc.**
Dezidierte Sicherheitseigenschaften von datenanalytischen und dienstbezogenen Anwendungen in der Dräger Services Cloud; auf Anfrage stellen wir unseren Kunden hierzu ein umfassendes Cyber-Sicherheits-Whitepaper zur Verfügung
Umfassende Bedrohungs- und Sicherheitsanalysen; erfahren Sie mehr darüber in unserem Whitepaper
Interne und externe Pentests (White Hats); erfahren Sie mehr dazu am Beispiel unserer Anästhesiegeräte der Atlan Familie
Kontinuierliche Schulungsmaßnahmen zu Cyber-Sicherheit und sicheren Entwicklungsumgebungen für alle Mitarbeiter, die am Entwicklungslebenszyklus beteiligt sind

Dräger steht für die Integrität und Zuverlässigkeit von Produkten, Services und Dienstleistungen sowie der verwendeten Informationen und Daten. Dementsprechend orientieren wir uns an den ›Privacy-by-Design‹-Prinzipien. Wir erheben Patientendaten bspw. nur anonymisiert und wenn es unbedingt notwendig ist. Darüber hinaus verarbeiten wir personenbezogene Daten in Übereinstimmung mit dem geltenden Recht und schützen Daten und Informationen unter Berücksichtigung ihrer Kritikalität durch:

Implementierung eines konzernweit einheitlichen Niveaus von Datenschutz- und Informationssicherheitsprozessen
Klare Verantwortlichkeiten und Informationssicherheitsorganisation auf Basis von Prozessen
Identifikation und Dokumentation des angemessenen Schutzniveaus von Informationen
Verzeichnis aller Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden, gemäß Artikel 30 DSGVO
Spezifisches Kommunikations- und Schulungskonzept für alle Mitarbeiter
Regelmäßige Audits der Organisation hinsichtlich notwendiger Datenschutz-Compliance und Informationssicherheitsmaßnahmen in Bezug auf das dokumentierte Schutzniveau
Etablierung von Monitoring- und Reportingstandards zur Kontrolle des Datenschutz- und Informationssicherheitsniveaus
Überwachung der Umsetzung identifizierter und genehmigter Datenschutz- und Informationssicherheitsmechanismen und -tools

Transparenz als Grundlage, um Geräte sicher in Ihr Netzwerk einzubinden: Wir stellen Ihnen als Kunden die Informationen zur Verfügung, die Sie benötigen, um Ihre Assets und die bekannten Cyber-Risiken, die unsere Medizingeräte betreffen, zu identifizieren, und um entsprechende Maßnahmen zu treffen. Diese Informationen umfassen:

Software-Stückliste (Software Bill of Material, SBOM), die im Produkt verwendeten Softwarekomponenten von Drittanbietern auflistet
Offenlegungserklärung (MDS2), um Sie bei der Bewertung von Sicherheitsrisiken im Zusammenhang mit der Verwaltung Ihrer Medizingeräte zu unterstützen
Gebrauchsanweisungen, die unter anderem Aspekte der Cyber-Sicherheit bei der Integration des Produktes in das Kundennetzwerk beschreiben
Implementierung sicherer Authentifizierungs- und Autorisierungskonzepte (z. B. ›Deny-all-by-default‹); mehr dazu in unserem Whitepaper

Risikomanagement IEC 80001-1 in Krankenhäusern

Bei allen Fragen zur Cyber-Sicherheit in Ihrem Krankenhaus stehen wir Ihnen als kompetenter und verantwortungsvoller Partner zur Seite. Mit unserem Risikomanagement helfen wir Ihnen, Ihrer Verantwortung ebenso wie den gesetzlichen Anforderungen zuverlässig gerecht zu werden.

Persönliche Ansprechpartner zum Thema Cyber-Sicherheit im Krankenhaus
Strukturiertes Risikomanagement in fünf Schritten
Unterstützung des reibungslosen, EDV-gestützten Krankenhausalltags
Patienten- und Datensicherheit mit vernetzten Medizinprodukten
Erfüllung der gesetzlichen Anforderungen gemäß §137 (Richtlinien und Beschlüsse zur Qualitätssicherung), SGB 5
Unterstützung bei der Umsetzung von B3S in Ihrem Krankenhaus

Mehr erfahren

Meldestelle für Produktsicherheit

Hundertprozentige Sicherheit beim Einsatz von IT im Gesundheitswesen gibt es nicht. Aber durch Verantwortungsbewusstsein und Dialog werden die Risiken entscheidend minimiert. Deshalb haben wir eine zentrale Meldestelle für Produktsicherheit eingerichtet, auf der uns Forscher und Anwender von Medizingeräten ihre Beobachtungen melden können.

Unterstützung der koordinierten und verantwortungsvollen Offenlegung von Sicherheitslücken
Umgehende Prüfung eingehender Meldungen durch unsere Sicherheitsexperten
Hinweise und Warnmeldungen über Bedrohungslagen
Schnellstmögliche Behebung existierender oder potenzieller Schwachstellen

Mehr erfahren

Eine Remoteanbindung ist in der heutigen Zeit wichtig, um stets die neuesten Security Patches aufspielen und im Servicefall effizient agieren reagieren zu können. Hierbei arbeiten wir kompromisslos im Sinne der aktuellen Cyber Security Frameworks, weshalb wir bei Dräger unsere verantwortlichen Geschäftsbereiche der Drägerwerk AG & Co. KGaA für die Remote Verbindung zu Ihnen sowie für das bei Ihnen zu installierende Gateway nach der ISO 27001 zertifiziert haben.

