Zusammenfassung
Kliniken gehören per definitionem zur kritischen Infrastruktur eines Landes. Vermehrt
sind in den vergangenen Jahren Krankenhäuser Ziel von Hackerangriffen mit der Folge
einer wochen- bis sogar monatelangen Beeinträchtigung ihrer Handlungsfähigkeit
geworden.
Gemäß der „Nationalen Strategie zum Schutz Kritischer Infrastrukturen
(KRITIS-Strategie)“ sind Kliniken gesetzlich verpflichtet, dagegen Vorsorge zu
treffen.
Dazu sollten IT-abhängige Prozesse in einer Klinik evaluiert, definiert und
Ausfallkonzepte erarbeitet werden, um auf einen Cyberangriff vorbereitet zu sein.
Spezifisch auf einen EDV-Ausfall zugeschnittene Notfallpläne sollten in allen
IT-abhängigen Bereichen einer Klinik erstellt und vorgehalten werden. Zudem sollten
papierbasierte Ersatzlösungen, wie z. B. Anforderungsbelege für Diagnostik- oder
Konsilleistungen, abteilungsspezifische Notfalldokumente und
Patientendokumentationskurven an einem gut zugänglichen und den Mitarbeitenden
des
jeweiligen Bereichs bekannten Ort vorgehalten werden. Die vollständige Wiederherstellung
eines Kliniknetzwerks nach einem Cyberangriff erfordert häufig eine umfassende
Wiederherstellung zahlreicher IT-Systeme. Dies kann u. U. Wochen bis Monate dauern.
Wenn
das Krankenhaus über solide Pläne zur Cyber-Notfallvorsorge verfügt, die regelmäßige
Scans und Backups in Echtzeit umfassen, können eine Stabilisierung und ein schnelleres
Wiederanlaufen des Betriebs möglich sein.
Kliniken gehören per definitionem zur kritischen Infrastruktur eines Landes und sind
gesetzlich verpflichtet, Vorsorge gegen Hackerangriffe zu treffen. Daher sollten
IT-abhängige Klinikprozesse evaluiert und definiert werden. Um auf einen Cyberangriff
vorbereitet zu sein, müssen für diese Prozesse Ausfallkonzepte – wie spezifische
Notfallpläne, papierbasierte Ersatzlösungen und externe Speichermedien – erarbeitet
und
vorgehalten werden.
Abstract
Clinics are, by definition, part of a country’s critical infrastructure. In recent
years, hospitals have increasingly become the target of cyber attacks, resulting
in
disruptions to their functionality lasting weeks to even months. According to the
“National Strategy for the Protection of Critical Infrastructures (CRITIS Strategy)”,
clinics are legally obligated to take preventive measures against such incidents.
This
involves evaluating, defining, and developing failure concepts for IT-dependent
processes within a clinic to be prepared for a cyber attack. Specifically tailored
emergency plans for computer system failures should be created and maintained in
all
IT-dependent areas of a clinic.
Additionally, paper-based alternative solutions, such as request forms for diagnostic
or consultation services, department-specific emergency documents, and patient
documentation charts, should be kept in a readily accessible location known to
staff in
the respective areas. The complete restoration of a clinic’s network after a cyber
attack often requires extensive recovery of numerous IT systems, which may take
weeks to
months in some cases.
If the hospital has robust plans for cyber emergency preparedness, including regular
scans and real-time backups, stabilization and a quicker resumption of operations
may be
possible.
Schlüsselwörter Cyberangriff - Notfall-Anforderungsformulare - Backup-Systeme - Rechtspflichten -
Notfallpläne
Keywords cyber attack - emergency request forms - backup systems - legal obligations - emergency
plans