Breach FM - der Infosec Podcast

Egal wo anhören

Apple Podcasts Spotify Pocket Casts Amazon Music
Cybersecurity in Krankenhäusern ft. Peter Hecko & Julian Suleder
E53

Cybersecurity in Krankenhäusern ft. Peter Hecko & Julian Suleder

Download

Einen wunderschönen guten Abend. Ich sage jetzt mal einfach guten Abend.

Die Hörer können es ja hören, wann sie wollen. Der Erfahrung nach,

wenn ich die Folge um vier Uhr rausbringe und in meine LinkedIn-Nachrichten

schaue, gegen halb sechs immer.

Aber heute bei der Aufnahme ist Abend. Ich bin auch nicht alleine.

Meine Gäste, und es sind tatsächlich heute zwei, werden sich dann auch gleich vorstellen.

Ich kann nur noch mal am Anfang der Folge daran erinnern, macht euch bitte die

Mühe, wenn ihr es nicht eh schon gemacht habt, nochmal eine Bewertung dazulassen.

Hilft einfach immer so ein bisschen die Sichtbarkeit des Podcasts noch ein bisschen

zu erhöhen. Ich sage immer eine gute Bewertung, das würde mich besonders freuen. 9.

Ihr sagt mir immer, ihr habt alle bewertet. Ich sage nur immer,

das kann nicht sein, wenn ich mir die Statistiken anschaue.

Also ein paar unter euch lügen mich einfach fett an.

Das kann ich nicht anders sagen, weil die Aufrufstatistik korreliert nicht ansatzweise

mit den Bewertungen auf den verschiedenen Plattformen.

Von dem her macht euch nochmal die Mühe, nationale Kraftanstrengung,

wie man so schön sagt, obwohl ich auch sagen kann, auch die Schweizer und Österreicher

können mal ihren Teil dazu beitragen.

Und ja, heute habe ich mir ein Thema ausgesucht, das ich schon länger bearbeiten

wollte und es kamen auch immer mal wieder Wünsche tatsächlich zu dem Thema.

Es soll heute so ein bisschen um das ganze Thema IT-Security in Krankenhäusern,

medizinischen Einrichtungen und so weiter gehen.

Die letzten Jahre war das sehr, sehr viel, glaube ich, in den Medien,

teilweise Fachmedien, teilweise auch breitere Medien und auch der Vorfall am

letzten Freitag rund um dieses ganze gescheiterte Update eines,

ja, wie soll man sagen, XDR, EDR-Hersteller, Security-Hersteller.

Es hat auch dazu beigetragen, nochmal diese ganze Diskussion,

glaube ich, nochmal so ein bisschen anzustoßen und deswegen freue ich mich heute,

zwei Experten zu diesem Thema dabei zu haben.

Stellt euch doch einfach mal vor und macht gerne unter euch aus, wer anfängt.

Julian fängt an.

Na gut, sehr gern. Genau, mein Name ist Julian Soleder. Ich bin IT-Security-Analyst

und Researcher bei der EMW in eurer Netzwerke GmbH in Heidelberg.

Und ja, mein tägliches Brot sind sozusagen die Pentests, davon auch sehr viele

in Krankenhäusern oder von Medizingeräten, von medizinischer Software,

die dort verwendet wird.

Habe selbst einen medizininformatischen Hintergrund, habe das in Heidelberg

studiert und bin heute mit Peter hier.

Genau, mein Name ist Peter Hecko. Im echten Leben kümmere ich mich um die Cybersecurity

bei den Hades-Kliniken.

In meiner Freizeit bin ich auch Podcaster, also jeder, der auf guten Genuss

steht, was gerne trinkt, was gerne isst, der ist beim Genusscast willkommen.

Ein bisschen Eigenwerbung, da kann man auch immer reinhören.

Ja, ich mache dieses Klinik-Business jetzt schon seit, glaube ich,

fast zehn Jahren in unterschiedlichen Positionen.

Helios ist eine relativ große Klinikgruppe mit großen Häusern,

kleinen Häusern, medizinischen Versorgungszentren und bestimmten Herausforderungen.

