Cybersicherheitsvorfälle im Gesundheitswesen häufen sich angesichts globaler Krisen und neuartiger Angriffsmöglichkeiten in den letzten Jahren enorm. Das Recht der IT-Sicherheit, Datensicherheit oder Informationssicherheit hat mittlerweile die Aufmerksamkeit in der praktischen Rechtsberatung und bei den Unternehmensleitungen erlangt. Dabei ist die Verzahnung von Gesundheitsrecht und Cybersicherheitsrecht in einem Rechtshandbuch mit einer Darstellung der einschlägigen Vorschriften angesichts der komplexen Regelungslage und einer fortschreitenden Digitalisierung im Gesundheitsbereich hochgradig praxisrelevant. MedLabPortal sprach mit dem Mitherausgeber des Standardwerks “Rechtshandbuch Cybersicherheit im Gesundheitswesen“, Dr. Tilmann Dittrich, über den aktuellen Stand der Dinge im Bereich Cybersicherheit, Gesundheitswesen und Labormedizin.

MedLabPortal: Herr Dittrich, das „Rechtshandbuch Cybersicherheit im Gesundheitswesen“ ist bereits seit 2024 auf dem Markt. Wozu braucht es dieses Buch?

Dittrich: Der Gesundheitssektor ist der zweitgefährdetste Sektor Kritischer Infrastrukturen, wenn es um die Gefahr von Cyberangriffen geht. Außerdem steigen mit der Digitalisierung die Gefahren durch andere Sicherheitslücken – außerhalb von Angriffen – kontinuierlich an. Das trifft auf die Bedeutung der Cybersicherheit im Gesundheitswesen: Schutz von hochsensiblen Informationen und im schlimmsten Falle von Menschenleben. Es existiert also eine hohe Gefahrenlage, die auf immense Auswirkungen von Cyber-Ereignissen trifft. Hierfür bedarf es der rechtlichen Einordnung aller Teilsektoren des Gesundheitswesens.

MedLabPortal: Das Buch ist interessant aufgebaut. Gleich am Anfang geben Sie einen Überblick über die Rechtslage in Deutschland und erwähnen im Kontext mit Cybersicherheit im Gesundheitswesen das Grundgesetz. Was hat es damit auf sich?

Dittrich: Die Regulierung der Cybersicherheit ist kein Thema, das nur in Fachgesetzen zu finden ist. Cybersicherheits-Sachverhalte finden in vielen allgemeinen Vorschriften Eingang. Natürlich auch im Grundgesetz, wenn es etwa um den Schutz der Selbstbestimmung eines Patienten über seine personenbezogenen Daten geht. Oder auch im Strafrecht, wenn ein Cyberangriff auf eine Gesundheitseinrichtung den Tod eines Patienten zumindest mitverursacht haben könnte, wie jüngst in Großbritannien bekannt wurde. Wir wollten aufzeigen, dass man Cybersicherheit breit über alle denkbaren Rechtsgebiete verstehen muss.

MedLabPortal: Wer an dieser Stelle die Frage stellt, wozu man das alles wissen sollte, wird in Ihrem Buch über die Bedrohungslage nach Sektoren aufgeklärt. Mussten Sie gleich mit gehackten Unikliniken und Krankenhäusern um die Ecke kommen? Viele Patienten und Klinikleiter werden sich verunsichert fühlen.

Dittrich: Im Buch ist die Bedrohungslage sehr nüchtern dargestellt, weder dramatisiert noch bagatellisiert. Aber es ist natürlich nachvollziehbar, dass Berichte zu einer Verunsicherung in der Bevölkerung führen können. Die Cyberbedrohungslage ist etwas noch relativ Neues. Hier ist noch viel öffentliche Vermittlungsarbeit notwendig, um die Bedeutung von Cybersicherheit und die mit der Digitalisierung einhergehenden Risiken einsortieren zu können. Bei den Krankenhäusern muss man aber dazu auch sagen, dass die Presseberichte und damit öffentlich zugänglichen Informationen sehr umfassend sind. Das lässt sich dann gut auswerten, um Lehren für die Gefährdungslage zu ziehen. Ich hoffe aber, dass wir die meisten Klinikleiter mit den Szenarien nicht mehr verunsichert haben, weil sie die Lage kannten.

