AINS Anästhesiologie · Intensivmedizin · Notfallmedizin · Schmerztherapie, Thieme Verlag Heft 5-2024, Jahrgang 59) ISSN 1439-1074 Seite(n) 311 bis 323 DOI: 10.1055/a-2258-7362 CareLit-Dokument-Nr: 318600 |
|
Zusammenfassung Kliniken gehören per definitionem zur kritischen Infrastruktur eines Landes. Vermehrt sind in den vergangenen Jahren Krankenhäuser Ziel von Hackerangriffen mit der Folge einer wochen- bis sogar monatelangen Beeinträchtigung ihrer Handlungsfähigkeit geworden. Gemäß der „Nationalen Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie)“ sind Kliniken gesetzlich verpflichtet, dagegen Vorsorge zu treffen. Dazu sollten IT-abhängige Prozesse in einer Klinik evaluiert, definiert und Ausfallkonzepte erarbeitet werden, um auf einen Cyberangriff vorbereitet zu sein. Spezifisch auf einen EDV-Ausfall zugeschnittene Notfallpläne sollten in allen IT-abhängigen Bereichen einer Klinik erstellt und vorgehalten werden. Zudem sollten papierbasierte Ersatzlösungen, wie z. B. Anforderungsbelege für Diagnostik- oder Konsilleistungen, abteilungsspezifische Notfalldokumente und Patientendokumentationskurven an einem gut zugänglichen und den Mitarbeitenden des jeweiligen Bereichs bekannten Ort vorgehalten werden. Die vollständige Wiederherstellung eines Kliniknetzwerks nach einem Cyberangriff erfordert häufig eine umfassende Wiederherstellung zahlreicher IT-Systeme. Dies kann u. U. Wochen bis Monate dauern. Wenn das Krankenhaus über solide Pläne zur Cyber-Notfallvorsorge verfügt, die regelmäßige Scans und Backups in Echtzeit umfassen, können eine Stabilisierung und ein schnelleres Wiederanlaufen des Betriebs möglich sein. Kliniken gehören per definitionem zur kritischen Infrastruktur eines Landes und sind gesetzlich verpflichtet, Vorsorge gegen Hackerangriffe zu treffen. Daher sollten IT-abhängige Klinikprozesse evaluiert und definiert werden. Um auf einen Cyberangriff vorbereitet zu sein, müssen für diese Prozesse Ausfallkonzepte – wie spezifische Notfallpläne, papierbasierte Ersatzlösungen und externe Speichermedien – erarbeitet und vorgehalten werden. Abstract Clinics are, by definition, part of a country’s critical infrastructure. In recent years, hospitals have increasingly become the target of cyber attacks, resulting in disruptions to their functionality lasting weeks to even months. According to the “National Strategy for the Protection of Critical Infrastructures (CRITIS Strategy)”, clinics are legally obligated to take preventive measures against such incidents. This involves evaluating, defining, and developing failure concepts for IT-dependent processes within a clinic to be prepared for a cyber attack. Specifically tailored emergency plans for computer system failures should be created and maintained in all IT-dependent areas of a clinic. Additionally, paper-based alternative solutions, such as request forms for diagnostic or consultation services, department-specific emergency documents, and patient documentation charts, should be kept in a readily accessible location known to staff in the respective areas. The complete restoration of a clinic’s network after a cyber attack often requires extensive recovery of numerous IT systems, which may take weeks to months in some cases. If the hospital has robust plans for cyber emergency preparedness, including regular scans and real-time backups, stabilization and a quicker resumption of operations may be possible. Kernaussagen Kliniken sind zunehmend Cyberangriffen ausgesetzt, die zur akuten Gefährdung von Patienten und Personal führen können. Um einer solchen Gefährdung zu begegnen, ist eine entsprechende Vorbereitung der Klinik sowie eine Ertüchtigung der Resilienz erforderlich. Zu Beginn der Planungen zur Ertüchtigung der Resilienz einer Klinik gegen IT-Ausfälle sollte eine Evaluation IT-abhängiger Prozesse erfolgen. In allen IT-abhängigen Bereichen sollten Notfallkonzepte für Ausfallszenarien ausgearbeitet werden sowie papierbasierte Ersatzlösungen („Workarounds“) für benötigte Prozesse bereitstehen. Diese sollten ausreichend in ausgedruckter Form vorliegen. Zusätzlich muss der IT-Ausfall in den KAEP integriert werden. Zur Steigerung und Überprüfung der Resilienz sind entsprechende Übungen geeignet. Hierdurch, verbunden mit