Dementsprechend hat Julian und ich uns mal zusammengesetzt, weil wir das Thema

schon lange mal breit diskutieren wollten und hatten die Gelegenheit genutzt

auf der Troopers Security-Konferenz in Heidelberg,

die mal im Sommer stattfindet, so im Juni rum.

Mal das Thema in einem Talk zu verpacken und daraus mal so eine Art, ja,

erst mal Wrap-up zu geben, was das ganze Thema so betrifft und dann speziell

auch verschiedene Aspekte dieses Talks, den wir gehalten haben,

in verschiedenen Formaten, wie zum Beispiel heute in diesem Podcast, mal einzugehen,

weil wir der Meinung sind, dass, glaube ich, das Thema noch nicht stark genug

beleuchtet wurde und dass sich um dieses Thema, glaube ich, auch eine stärkere

Community bilden muss, um halt die Probleme und Herausforderungen,

die es da gibt, einfach mal anzugehen.

Ich denke, tue Gutes und sprich darüber, ist unser Motto und darum sind wir heute hier.

Ja, also vielen Dank erstmal. Ich glaube, ihr habt auch schon ein paar interessante

Punkte gerade gleich angesprochen.

Jetzt muss man ja sagen, wenn man in den letzten Jahren dieses ganze Thema Vorfälle

verfolgt hat, die auch öffentlich wurden, gab es gar keine so kleine Anzahl,

die in Einrichtungen wie Krankenhäuser beispielsweise stattgefunden haben.

Jetzt ist es natürlich teilweise, das weiß ich auch selbst, so ein bisschen

dieses ganze Thema Aufmerksamkeitsökonomie.

Natürlich ist es eine größere Nachricht, wenn es um Krankenhaus geht,

wenn irgendwelche geplanten Operationen vielleicht sogar verschoben werden,

als wenn irgendwo der Mittelständler, der eigentlich nur im B2B-Business,

wie man so schön sagt, irgendwo da ist, mal kurz ausfällt.

Wie ist trotzdem eure Sicht auf die derzeitige Lage rund um Krankenhäuser?

Wieso kracht so oft? Was gibt es so für große Gründe vielleicht auch dahinter?

Ich weiß, das ist jetzt eine sehr große Frage, ihr könnt aber auch sehr groß

darauf antworten und dann schauen wir mal, wo wir dann abbiegen damit.

Ja, Julian, willst du anfangen oder soll ich mal anfangen?

Fangen du gerne mal an.

Also das Problem ist, ich sage ja mal so ein bisschen flapsig,

warum ist das Problem so große Krankenhäuser und warum sind die so häufig betroffen?

Du sagtest schon, natürlich sind das Institutionen mit gewissem Interesse.

Und das heißt, ich glaube, keiner möchte im Krankenhaus sein,

vielleicht sogar mit Notfall, wenn gerade irgendwelche IT-Systeme nicht funktionieren.

Zudem ist es natürlich erstmal meistens für vielleicht die Behandlungsqualität

nicht ideal, aber normalerweise soll das nicht der Fall sein,

weil es dafür meistens Ersatzprozesse gibt.

Aber ich glaube, das Gefühl ist auch ein bisschen doof, wenn man dann gerade

kurz vor der OP steht und die Leute um einen herum dann irgendwie diskutieren,

machen wir sie jetzt, machen wir sie nicht, weil welche Systeme stehen zur Verfügung, welche nicht.

Und ich denke, das ist halt auch diese mediale Aufmerksamkeit,

das ein Stück weit natürlich mit sich bringt, weil es natürlich so ein verwutbarer

Punkt ist, in Anführungszeichen, Krankenhäuser.

Auf der anderen Seite, ich scherze auch immer so ein bisschen und sage,

naja, wir haben halt alles das, was alle anderen Firmen auch haben, plus noch mehr.

Also wir haben jeden Bereich der IT,

was jedes Unternehmen da draußen hat, also ganz klassische Office-IT,

dann jetzt kommen die großen Manufacturer und sagen, ja, wir haben hier super

Spezialgeräte, die irgendwie anfangen, Dinge zu produzieren,

die sind ja auch total unique.