Gemeinsam für eine sichere vernetzte Medizintechnik

Effektiven Schutz vor Cyber-Kriminellen erreichen wir, indem wir kontinuierlich und gemeinsam daran arbeiten. Unser Ziel ist es dabei, eine ausgewogene Balance zwischen einem möglichst hohen Schutzniveau und einer einfachen Anwendung in der klinischen Praxis zu erreichen. Erfahren Sie, welche Maßnahmen und Lösungen wir zur Sicherheit unserer Produkte implementieren.

Download (PDF)

IT-Sicherheit im Krankenhaus

—

Die Digitalisierung des Gesundheitswesens geht rasant voran. Schon heute werden medizinische Geräte und Systeme immer mehr zu Netzwerken verbunden. Sie sollen miteinander interagieren und neue klinische Applikationen ermöglichen. Dazu gehören Technologien zur Entscheidungsunterstützung, Fernsteuerungsfunktionen und automatisierte Prozesse.

Grundvoraussetzung dafür ist jedoch eine sichere Netzwerkumgebung. Cyber-Sicherheit im Krankenhaus ist notwendig, um die Funktionsfähigkeit und den Datenschutz zu gewährleisten. Krankenhäuser unternehmen massive Anstrengungen, um Ihre Netzwerke zu sichern. Wir als Hersteller möchten zur IT-Sicherheit im Krankenhaus beitragen, indem wir Produkte anbieten, die widerstandsfähig gegen Cyber-Angriffe sind und die sich sicher in das bestehende Krankenhausnetzwerk integrieren lassen.

Kommen Sie den Angreifern zuvor!

Schneller Informationsaustausch, automatisierte Abläufe, effiziente Prozesse: Ohne vernetzte Informationstechnologie ist der moderne Krankenhausbetrieb nicht denkbar. Die Kehrseite der Medaille: Auch Ihr Krankenhaus kann jederzeit ins Visier von Cyberkriminellen geraten.

Bereits mehrfach wurden Krankenhäuser Opfer von Cyberkriminalität. Am häufigsten sind Erpressungsversuche mit Ransomware, bei denen wichtige Krankenhausdaten verschlüsselt werden und für die Herausgabe des Entschlüsselungscodes ein hohes Lösegeld in Bitcoins verlangt wird. Simulierte Attacken haben zudem gezeigt, dass medizinische Geräte oft nur unzureichend gegen Manipulationen geschützt sind. Neben der Gefahr für Leib und Leben der Patienten drohen Betriebsausfälle, finanzielle Einbußen, der Verlust sensibler Daten und nicht zuletzt der Schwund des Patientenvertrauens.

Werden Sie aktiv, bevor es zu spät ist! Unsere Experten für Cyber-Sicherheit helfen Ihnen dabei, Ihr Krankenhaus wirksam gegen Cyberangriffe zu schützen. Schutzmaßnahmen sind für Krankenhäuser als Betreiber Kritischer Infrastrukturen im Bereich des Gesundheitswesens auch rechtlich geboten: Gemäß § 8a (in Verbindung mit § 2 Abs. 10 Nr. 1) des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) sind Betreiber Kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz Ihrer Informationstechnik zu treffen. Bei Verstößen gegen Datenschutzvorschriften können künftig (mit Inkrafttreten der EU-Datenschutzgrundverordnung im Mai 2018) deutlich höhere Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Vorjahresumsatzes eines Unternehmens drohen (Art. 83 EU-DSGVO).

Themen im Zusammenhang mit der Cyber-Sicherheit dominieren die ECRI-Liste der technologischen Gefahren im Jahr 2026

Da Cyberangriffe auf Einrichtungen des Gesundheitswesens weiter zunehmen, werden Maßnahmen zur Sicherung des Krankenhausnetzes immer wichtiger, um die Patientenversorgung zu gewährleisten und finanziellen Schaden abzuwenden. Der Bericht des US-amerikanischen ECRI-Instituts über die 10 größten Bedrohungen im Bereich der Gesundheitstechnologie im Jahr 2026 befasst sich mit Sicherheitsrisiken für Patienten und Patientendaten, die sich aus der raschen Einführung der Telemedizin, Schwachstellen in Softwarekomponenten von Drittanbietern und dem Fernbetrieb medizinischer Geräte ergeben.

Download (PDF EN)

Unser Coordinated Disclosure Statement: aktuelle Bedrohungen

Wir stellen Ihnen die Sicherheitshinweise zu aktuellen Bedrohungen auf unserer Coordinated Disclosure Statement Seite zur Verfügung, die eine einfache Möglichkeit bietet, potenzielle Sicherheits- und Datenschutzverletzungen zu entdecken und verantwortungsbewusst zu melden.

Mehr erfahren

Nützliche Informationen

—

Klinische Netzwerk- und Datenmanagement-Systeme

—

Wir bieten Ihnen umfassende Lösungen zur Erhöhung der Cyber-Sicherheit Ihres Krankenhauses: von Patientendaten-Managementsystemen (PDMS) über sichere Datenschnittstellen bis hin zu Beratung und Service. Vertrauen Sie auf unsere über 20-jährige Erfahrung in der Entwicklung und Anwendung vernetzter Medizintechnik.