Cyberangriffe auf Krankenhäuser – was bringt der Notfallplan?
Die Anzahl der Cyberangriffe auf Krankenhäuser und Gesundheitseinrichtungen jeder Größenordnung nimmt drastisch zu. Nahezu wöchentlich gibt es Meldungen über Attacken auf die IT-Infrastruktur einzelner Häuser oder ganzer Klinikverbünde. Die Berichte über die Folgen sind inhaltlich identisch: Für einen unbestimmten und nicht vorhersehbaren Zeitraum steht die komplette IT-Infrastruktur nicht zur Verfügung. Der finanzielle Schaden ist kaum übersehbar.
Welche Folgen hat der Cyberangriff?
Im Gegensatz zu einem „normalen“ Systemausfall von Software oder IT-Infrastruktur sind die Auswirkungen auf die gesamte Organisation des Krankenhauses bei einem Cyberangriff dramatisch. In der Regel müssen alle Systeme und die gesamte Infrastruktur heruntergefahren werden. Eine zeitliche Einschätzung der extremen Beeinträchtigungen ist unmöglich. Alle Anwender des Krankenhauses sind betroffen, das heißt konkret
- alle klinischen Bereiche
- die gesamte Verwaltung
- das Rechnungswesen
- die gesamte Kommunikation zu externen Partnern und Kostenträgern.
Zudem werden häufig Patienten- und Unternehmensdaten verschlüsselt oder sogar abgezogen. Häufig kommt es zu einem Erpressungsversuch mit allen juristischen Folgen.
Wie kann sich das Krankenhaus auf einen Cyberangriff vorbereiten?
In den Krankenhäusern ist fast überall eine klinische Notfallplanung vorhanden, beispielsweise für MANV – den Massenanfall von Verletzten. Jedoch gilt das nicht für die Vorbereitung auf einen Cyberangriff; hier gibt es selten eine Notfallplanung, im besten Fall hat die IT-Abteilung ein Notfallkonzept.
Ein Notfallplan für den Cyberangriff hat zum Ziel, die organisatorischen und alle technischen Bereiche des Krankenhauses umfassend auf die mit dem Cyberangriff eintretende Krisensituation vorzubereiten. Dabei werden alle Abläufe und Prozesse systematisch analysiert und mit alternativen Prozeduren ergänzt, die im Notfall zum Einsatz kommen können.
Was sind die Konsequenzen, wenn es keine umfassende Notfallplanung gibt?
Wird ein Krankenhaus unvorbereitet durch einen Cyberangriff getroffen, sind massive Probleme vorprogrammiert:
- Hoher Aufwand für die Koordination von Maßnahmen durch eine fehlende, eingespielte Krisenorganisation
- Keine definierten, alternativen Prozesse für alle relevanten Abläufe
- Hohe Zeitverluste und maximale Unsicherheit während der ersten Reaktionsphase, gerade in der IT-Abteilung
- Mangelnde Kommunikation nach innen und außen
- Monatelanger Notbetrieb, langer Umsatzverlust
Was ist der Nutzen eines Notfallplanes für den Cyberangriff?
Eine Vorbereitung auf einen Cyberangriff in Form eines umfassenden Notfallplans hat große Nutzen – hier nennen wir die markantesten:
- Organisation: Die Teilnehmenden und verantwortlichen eines Krisenteams sind definiert und intern bekannt; sie kennen ihre Aufgaben im Notfall.
- IT-Infrastruktur und technische Bereiche: Der Notfallplan enthält Ausfall-Alternativen, die den Mitarbeitenden bekannt sind. Externe Dienstleister sind unter Vertrag und kennen die Infrastruktur des Hauses.
- Verwaltung und Rechnungswesen: Alternative Prozeduren für die Fachabteilungen wie Einkauf, Buchhaltung und Personalwesen sind definiert und dokumentiert.
- Telefonie: Der Notfallplan stellt durch geeignete Maßnahmen sicher, dass nach einem Cyberangriff weiterhin eine reibungslose Kommunikation möglich ist.
- Interne und externe Kommunikation: Es gibt vorbereitete Texte für die Kommunikation zu den Mitarbeitenden, zur Öffentlichkeit und zu den Lieferanten.
- Kontinuierliche Verbesserung: Durch regelmäßige Überprüfung und Aktualisierung der Vorbereitungsmaßnahmen und das Durchführen von Notfallübungen werden die Sicherheitsstandards kontinuierlich verbessert.
Fazit:
Der Notfallplan trägt maßgeblich dazu bei, die Wiederaufnahme des Normalbetriebs schneller zu erreichen. Daraus resultieren weniger Umsatzeinbußen und im besten Fall auch weiniger Kosten.
Die Adiccon GmbH bietet Ihnen auf der Basis langjähriger Branchenerfahrung die an der krankenhausspezifischen Situation orientierte Unterstützung beim Erstellen eines Notfallplans an, der alle Bereiche berücksichtigt. Wir gehen dabei priorisiert vor und berücksichtigen den jeweils notwendigen Handlungsbedarf. Das Ergebnis hilft den Verantwortlichen im Krankenhaus, der Krise eines Cyberangriffs gut gerüstet und vorbereitet zu begegnen und damit letztendlich auch schneller in den Routinebetrieb zurückzukehren.
Der Name Adiccon steht für "Advanced IT & Communications Consulting". Adiccon – seit 2005 erfolgreich am Markt – bietet Hersteller- und Lösungs-unabhängige Beratungs- und Dienstleistungen beim Einsatz der Informations- und Telekommunikationstechnologie für Großanwender, Mittelstand sowie für das Gesundheitswesen.
Adiccon GmbH
Landwehrstraße 54
64293 Darmstadt
Telefon: +49 (6151) 500777-0
Telefax: +49 (6151) 500777-99
http://www.adiccon.de/
Telefon: +49 (6151) 500777-88
Fax: +49 (6151) 500777-99
E-Mail: walter.schaefer@adiccon.de