Innovation leben

Transkript

Zurück zur Episode

00:00:00: Das Gesundheitswesen ist eine kritische Infrastruktur, an der unmittelbar Menschenleben hängen.

00:00:05: Patientendaten zählen auf kriminalen Marktplätzen zu den wertvollsten Datensätzen überhaupt.

00:00:11: Die Sicherheit darf nicht erst eskalieren wenn der Vorfall da ist sondern sie muss im klinischen Alltag eingebaut sein vergleichbar mit hygienischem

00:00:20: Netz.

00:00:29: Telemedizin digitale Patientenakten vernetzte Medizingeräte KI-gestützte Diagnostik Das Gesundheitswesen wird immer digitaler.

00:00:38: Doch je stärker Kliniken, Geräte und Daten miteinander verbunden sind, desto angreifbarer wird das gesamte System.

00:00:46: Cyber-Angriffe auf Klinik können heute bereits zur OP Absagen oder Ausfällen führen – im schlimmsten Fall können sie sogar Patienten gefährden!

00:00:55: Gleichzeitig steigt die Abhängigkeit von Cloud Services, vernetzten Gesundheitstechnologien und digital optimierten Krankenhausabläufen.

00:01:04: Deshalb lautet die zentrale Frage – wie schützen wir eine moderne Gesundheitsversorgung so, dass Patientendaten, Infrastruktur und Menschen sicher bleiben?

00:01:15: Darüber sprechen wir heute mit Andreas Mangerich von Microsoft.

00:01:19: Er verantwortet bei Microsoft Deutschland alle Themen rund um Cybersecurity, Compliance und Identity für den deutschen Gesundheitssektor und die Forschung.

00:01:29: Willkommen zu einer neuen Folge von Fokus Zukunft einem Format von Innovation leben dem Podcast von Bayern Innovativ.

00:01:35: Ich bin Barbara Grohl schön dass Sie dabei sind Und wir starten wie immer mit einem kleinen Szenario.

00:01:45: Eine Klinik arbeitet komplett vernetzt.

00:01:47: Alle Systeme bei OP Robotik, Bildgebung und Monitoring laufen digital, KI gestützt und in Echtzeit.

00:01:54: Während ein Eingriff läuft bemerkt das Sicherheitssystem ungewöhnliche Netzwerkaktivitäten.

00:01:59: Es handelt sich um einen Angriff der versucht über eine vernetzte Infusionspumpe ins Krankenhaus-Netz einzudringen.

00:02:05: Doch moderne Abwehrsysteme reagieren autonom.

00:02:08: Sie isolieren das betroffene Gerät, trennen den Netzwerkabschnitt ab und leiten parallel eine Analyse ein ohne den laufenden Eingriff zerstören.

00:02:15: Die Frage ist wie gut vorbereitet ein Krankenhaus ist wenn Angriffe passieren?

00:02:34: Es digitalisiert sich rasant, Stichworte wie elektronische Patientenakte, Thematikinfrastruktur, KI-gestützte Diagnostik.

00:02:49: Und es ist gleichzeitig eine kritische Infrastruktur an der unmittelbar Menschenleben hängen.

00:02:54: und genau das ist so eine Kombination die Kliniken Praxen und Kostenträger einfach zu einem hoch attraktiven Ziel machen.

00:03:01: Patientendaten zählen auf kriminalen Marktplätzen zu den wertvollsten Datensätzen überhaupt weil sie sich zum Andersen als eine Kreditkarte nicht zurücksetzen lassen.

00:03:12: Hinzu kommt die geopolitische Lage, wir sehen seit Jahrzehntzwei und zwanzig ne deutliche Zunahme von staatlich tolerierten oder auch gesteuerten Angriffen gegen europäische Versorgungsstrukturen.

00:03:24: Auf der anderen Seite trifft diese Bedrohung auf eine Branche mit jahrzehntenlangen Investitionsstau in der IT, auf eine hohe Hydrogenität in den Systemen und auf einen sehr ausgeprägten Fachkräftemangel.