Ja, haben wir auch, weil wir haben auch Logistik, wir haben auch Produktion,

wir haben auch Medizingeräte, wir haben auch den ganzen IoT-Krempel,

also wir haben quasi alles das,

was normale Unternehmen haben und noch viel, viel mehr und dementsprechend ist

von der Grundkomplexität schon ein Krankenhaus mit der IT quasi noch viel,

viel mehr alles das, was da draußen existiert.

Also ich glaube, man kann ganz gut zusammenfassen, dass die Logistik in so einem

Krankenhaus wahrscheinlich das Vulnerabelste am ganzen Krankenhaus ist am Ende,

weil ohne Logistik funktioniert da einfach nichts.

Also es bringt auch nichts, wenn ich am Ende vielleicht während einer Ransomware-Attacke

oder was ähnlichem gerade noch lauffähige Systeme habe, aber vielleicht meine

Diagnostik in der Radiologie nicht verwenden kann,

weil ich sie lieber vom Netz nehme, bevor dort zum Beispiel die PCs dann am

Ende einfach befallen sind.

Und ich dann tatsächlich auf einmal in logistische Probleme komme,

weil ich jetzt nicht nur den Patienten zur Befundung bringen muss,

beziehungsweise zur Aufnahme,

sondern eben auch den Arzt am Ende immer in die Radiologie schicken muss,

wenn er die Bilder am Ende befunden oder eben auch quasi nochmal sich anschauen

möchte und mit dem Patienten diskutieren muss.

Und ich glaube, das beste Beispiel aus der Vergangenheit, was man sich da nochmal

anschauen kann, ist die WannaCry-Attacke von 2017 und das Beispiel UK speziell, also der NHS,

weil das ein sehr gut aufbereitetes Beispiel dafür ist, was da an logistischen

Problemen alles so auftreten kann.

Also das entsprechende Ministerium dort hat im Nachhinein das in einem sehr

langen Report auch ausgearbeitet, den empfehle ich jedem.

Ich meine Link hier, oder?

Genau, der Link auf jeden Fall in die Show Notes.

Und da wurden zum Beispiel spannenderweise auch bevor diese WannaCry-Arresting-Weather

durchlief, Sicherheitsprüfungen von diesem Einrichtung durchgeführt,

von circa einem Drittel.

Und davon hatte ich keine einzigen bestanden, was schon mal ein ganz interessantes Faktum ist.

Allerdings war währenddessen tatsächlich das größte Problem,

dass entweder die diagnostischen Geräte infiziert oder eben damals isoliert

wurden und das auch dazu geführt hat, dass Patientenschaden festgestellt werden konnte.

Nicht direkt im Sinne von jetzt ein Medizingerät, das nicht mehr richtig funktioniert

hat, sondern beispielsweise dadurch,

dass Termine abgesagt werden mussten, speziell bei zum Beispiel sehr dringenden

Krebsdiagnostika oder Ähnlichem, wo halt tatsächlich dann ja auch die Notfallversorgung

natürlich nochmal beeinträchtigt war.

Aber hauptsächlich eben diese logistischen Probleme, dass man eigentlich Personal,

die Geräte und die Patienten da hat, aber sie halt nicht an den richtigen Orten

zur richtigen Zeit zusammenbringt am Ende.

Ich habe dieses Spannungsfeld, insbesondere was ich mal immer so gerne nenne,

Digitalisierung versus IT,

habe ich vor Jahren, da habe ich noch relativ viel Infrastrukturprojekte,

auch so Desktop-Virtualisierung beispielsweise mitgemacht, das ist jetzt auch acht, neun Jahre her.

Da gab es aber auch in den Krankenhäusern eben eine große Digitalisierungswelle.

Also genau diese logistischen Dinge wie mit, es gibt ein Tablet für den Arzt,

wo dann eben auch gleich das Röntgenbild erscheint oder wo dann auch gleich die Werte erscheinen,

dass eben nicht dieses ganze Thema Hauspost teilweise immer noch so groß ist

oder dass Leute rumrennen.

Besonders in Kliniken sind es ja auch einfach ordentliche Strecken.

Teilweise sind die Labore ja auch noch ein bisschen nebendran.

