Cyberkriminalität in der Medizin

Wien, 24. Juni 2019 Die Cyberkriminalität ist auch in Österreich auf dem Vormarsch. Jüngste Datenerhebungen legen dar, dass kriminelle Handlungen im Internet zunehmen und auch vor dem Gesundheitsbereich nicht Halt machen. Vor allem das sogenannte „Darknet", ein besonders gut abgeschotteter Bereich im Netz, dient als Ausgangsort für digitale Angriffe, da dort Verschlüsselung und Anonymisierung garantiert werden und heimliche Marktplätze als Plattformen für den Verkauf gestohlener Daten dienen. Die Ärztekammer macht nun auf die Probleme, die sich dadurch auch für den Gesundheitsbereich – vom Krankenhaus bis zur Einzelordination – ergeben, aufmerksam und stellt Lösungen und Empfehlungen vor, damit Gesundheitsdaten von Patienten sicher verwahrt werden.

Die Grenzen zwischen der „echten" und „virtuellen" Realität verschwinden nach und nach. Der technische Fortschritt hat dazu geführt, dass elektronische und internetfähige Geräte immer kleiner und leistungsfähiger werden.

Trotz der vielen Möglichkeiten, die diese Entwicklungen bieten, entstehen damit vor allem auch für die Ärzteschaft viele Risiken und Herausforderungen. Neben potenziellen technischen Problemen bei Soft- und Hardware ist auch die kriminelle Komponente, die in diesem Bereich Einzug hält, zu berücksichtigen. „Patienten- und Gesundheitsdaten müssen einen besonderen Stellenwert haben, denn Gesundheitsdaten sind sehr persönliche, besonders sensible Daten", warnt Ärztekammerpräsident Thomas Szekeres.

„Wenn man die Kriminalitätsstatistiken über die letzten Jahre vergleicht, kann man in Österreich einen noch stärkeren Anstieg der Cyberkriminalität beobachten", erklärt Cornelius Granig, IT-Sicherheitsexperte und Geschäftsführer des Beratungsunternehmens WGM Health Care Services GmbH. 2017 stieg demnach die einschlägige Kriminalitätsrate um etwa 28 Prozent im Vergleich zum Jahr davor, 2018 war der Anstieg mit knapp 17 Prozent im Vergleich zu 2017 für Granig „noch immer mehr als besorgniserregend".

„In Deutschland betrug der Anstieg von 2017 auf 2018 8 Prozent, und auf die Einwohnerzahl gerechnet gibt es dort mehr Straftaten im Bereich der Computerkriminalität als in Österreich", vergleicht Granig die Zahlen mit Österreichs größtem Nachbarn. Nach Schätzungen des Bunds Deutscher Kriminalbeamter liegt dabei die Dunkelziffer bei 90 Prozent, da nur ein Bruchteil der Straftaten angezeigt wird oder viele der Betroffenen gar nicht merken, dass sie Opfer einer Straftat geworden sind.

Technikeinsatz nimmt zu

Vor allem im Gesundheitswesen würde gemäß Granigs Studien die vernetzte beziehungsweise vernetzende Technik immer stärker Einzug halten, und zwar nicht nur in Krankenhäusern sowie bei niedergelassenen Ärztinnen und Ärzten – in Österreich etwa durch die Einführung der Elektronischen Gesundheitsakte ELGA –, sondern auch bei Patienten, wo eine Vielzahl von smarten Geräten im Fitnessbereich sowie für telemedizinische Zwecke zum Einsatz kommen.

„Während diese Geräte im Regelfall in der Hand gehalten oder am Körper getragen werden, gibt es in der Medizin auch eine Entwicklung zu einer immer stärkeren Integration von Geräten in den menschlichen Körper, wie beispielsweise in der Form von eingepflanzten Herzschrittmachern, Insulinpumpen oder intelligenten Kontaktlinsen", führt Granig weiter aus.

Auf der einen Seite würden solche computergestützten Geräte der Überwachung und damit auch der Optimierung der eigenen Gesundheit über die konstante Sammlung diverser Vitalwerte und deren regelmäßiger Auswertung dienen, auf der anderen Seite eröffneten diese zusätzlichen Daten auch neue Möglichkeiten in der Behandlung, vor allem im Bereich der Analyse, Diagnostik und Therapie chronisch Kranker.