00:03:38: Regulatorisch erhöht sich der Druck dann noch zusätzlich, zum Beispiel durch die NIST-Zweiferordnung und ja auch durch broschenspezifische Sicherheitsstandards wie z.B.

00:03:47: dem B-III.

00:03:48: Kurz gesagt, die Angriffsfläche wächst schneller als die Verteidigungsfähigkeit und der Schaden eines Ausfalls im Gesundheitswesen stellt sich anders dar in fast allen anderen Braschen.

00:04:00: Das heißt, in der Logik stehen wahrscheinlich Kliniken besonders im Fokus von Angriffen?

00:04:06: Ja, ganz eindeutig.

00:04:07: Der Lagebericht des BSEs also das Bundesamt für Sicherheit in der Formationstechnik und auch der von Microsoft veröffentlichte Digital Defense Report, der zeigt bei den Reports zeigen seit Jahren eine überproportionale Zunahme von Vorfällen im Krankenhaussektor.

00:04:24: Ganz besonders zum Beispiel durch ransomware.

00:04:27: Das

00:04:27: ist ransomware?

00:04:28: Ransomware is Schadsoftware Das ist letztlich ein, man verkennt das ganz so als Verschlüsselungstrojaner.

00:04:35: Also deine eigenen Daten werden verschlüsselt und nur gegen die, ja, gegen eine Zahlung oder gegen ein Lösegeld wird dir praktisch das Schlüssel gegeben um an deinen eigenen Daten heranzukommen.

00:04:47: Stimmt!

00:04:48: Da gab es in letzter Zeit einige Vorfälle, die auch in den Medien waren?

00:04:51: Das ist

00:04:51: omnipräsent inzwischen genau.

00:04:53: Und der Grund dafür ist ökonomisch sehr nüchtern.

00:04:56: Die Angreifer kalkulieren mit einer sehr hohen Zahlungsbereitschaft, weil so ein Klinikbetrieb halt einfach kein Stillstand verträgt.

00:05:04: Jede Stundeausfall bedeutet abgesagte Operationen und umgeleitete Notaufnahmen damit natürlich ganz konkrete Patientenrisiken.

00:05:12: Wenn man jetzt mal bei dem Klinikalter bleibt und jetzt einfach schaut es gibt ja da ganz viele Systeme die laufen seit Jahren.

00:05:19: Seit Jahren laufen sie stabil sind aber eigentlich technisch schon längst überholt.

00:05:25: Welche konkreten Risiken entstehen denn durch solche veralteten Geräte oder veraltete Infrastrukturen?

00:05:32: Das ist eines der meist unterschätzten Probleme im Klinikalltag.

00:05:36: Medizingeräte haben in der Regel einen Lebenszyklus von fünfzehn bis zwanzig Jahre, wenn wir uns klassische IT-Systeme anschauen vielleicht drei bis fünf Jahre.

00:05:47: In der Praxis bedeutet es, dass in vielen Häusern läuft so ein MRT, einen CT oder auch so'n Laborgerät noch auf Betriebssystemen.

00:05:55: Auf diese Seite jahren schon keine Sicherheitsupdates mehr gibt.

00:05:58: Patschen oder ein Fixen von Sicherheitslücken ist damit oftmals tatsächlich gar nicht möglich und gleichzeitig würde das wenn ich etwas an dieser Konfiguration denn eigentlich verändere würde das die Zulassung nach Medizinproduktrecht gefährden.

00:06:13: Deshalb die regulatorischen Anforderungen, von denen du vorhin gesprochen hast?

00:06:17: Das ist

00:06:18: tatsächlich letztlich dann ein regulatorische Zielkonflikt der den Angreifern wieder in die Hände spielt.

00:06:23: was noch hinzukommt sind properitäre Protokolle ohne Verschlüsselung und hart kordierte Passwörter oder schlicht die fehlende Trennung vom medizinischen Netz und vom Verwaltungsnetz.

00:06:34: wenn ein einziges kompromittiertes Gerät in so einem Netzwerk ist kann das tatsächlich der Brückenkopf sein um das gesamte Netzwerk zu kompromettieren.

00:06:42: Puh!

00:06:43: Aber wenn man jetzt mal überlegt, gerade Krankenhäuser die müssen ja rund um die Uhr funktionieren.