einer entsprechenden Rückkopplung, können Mängel und Fehler in der Planung erkannt werden. Hackerangriffe auf das IT-Netzwerk einer Klinik lassen sich nicht mit absoluter Sicherheit abwenden. Denn es sind zu viele Schnittstellen vorhanden und kriminelle Hacker versuchen mit immer neuen Methoden, sich Zugang zu verschaffen. Eine sorgfältige Vorbereitung und ein leistungsfähiges IT-Notfallmanagement vermögen jedoch, die Auswirkungen auf Patienten, Personal und den Betrieb zu minimieren. Schlüsselwörter Cyberangriff - Notfall-Anforderungsformulare - Backup-Systeme - Rechtspflichten - Notfallpläne Keywords cyber attack - emergency request forms - backup systems - legal obligations - emergency plans 17 May 2024 © 2024. Thieme. All rights reserved. Georg Thieme Verlag KG Rüdigerstraße 14, 70469 Stuttgart, Germany Literatur 1 Deutsche Krankenhausgesellschaft. Krankenhäuser als kritische Infrastrukturen – Umsetzungshinweise der Deutschen Krankenhausgesellschaft. 19.12.2017 Accessed April 10, 2024 at: https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT-Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/2017_12_19_483_ITSiG_Kritis_Umsetzungshinweise_BSIG_v0.9.pdf PubMedGoogle Scholar 2 Bundesamt für Sicherheit in der Informationstechnik. Accessed April 10, 2024 at: https://www.bsi.bund.de/DE/Home/home_node.html PubMed 3 Bundesamt für Sicherheit in der Informationstechnik. Die Lage der IT-Sicherheit in Deutschland 2021. Accessed April 10, 2024 at: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/Archiv-Lageberichte/2021/lagebericht_node.html PubMedGoogle Scholar 4 Bundesamt für Sicherheit in der Informationstechnik. Die Lage der IT-Sicherheit in Deutschland 2023. Accessed April 10, 2024 at: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html PubMedGoogle Scholar 5 Bundesamt für Sicherheit in der Informationstechnik. Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT. 2013 Accessed April 10, 2024 at: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/Themen-Downloads/Gesundheit/risikoanalyse-krankenhaus-it-leitfaden_pdf.pdf?__blob=publicationFile&v=4 PubMedGoogle Scholar 6 Verizon. Data Breach Investigations Report. 2022 Accessed April 10, 2024 at: https://www.verizon.com/business/en-gb/resources/2022-data-breach-investigations-report-dbir.pdf PubMedGoogle Scholar 7 Statista. Annual share of organizations affected by ransomware attacks worldwide from 2018 to 2023. 2024 Accessed April 10, 2024 at: https://www.statista.com/statistics/204457/businesses-ransomware-attack-rate/ PubMedGoogle Scholar 8 Von der Forst M, Popp E, Weigand MA. et al. Sonderlagen und Gefahrenabwehr in deutschen Krankenhäusern – eine Umfrage zum Ist-Zustand. Anaesthesiologie 2023; 72: 784-790 DOI: 10.1007/s00101-023-01349-2. CrossrefPubMedGoogle Scholar 9 Sorace S. Cyber attack on major hospital system could affect 20 million Americans. Fox News 16.11.2022 Accessed April 10, 2024 at: https://www.foxnews.com/tech/cyber-attack-major-hospital-system-could-affect-20-million-americans PubMedGoogle Scholar 10 Lyngaas S. Brooklyn hospital network reverts to paper charts for weeks after cyberattack. CNN 20.12.2022 Accessed April 10, 2024 at: https://www.cnn.com/2022/12/20/tech/hospital-ransomware/index.html PubMedGoogle Scholar 11 Stern. 150 verschobene Operationen: Hackergruppe legt größte Klinik Barcelonas lahm. 06.03.2023 Accessed April 10, 2024 at: https://www.stern.de/panorama/weltgeschehen/barcelona-ein-hackerangriff-laehmt-die-wichtigste-klinik-derstadt-33256376.html PubMedGoogle Scholar 12 CyberPeace Institute. Cyber Incident Tracer #HEALTH. 30.09.2022 Accessed April 10, 2024 at: https://cit.cyberpeaceinstitute.org/explore PubMedGoogle Scholar 13 Koch M-C. Cyberangriff auf Klinikum Esslingen gelang über Schwachstelle in Citrix-Zugang. Heise online 01.12.2023 Accessed April 10, 2024 at: https://www.heise.de/news/Nach-Cyberangriff-auf-Klinikum-Esslingen-Analyse-laeuft-auf-Hochtouren-9546201.html PubMedGoogle Scholar 14 Rippegather J, Micksch S. Millionenschaden nach IT-Angriff auf Frankfurter Uniklinik – Hacker-Attacken nehmen zu. Frankfurter Rundschau 14.01.2024 Accessed April 10, 2024 at: https://www.fr.de/rhein-main/landespolitik/hessen-millionenschaden-nach-it-angriff-auf-frankfurter-uniklinik-92774928.html