MedLabPortal: Und es geht weiter. Ihr Buch listet Krankenversicherungen, Selbstverwaltung, Telematik-Einrichtungen und Apotheken als potenzielle Ziele von Cyberangriffen auf. Wie sieht es mit dem BMG als oberstes Ziel aus?

Dittrich: Zur Gefährdungslage für die Ministerien selbst ist wenig bekannt. Aber auch diese sind gefährdet, gerade als staatliche Einrichtungen aufgrund der geopolitischen Lage. Die von Ihnen genannten Beispiele verdeutlichen ja gerade gut, warum das Buch den Weitblick über das Gesundheitswesen erhalten musste. Mir fällt kein Teilsektor im Gesundheitswesen ein, der nicht gefährdet ist. Nur ist eben das Bewusstsein, dass diese Gefährdung besteht, noch nicht überall ausreichend angekommen. Nehmen Sie etwa den Rettungsdienst, ein elementarer Bestandteil der Rettungskette. Wenn dieses Glied ausfällt, ist die Gesundheitsversorgung ernsthaft gefährdet. Gleichwohl kommt eine aktuelle Studie des Bundesamts für Sicherheit in der Informationstechnik zum Ergebnis, dass in diesem Teilsektor die IT-Sicherheits-Management-Prozesse noch nicht annähernd angemessen etabliert sind.

MedLabPortal: Nun erklären die Autorinnen und Autoren im Buch auch, wie NIS-2 gegen derartige Attacken helfen soll. Was halten Sie von dieser Richtlinie?

Dittrich: Die Zweite Netzwerk- und Informationssicherheits-Richtlinie der EU (NIS-2) ist die Fortentwicklung einer ersten Richtlinie im IT-Sicherheitsbereich, also nichts vollständig Neues, sondern eben eine Fortentwicklung. Auch wenn sowohl bei der Richtlinie selbst als auch der sich andeuteten Umsetzung in deutsches Recht an gewissen Stellen immer ein Diskussionsbedarf bestehen wird, halte ich die Richtlinie für sinnvoll. Die Richtlinie vergrößert den bislang deutlich zu kleinen Teil an Unternehmen und öffentlichen Einrichtungen, die zu den sogenannten Kritischen Infrastrukturen gehören un daher IT-Sicherheits-Maßnahmen treffen müssen, um dauerhaft betriebsfähig zu sein, stark. Das Niveau an IT-Sicherheit in der Europäischen Union wird der Gefährdungslage dadurch angepasst, auch wenn die Richtlinie sicherlich nicht das letzte Regelwerk hier sein wird. Sowohl der technische Stand als auch die Gefährdungslage sind immer in Bewegung.

MedLabPortal: Wie sieht es mit dem Laborbereich aus, was gilt hier und was kommt auf die Labore durch NIS-2 zu?

Dittrich: Schon jetzt zählen große medizinische Labore zu den Kritischen Infrastrukturen und müssen IT-Sicherheitsmaßnahmen treffen. Hinzu kommt für alle Labore unabhängig von ihrer Größe, dass sie personenbezogene Daten nur mit dem entsprechenden Sicherheitsniveau verarbeiten dürfen. Wie genau sich die NIS-2-Richtlinie auf den Laborsektor auswirken wird, ist noch nicht ganz klar. Sicher ist, dass künftig die sogenannten EU-Referenzlaboratorien zu den betroffenen Einrichtungen zählen werden. Ich vermute außerdem, dass auch die jetzt schon erfassten Großlabore dem in Zukunft verschärften Sicherheitskatalog unterliegen werden.

MedLabPortal: Begeistert hat uns das Kapitel „Cybercrime im Gesundheitswesen“. Den Teil können Sie als Screenplay für einen Hollywood-Thriller ausgliedern. Leider ist das aber alles real, was Sie da schildern. Erzählen Sie uns davon mehr?