Das heißt, da reden wir einfach über ganz schön weite Strecken und das bindet auch einfach Personal.

Was ich allerdings damals gesehen habe, war, selbst in großen Kliniken traf

ich dann halt auf drei, vier, fünf ITler teilweise.

Das war dann auch ein Azubi, wie gesagt, ist ein paar Jahre her.

Da war dann ein Azubi dabei, da war ein IT-Leiter dabei, eine Person konnte

man immer irgendwie als krank fairerweise auch mal wegrechnen.

Und am Ende standen da Leute, die gleichermaßen den Infrastrukturbetrieb leisten

mussten, Storage, Server und sonstiges.

Das ganze Thema Security kam auch langsam so richtig als eigenständiges Thema auf.

Und dann kamen aber noch die Digitalisierungsprojekte, die zum damaligen Zeitpunkt

auch einfach komplett auf die IT mehr oder weniger abgelagert wurden.

Gibt es dieses Spannungsfeld? Ich war jetzt auch länger nicht mehr in diesen

Projekten in dem Sinne mit drin, noch in dieser Form.

Und wie spielt das vielleicht auch eine Rolle, wenn es um das ganze Thema Resilienz

von diesen ganzen Prozessen und so weiter geht?

Ich glaube, deine Frage müssen wir ein bisschen aufsplitten.

Das sind jetzt im Prinzip vier Sachverhalte in einem.

Ich fange mal an mit dem Digitalisierungsthema.

Digitalisierung im Gesundheitswesen ist ein Muss. Das musst du heute tun,

um überhaupt wettbewerbsfähig zu sein, um quasi deine Kosten,

die du für eine OP bekommst, die sind ja immer gleich.

Vielleicht, viele wissen das nicht, ich mache mal ein fiktives Beispiel,

jetzt nicht reale Zahlen, aber ungefähr so eine Größenordnung.

Wenn du jetzt eine Knie-OP bekommen musst, weil du dir, keine Ahnung,

eine Sehne gerissen hast und ins Krankenhaus kommst, was kriegst du gemacht?

Da gibt es dafür so einen sogenannten Standardsatz. Das heißt,

in diesem Standardsatz, fiktive Zahl, 52 Euro, muss alles mit eingerechnet sein.

Das heißt, da drin sind die Kosten für die OP, also für den Operateur,

für das ganze Personal, was außenrum ist, für die Materialien,

die verwendet worden sind.

Für die Geräte, die zum Einsatz gekommen sind und, und, und, und, und.

Das musst du halt quasi relativ effizient nutzen, dieses Geld,

also für die OP logischerweise, aber auch natürlich um die ganze Infrastruktur außenrum.

Damit du es jetzt nicht bezahlst, keine Ahnung, deine digitale Patientenakte,

damit du es jetzt nicht bezahlst oder vielleicht nur ein ganz,

ganz kleiner Teil davon.

Keine Ahnung, der PC, der auf

der Station steht, die Lizenzen und die Software hast du nicht gesehen.

Das ist also so erstmal so das Grundproblem. Das heißt, das Finanzierungsmodell

in so einem Krankenhaus ist halt nicht ganz klassisch wie in einem Unternehmen.

Sondern es gibt halt für verschiedene Standardoperationen oder für Standardbehandlungsmethoden

gibt es halt einfach eine Zahl.

Und die kriegt das große Superkrankenhaus, keine Ahnung, Charité,

aber auch das kleine Kreiskrankenhaus in Klein kennst du nicht.

Es ist der gleiche Satz. Und alle müssen quasi mit dem gleichen Geld haushalten.

Natürlich, unter Umständen, wenn du ein größeres Haus bist, kannst du natürlich

da Skalierungseffekte nutzen,

kannst natürlich, weiß ich nicht, vielleicht da in Anführungszeichen jede einzelne

OP ein bisschen streamlinen, aber wenn du quasi diese OP machst in einem kleinen

Krankenhaus, nur ab und zu sind die Möglichkeiten halt relativ gering.