PubMedGoogle Scholar 15 Ralston W. The untold story of a cyberattack, a hospital and a dying woman. WIRED UK 11.11.2020 Accessed April 10, 2024 at: https://www.wired.co.uk/article/ransomware-hospital-death-germany PubMedGoogle Scholar 16 McKeon J. Cyberattacks increase mortality rates, but healthcare is in denial. TechTarget, Inc. Xtelligent Healthcare Media 13.01.2022 Accessed April 10, 2024 at: https://healthitsecurity.com/news/cyberattacks-increase-mortality-rates-but-healthcare-is-in-denial PubMedGoogle Scholar 17 Dameff C, Farah J, Killeen J. et al. Cyber disaster medicine: a new frontier for emergency medicine. Ann Emerg Med 2020; 75: 642-647 DOI: 10.1016/j.annemergmed.2019.11.011. (PMID: 31959537) CrossrefPubMedGoogle Scholar 18 Abulencia J. The cost of cybercrime in the US healthcare sector. Computer Fraud & Security 2021; 11: 8-13 DOI: 10.1016/S1361-3723(21)00117-2. CrossrefPubMedGoogle Scholar 19 Chapman C. Project risk analysis and management – PRAM the generic process. Int J Proj Manag 1997; 15: 273-281 DOI: 10.1016/S0263-7863(96)00079-8. CrossrefPubMedGoogle Scholar 20 Pfenninger EG, Schmidt SA, Rohland C. et al. Resilienz gegen IT-Angriffe an Kliniken. Anaesthesiologie 2023; 72: 852-862 DOI: 10.1007/s00101-023-01331-y. CrossrefPubMedGoogle Scholar 21 Ayala L. Cybersecurity for Hospitals and Healthcare Facilities – A Guide to Detection and Prevention. Berkeley, CA: Apress; 2016 CrossrefGoogle Scholar 22 Cartwright AJ. The elephant in the room: cybersecurity in healthcare. J Clin Monit Comput 2023; 37: 1123-1132 DOI: 10.1007/s10877-023-01013-5. (PMID: 37088852) CrossrefPubMedGoogle Scholar 23 Sullivan N, Tully J, Dameff C. et al. A National Survey of Hospital Cyber Attack Emergency Operation Preparedness. Disaster Med Public Health Prep 2023; 17: e363 DOI: 10.1017/dmp.2022.283. (PMID: 36945857) CrossrefPubMedGoogle Scholar 24 Wurmb T, Kippnich M, Schwarzmann G. et al. Vollausfall der Informationstechnologie im Krankenhaus. Unfallchirurg 2020; 123: 443-452 DOI: 10.1007/s00113-020-00797-4. CrossrefPubMedGoogle Scholar 25 Bürgerliches Gesetzbuch (BGB). § 615 Vergütung bei Annahmeverzug und bei Betriebsrisiko. Accessed April 10, 2024 at: https://bgb.kommentar.de/Buch-2/Abschnitt-8/Titel-8/Untertitel-1/Verguetung-bei-Annahmeverzug-und-bei-Betriebsrisiko PubMedGoogle Scholar 26 Deutscher Bundestag. Drucksache 17/5672. Gefährdung und Verletzbarkeit moderner Gesellschaften am Beispiel eines großräumigen und langandauernden Ausfalls der Stromversorgung. 27.04.2011 Accessed April 10, 2024 at: https://dserver.bundestag.de/btd/17/056/1705672.pdf PubMedGoogle Scholar 27 Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Ratgeber für Notfallvorsorge und richtiges Handeln in Notsituationen. 2019 Accessed April 10, 2024 at: https://www.bbk.bund.de/SharedDocs/Downloads/DE/Mediathek/Publikationen/Buergerinformationen/Ratgeber/ratgeber-notfallvorsorge.pdf?__blob=publicationFile&v=15 PubMedGoogle Scholar 28 Nadeborn D, Dittrich T. Cybersicherheit in Krankenhäusern – Teil 2: vom Normalfall zum Notfall. International Cybersecurity Law Review 2020; 3: 273-287 DOI: 10.1365/s43439-022-00060-z. CrossrefPubMedGoogle Scholar 29 Deutsche Krankenhausgesellschaft. Informationssicherheit im Krankenhaus. Branchenspezifischer Sicherheitsstandard (B3S). 2023 Accessed April 10, 2024 at: https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/ PubMedGoogle Scholar 30 Bundesamt für Sicherheit in der Informationstechnik. Melde- und Informationsportal. 2024 Accessed April 10, 2024 at: https://mip.bsi.bund.de/ PubMedGoogle Scholar 31 A&W Redaktion. Cyberversicherungen in Klinik und Praxis – warum man besser nicht mehr darauf verzichtet. Arzt & Wirtschaft Online 22.10.2023 Accessed April 10, 2024 at: https://www.arzt-wirtschaft.de/finanzen/cyberversicherungen-in-der-arztpraxis-warum-man-heute-besser-nicht-mehr-darauf-verzichtet/ PubMedGoogle Scholar 32 Pfenninger E, Adolph O. Memorandum – Zur Vulnerabilität kritischer Infrastrukturen an Bundesdeutschen Kliniken. Notfall Rettungsmed 2017; 20: 673-681 DOI: 10.1007/s10049-017-0293-7. CrossrefPubMedGoogle Scholar
{{detailinfo.data.api.data.document[0].apa}}
{{detailinfo.data.api.data.document[0].vancouver}}
{{detailinfo.data.api.data.document[0].harvard}}