Viele dieser Geräte sind mit dem „Internet der Dinge" verbunden und stellen eine Angriffsmöglichkeit für Kriminelle dar, wenn sie von den Benutzern nicht als vollwertige, von außen beeinflussbare Computersysteme wahrgenommen, regelmäßig überprüft und Softwareupdates eingespielt werden.

Dazu kommt noch ein weiterer wichtiger Aspekt: Durch die Verwendung solcher Geräte und mittels neuer Verfahren entstehen sehr große Datensammlungen. „Insbesondere im zukunftsträchtigen Bereich der personalisierten Medizin oder Präzisionsmedizin, also der Abstimmung von Behandlungsmethoden auf das individuelle genetische Profil eines Patienten, spielen große Datenmengen, und da vor allem die Daten über die Genomsequenzierung, eine bedeutende Rolle. Die Speicherung solcher Daten muss mit höchster Sorgfalt durchgeführt und möglichem Missbrauch durch unautorisierten Handel mit diesen Daten vorgebeugt werden", betont Granig.

Herausforderungen für „Doktor 4.0"

„Um mit der neuen Generation von Geräten, die am „Internet der Dinge" hängen, zu arbeiten, bedarf es neben der entsprechenden Ausbildung auch eines technischen Grundwissens und der notwendigen Ausstattung", erklärt Granig. Aufgrund von Ressourcenbeschränkungen in Bezug auf Speicher, Batterie und Rechenleistung haben sich demnach gerade internetbasierte Geräte als schwieriger zu schützen herausgestellt.

Neben dem Risiko des Datendiebstahls besteht durch Sicherheitslücken in telemedizinischen Anwendungen auch das Risiko von direkter Manipulation der Funktionsweise solcher Geräte durch unbefugte Personen. „Daraus können nicht nur Gesundheitsprobleme für die betroffenen Patienten resultieren, sondern auch Rechtsstreitigkeiten und finanzielle Sanktionen", warnt Granig.

Sicherheitsschwachstellen können gemäß Granig mannigfaltige Ursachen haben, die nicht nur in der Komplexität und Heterogenität derartiger Systeme liegen, sondern auch im unzureichenden Management von Software-Updates und dem Umgang mit bekannten Software-Schwachstellen, speziell für den Zeitraum zwischen deren Bekanntwerden und der Auslieferung der Fehlerbehebung.

Das gilt auch für komplexe medizinische Diagnosegeräte, wie Computer- oder Magnetresonanztomografen, deren Integrität innerhalb von Netzwerken ständig überprüft werden muss. „Wir haben dazu das Forschungsprojekt MedAI ins Leben gerufen, dessen Ziel die Entwicklung einer neuen Generation von Schutzsoftware für all diese Geräte ist, um deren Manipulierbarkeit und das illegale Entwenden von Daten zu verhindern", sagt Granig.

Sicherheitstipps für Ärzte

Um Ärztinnen und Ärzten, aber auch Patienten, im Umgang mit Gesundheitsdaten zu helfen, hat Granig ein Konzept mit zehn Sicherheitstipps entwickelt. Neben allgemein gültigen Regeln wie der Vorsicht beim Umgang mit persönlichen Daten und Fotos, der Verwendung sicherer Passwörter sowie dem regelmäßigen Einsatz von Schadsoftware-Scannern und Updates finden sich dabei auch Empfehlungen, die für Granig bereits eine „intensivere Beschäftigung mit der Materie" erfordern.

„Wichtig ist, dass ein einmal bekannt gewordenes Datenleck auch umgehend überprüft wird", empfiehlt Granig. Mit unentgeltlich im Internet verfügbaren Tools ist es einfach und schnell möglich abzufragen, ob eine E-Mail-Adresse schon einmal Teil eines Datenlecks war. In puncto Passwörter fordert Granig den Einsatz von Zwei-Faktor-Authentifizierungen, die bereits von vielen Anwendungen angeboten werden.

Manchmal ist aber der Schaden schon so weit fortgeschritten, dass man kaum noch etwas rückgängig machen kann. Deswegen ist es aus Granigs Sicht essenziell, regelmäßig Backups von allen wichtigen Systemen in der Ordination zu machen.

Auch sollten nur dem Arzt oder der Ärztin bekannte USB-Sticks an Arbeitscomputern verwendet werden, denn USB-Sticks würden sich, so Granig, „bestens eignen, um Computer mit Schadsoftware zu infizieren".