Das heißt, das Problem ist allein die ganze Finanzierungsgeschichte in diesem,

Krankenhaus-Business ist halt extrem kompliziert, weil du kriegst natürlich,

Zuschüsse aus Land, vom Bund und so weiter, da kannst du natürlich auch andere

Kosten geltend machen, natürlich verdienst du auch unter Umständen mit Privatpatienten

auch Geld zum gewissen Punkt, das ist ja auch so.

Natürlich sieht man auch auch da, was auf der ganzen Krankenhauslandschaft passiert,

sogenannte Cluster-Bildungen.

Das heißt, Krankenhäuser tun sich zusammen, weil es sich eben nicht lohnt,

dass die fünf Krankenhäuser im 20-Kilometer-Abstand alle das Gleiche machen,

sondern man probiert natürlich da auch Kompetenzen in verschiedenen Häusern

auch zusammenzulegen, um halt

an den Häusern dann vielleicht den Operateur zu haben für die Knie-OP,

der das halt am routiniertesten macht und nicht da irgendwie in den anderen

Krankenhäusern außenrum das quasi auch die Leute machen zu lassen,

aber die vielleicht nicht die aktuelle Routine beziehungsweise die Expertise hat.

Also das ist so ein vielschichtiges Problem, was die Finanzierung angeht.

Natürlich musst du digitalisieren im Krankenhaus.

Ich sagte schon, das ist halt auch ein Effizienzthema, weil du schon gesagt

hast, teilweise sind die Wege einfach sehr lange.

Du kannst es einfach nicht mit Personal oder Rohrpost erschlagen.

Das geht heutzutage nicht mehr.

Zum anderen ist natürlich auch das rein, sage ich mal, organisatorisch praktisches Thema.

Kann man sich vielleicht vorstellen, so eine Patientenakte durch wie viele Hände, die am Tag geht.

Das heißt, wenn dann natürlich jeder nicht mit seiner Schönheitsschrift da reinträgt

und dann natürlich dann auch, was weiß ich, jemand vielleicht einen Befund nachtragen

muss, dann ist immer die Frage, wer hat gerade die Patientenakte,

wer hat den aktuellen Stand,

sind da vielleicht Papiere reingeheftet worden, die rausgefallen sind beim Raussehen,

also allein so praktische Dinge. Das heißt, dafür musst du Digitalisierung auch machen.

Und zudem natürlich auch Prozessschritte, auch wie in der Wirtschaft,

was du halt digitalisieren kannst, kannst du auch messbar machen.

Was du messbar machen kannst, kannst du Qualitätskriterien dran machen.

Und ich denke, dass auch das Thema Digitalisierung im Klinikum auch helfen wird,

eine gewisse Qualitätssicherung auch zu erfüllen, weil natürlich auch damit

viel, viel mehr Transparenz da sein kann.

Das ist ein Thema. Zweites Thema, Personal. Also natürlich konkurriert das Krankenhaus

oder auch die Umgebung Krankenhaus natürlich mit allen anderen auch.

Das heißt, Leute, die quasi in der IT arbeiten wollen, können sich bedeutend

einfachere Felder ausüben.

Ich habe vorhin schon gesagt, Krankenhaus hat das alles, was alle anderen auch

haben, plus noch vieles mehr.

Und natürlich ist es unter Umständen auch vielleicht vom Ruf her oder auch teilweise

auch ist es auch so, so dass halt Krankenhaustechnik nicht unbedingt modern

und super schön und interessant sein muss.

Also es ist natürlich auch so, natürlich gibt es auch total tolle Geschichten,

je nachdem, wo man halt auch ist.

Aber natürlich ist so der Ruf in Anführungszeichen, dass halt Krankenhaus-IT

irgendwie so oldschool ist und dann doch irgendwie wieder das 95-Rechner rumsteht,

was unter Umständen auch noch der Fall ist.

Das heißt, man poolt um die IT-Experten, auch um die IT-Security-Experten natürlich

mit der Industrie, völlig klar,

mit den großen Beratungshäusern, mit allem, was außenrum ist und dann quasi

jemanden dafür zu begeistern, ein Krankenhaus zu machen oder IT zu machen,

Macher und Gäste

Robert Wortmann
Gastgeber
Robert Wortmann
LinkedIn