Cyberattacken auf medizinische Einrichtungen vorbeugen: Bayerische Datenschutzaufsichtsbehörden stellen Best-Practice-Checkliste bereit

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht und des Bayerischen Landesbeauftragten für den Datenschutz vom 03.06.2020

Die aktuelle Corona-Pandemie führt vielen Menschen eindringlich vor Augen, wie wichtig ein funktionierendes Gesundheitssystem ist. Krankenhäuser, Arztpraxen und medizinische Labore sind herausgefordert, die medizinische Versorgung der Bevölkerung sicherzustellen. Bereits ein erfolgreicher Cyberangriff kann aber die Funktionsfähigkeit einer medizinischen Einrichtung für Tage oder Wochen massiv beeinträchtigen – und im schlimmsten Fall sogar komplett lahm legen. Dies haben Einzelfälle in den vergangenen Jahren immer wieder gezeigt. Zur Überprüfung ihrer Cybersicherheitsmaßnahmen stellen der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) und das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) daher den medizinischen Einrichtungen in Bayern eine Best-Practice-Checkliste zur Verfügung. Prof. Dr. Thomas Petri und Michael Will unterstreichen: „Bei der Cybersicherheit in unseren medizinischen Einrichtungen geht es nicht nur um den besonderen Schutz der Patientendaten, sondern auch um die Funktionsfähigkeit von Krankenhäusern, Arztpraxen und Laboren im Gesamtgefüge unseres Gesundheitssystems. Jeder abgewehrte Angriff ist deshalb ein Beitrag zur Gewährleistung und Stärkung der Gesundheitsvorsorge in Bayern.“

Internetattacken auf das Gesundheitssystem

Die Zeit, in der in medizinischen Einrichtungen Patientendaten auf dem Klemmbrett eingetragen und offline in einer Papierakte eingeordnet wurden, ist lange vorbei. Von der Anmeldung über die Behandlung bis zum Entlassungsbrief ist inzwischen nahezu jeder Schritt der Versorgung beim Arzt und im Krankenhaus genauso wie die Analyse in einem Labor digitalisiert. Doch was, wenn plötzlich Patientendaten nicht abrufbar sind, Anschlussbehandlungen nur mühsam eingeleitet werden können oder das moderne CT-Gerät nur einen schwarzen Bildschirm zeigt? In diesem Fall kann eine Cyberattacke auf die medizinische Einrichtung stattgefunden haben, bei der ein Angreifer sich über das Internet schrittweise von der Patientenanmeldung in das interne Netzwerk einer Einrichtung gehackt und alle Dateien durch eine sogenannte Ransomware, bei der ein Zugriff auf die Patientendaten erst nach Zahlung eines immens hohen Lösegeldes wieder in Aussicht gestellt wird, unbrauchbar gemacht hat.

Hürden für erfolgreiche Angriffe hoch setzen

Die Aussage, dass es einen 100%igen Schutz gegen Cyberattacken nicht geben kann, mag richtig sein. Dies bedeutet jedoch nicht, dass es hier gar keinen Schutz gibt oder jeder Angriffsversuch immer von Erfolg gekrönt sein muss. Im Gegenteil: Häufig kann mit günstigen Schutzmaßnahmen eine effektive und oft schon entscheidende Hürde geschaffen werden, wenn der medizinischen Einrichtung bekannt ist, welche Angriffswege aktuell verwendet werden und wie Türen für den schnellen kriminellen Erfolg fest verschlossen werden können.

Konkrete Hilfestellung durch Checkliste

Damit medizinische Einrichtungen – von Ärzten über Labore bis hin zu Krankenhäusern – die Wirksamkeit ihrer Cybersicherheitsmaßnahmen leicht überprüfen können, haben der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) und das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Best-Practice-Checkliste erarbeitet. In Form eines durch die Verantwortlichen und ihre Datenschutzbeauftragten nutzbaren Fragebogens ermöglicht die Checkliste den medizinischen Einrichtungen eine Bestandsaufnahme über Maßnahmen und Prozesse zur Sicherstellung der Verfügbarkeit von personenbezogenen Daten mit Blick auf mögliche Cyberattacken. Die Checkliste stellt damit einen wichtigen Baustein in der gemeinsamen bayerischen Präventionsarbeit gegen Angriffe aus dem Internet auf das bayerische Gesundheitssystem dar.

Die Checkliste steht kostenlos zum Download unter www.datenschutz-bayern.de/best_practice_medizin sowie unter www.lda.bayern.de/best_practice_medizin bereit.

Die beiden bayerischen Datenschutzaufsichtsbehörden setzen damit den bereits seit längerem, auch unter Geltung der Datenschutz-Grundverordnung eingeschlagenen Weg fort, vor allem durch frühzeitige Beratung den bayerischen öffentlichen und nicht-öffentlichen Stellen konkrete Hilfestellungen anzubieten.

Prof. Dr. Thomas Petri
Der Bayerische Landesbeauftragte für den Datenschutz

Michael Will
Präsident des Bayerischen
Landesamts für Datenschutzaufsicht

Die Pressemitteilungen des Bayerischen Landesamts für Datenschutzaufsicht können hier abgerufen werden.

Die Pressemitteilungen des Bayerischen Landesbeauftragten für den Datenschutz können hier abgerufen werden.