Schlussendlich empfiehlt Granig, Verschlüsselungstechnologien für Ordinationswebseiten sowie Arbeitsfestplatten und -USB-Sticks zu verwenden, um die Sicherheit zu erhöhen. Dasselbe gelte für das E-Mail-System, denn für Granig gilt hier der alte Spruch: „Jedes Schrifterl ist ein Gifterl" – besonders bei der Verwendung von nicht verschlüsselten E-Mails, die einfach von Unbefugten mitgelesen oder entwendet werden könnten.

Um sich vor den unangenehmen finanziellen Folgen von Cyberattacken abzusichern, empfiehlt Granig weiters, eine Cyberversicherung abzuschließen, die als Teil der Versicherungsleistung auch bei der Behebung der Probleme hilft.

Ordination top, Krankenhaus flop

„Unsere Ärztinnen und Ärzte in den Ordinationen sind immer besser ausgestattet, um in der digitalen Welt zu bestehen", ergänzt dazu Szekeres. Allein um neue digitale Tools, wie die E-Medikation, die derzeit in Wien ausgerollt wird, sicher verwenden zu können, „wird in den Ordinationen derzeit technologisch entsprechend aufgerüstet".

Jedoch sei es bei diesen von der Sozialversicherung zur Verfügung gestellten Tools „nicht alleinige Aufgabe der Ärzteschaft, für Sicherheit zu sorgen, berichtet Szekeres. Beispielsweise würde es für Szekeres weiterhin Probleme mit dem elektronischen Kommunikationsservice eKOS geben. Szekeres: „Wir können derzeit den Einsatz von eKOS aufgrund zahlreicher Schwachstellen, die aus unserer Sicht umgehend behoben werden müssen, aktuell nicht empfehlen. Auch gibt es eine vollkommen unklare datenschutzrechtliche Dimension, die noch geklärt werden muss."

Während es in den Ordinationen besser aussieht, zeichnet sich derzeit eine schwierige Situation in Wiens Krankenhäusern ab. „Aufgrund der großen Dynamik der Digitalisierung müssen Unternehmen alle zehn bis 15 Jahre ihre wichtigen IT-Systeme modernisieren. Diese Projekte stehen derzeit in vielen österreichischen Krankenhäusern erst am Anfang. Bei diesen Projekten sollte gleich mehr Augenmerk auf die Cyber Security gelegt werden kann, sodass die neuen Programme nicht nur einfacher und schneller zu bedienen, sondern auch wesentlich sicherer im Betrieb sind", sagt Granig, der auch Krankenhäuser bei ihren Modernisierungsprojekten berät.

In einer von der Ärztekammer kürzlich geführten Umfrage zur Infrastruktur in den Wiener Spitälern zeigten sich 53 Prozent der Spitalsärzte, also mehr als die Hälfte, mit der IT-Ausstattung am Arbeitsplatz unzufrieden.

„Das Ergebnis der Umfrage war eindeutig: Die Infrastruktur der in die Jahre gekommenen IT muss erneuert und anwenderfreundlich gemacht werden", fordert Szekeres und erneuert die Ärztekammerforderung nach einer Infrastrukturmilliarde für Wiens Spitäler, damit diese „sich am neuesten Stand der Technik wiederfinden und sowohl Ärztinnen und Ärzte als auch Patienten darauf sicher zugreifen können."

 

Ihr Gesprächspartner:

 

ao. Univ.-Prof. Dr. Thomas Szekeres

Präsident der Österreichischen und Wiener Ärztekammer

Telefon: 0664/2243929

E-Mail: szekeres@aekwien.at

 

Dr. Cornelius Granig

Geschäftsführer WGM Health Care Services GmbH und Initiator der Plattform "Doktor 4.0" – Ärzte sicher im Internet"

Telefon: 0664/3369013

E-Mail: cornelius.granig@wiegehtsmir.at

Website: www.doktor40.help

 

 

Kontakt für Journalisten-Rückfragen:

Ärztekammer für Wien, Dr. Hans-Peter Petutschnig

Telefon: 01/515 01-1273 DW, 0664/10 14 222, Fax: 01/512 60 23-1273,

E-Mail: hpp@aekwien.at

online-Medienservice der Ärztekammer für Wien: www.aekwien-medienservice.at