Dittrich: Das ist tatsächlich sehr real. Cybergruppierungen agieren höchst professionell. Wenn Cyberkriminelle mit „Hackern im Kapuzenpullover im Keller“ assoziiert werden, trifft dieses Bild nicht die Realität. Überall auf der Welt gibt es kriminelle Gruppierungen, die ihre Schadsoftware mittlerweile auch anderen zur Verfügung stellen, die quasi per Miete die Schadsoftware einsetzen können, wenn sie selbst zu deren Erstellung technisch nicht in der Lage wären. Zwischen Strafverfolgungsbehörden und Cyber-Gruppierungen ist es ein „Katz- und Mausspiel“. Gerade das Gesundheitswesen ist aufgrund der hohen Bedeutung der Cybersicherheit ein attraktives Ziel. Die Gruppierungen schrecken auch vor Gesundheitsschäden nicht zurück, auch wenn bei einigen Gruppierungen sogenannte „Ehrenkodices“ solche Angriffe sogar verbieten.

MedLabPortal: Das Gesundheitswesen in Deutschland ist ein Markt mit über 500 Milliarden Euro Jahresumsatz. Die „Bösen Jungs und Mädels“ werden sich darauf sehr organisiert-kriminell stürzen. Und Worst Case wäre jenes Szenario realistisch, wonach Patientendaten irgendwo im Darknet landen. Was kann man als betroffener Patient in so einem Fall machen?

Dittrich: Man wird die Verfügungsgewalt über die Daten nicht wiedererlangen können. Akut sollten Betroffene umgehend also Sicherheitsmaßnahmen treffen: zum Beispiel Zugangsdaten und Passwörter ändern sowie Konten beobachten. Außerdem gibt es natürlich noch die Möglichkeit, etwa auf Grundlage der Datenschutz-Grundverordnung Schadensersatz beim Datenverarbeiter zu verlangen.

MedLabPortal: Sehr positiv hingegen sind die Erwartungen an KI-Anwendungen in Krankenhäusern. Warum eigentlich?

Dittrich: Das enorme Potential Künstlicher Intelligenz dürfte auch den meisten Privatnutzern nicht entgangen sein. Die KI kann im Gesundheitssektor Prozesse optimieren, sicherer machen und auch auf den Fachkräftemangel einen positiven Einfluss nehmen. Zudem kann die KI auch zur Gewährleistung der Cybersicherheit einen wichtigen Beitrag leisten, wenn sie beispielsweise die Suche nach Schadsoftware unterstützt. Das Potential der KI darf hier aber nicht „blind“ machen, weil sie effektive Krisenprozesse nicht ersetzen kann. Wer also auf KI zur Erkennung setzt, aber keine Krisenkonzepte für durch KI erkannte Sicherheits-Systeme vorhält, gewinnt nichts.

MedLabPortal: Unsere letzte Frage: Haben Sie das Gefühl, dass bei der Einführung der ePA irgendjemand auch nur auf einen Bruchteil der im Buch sehr genau dargestellten Zusammenhänge geschaut hat?

Dittrich: Ich hoffe natürlich, dass das Kapitel zur Telematik-Infrastruktur mit den Ausführungen auch zur ePA möglichst viele Leser erreicht hat. Hier gibt es ja gesetzliche Vorgaben an die Sicherheit der Anwendungen. Das lief in der Vergangenheit sicherlich nicht optimal, immer wieder sind hier Berichte aus der IT-Sicherheits-Community aufgetaucht, die auf Sicherheitslücken hingewiesen haben. Klar ist, dass die ePA nur dann ihr Potential ausschöpfen können wird, wenn die Versicherten in sie vertrauen können. Daher müssen Sicherheitslücken ernstgenommen werden.

MedLabPortal: Herr Dittrich, vielen Dank für Ihre Zeit.

Die Fragen stellte MedLabPortal-Redakteur Vlad Georgescu

Lesen Sie auch:

NACHGEFRAGT zu NIS-2: “Mit dem Cyber-Cent würden die Labore fit gemacht für die aktuellen Bedrohungen” – MedLabPortal

Nationaler Strategieplan Labormedizin: “Wir müssen auf die nächste Pandemie vorbereitet sein” – MedLabPortal

Bundesweiter Modellcharakter: DGKL und Verfassungsschutz im Austausch – MedLabPortal

_{Die Beiträge im News-Bereich werden erstellt vom X-Press Journalistenbüro}

Gender-Hinweis. Die in diesem Text verwendeten Personenbezeichnungen beziehen sich immer gleichermaßen auf weibliche, männliche und diverse Personen. Auf eine Doppel/Dreifachnennung und gegenderte Bezeichnungen wird zugunsten einer besseren Lesbarkeit verzichtet