00:06:48: Es geht ja nicht anders.

00:06:49: Abschalten ist keine Option.

00:06:50: wie lässt sich denn unter diesen Bedingungen überhaupt ein wirksames Sicherheitsniveau aufrechterhalten?

00:06:56: Also ich denke jetzt nur mal ein Update dauert ja eine Zeit lang also das eine länger das andere weniger lang aber letztendlich.

00:07:02: Währenddessen kann ja nicht passieren im Klinikalltag.

00:07:06: Wie geht man damit um?

00:07:07: Letztlich

00:07:07: müssen wir aufhören, Sicherheit als punktuelles Projekt zu denken und müssen viel mehr als Daueraufgabe in den Betrieb integrieren.

00:07:16: Wenn abschalten keine Optionen ist dann müssen kompensierende Maßnahmen greifen.

00:07:21: Konsequent der Netzwerkssegmentierung so dass ein verwundbares Gerät nicht gleich das ganze Haus gefährdet.

00:07:26: Ein kontinuierliches Monitoring durch die SOC also das Security Operations Center des Anomalien in Echtzeit erkennt, aber auch ein risikopassierter Patch-Ansatz der Wartungsfenster mit klinischen Abläufen auch verzahnen kann.

00:07:42: Also Patch ist das, dass da immer wieder neue Updates kommen und neue Aktualisierungen?

00:07:46: Genau!

00:07:47: Zentral ist letztlich aber auch das Prinzip der Resilienz.

00:07:51: Also die Fähigkeit, einen Angriff zu überstehen nicht nur um versuchen ihn zu verhindern.

00:07:57: Dazu gehören abrupte Notfallpläne regelmäßige Tabletopübungen mit der Klinikleitung und dazu noch unveränderliche getrennte Backups.

00:08:06: Die Sicherheit darf nicht erst skalieren wenn der Vorfall da ist sondern sie muss oder sollte in den klinischen Alltag eingebaut sein vergleichbar mit Hygienistan Und ganz wichtig dabei, sie muss von der Geschäftsführung getragen werden.

00:08:21: Sonst bleibt es eine Aufgabe der IT-Abteilungen, die struktuell meistens eh bereits überlastet ist.

00:08:27: Ist das angekommen in den Kliniken?

00:08:29: Merkst du das oder musst du da noch viel Überzeugungsarbeit leisten?

00:08:35: Das ist sehr unterschiedlich.

00:08:36: Ich habe Kunden, da ist es angekommen – das ist teilweise wirklich so dass zumindest die IT-Leitung diese Ansätze gehen oder wollen, dass sie oftmals aber von ihren eigenen Teams ausgebremst werden.

00:08:49: Es ist ein weitreichendes Thema wegen Fachkräftemangel.

00:08:53: wie lange sind Kollegen und Kolleginnen bereits im Unternehmen?

00:08:57: Wie wird in diesen Mitarbeiter investiert werden die aktuell gehalten Bauen die eben halt seit zehn, fünfzehn Jahren auf die Technologien, die sie kennen.

00:09:05: Da sind wir dann beim Thema Detention and Change Management Prozess.

00:09:08: Will ich mich etwas neu im Öffnen?

00:09:10: Alles was Neues erzeugt in der Regel erst mal eine Gegenreaktion.

00:09:14: Praxistipp!

00:09:16: Wenn man das jetzt weiterdenkt, welche zentralen Bausteine braucht es denn heute für eine wirklich sichere IT-Architektur im Krankenhaus?

00:09:25: Vor allem wenn ich Einrichtung betrachte, die wirklich nur begrenzte Ressourcen haben...

00:09:30: zuallererst oder womit es eigentlich immer anfängt ist.

00:09:33: Ich brauche ein vollständiges Inventar aller meiner Ersatz, also inklusive der Medizintechnik, der OT- oder Operational Technology denn am Ende des Tages ich kann nur das schützen was ich auch kenne wenn wir das weiter denken.

00:09:46: ganz ganz wichtig und dann trennt man ist ja gar kein Trendmedischer.

00:09:50: seit über fünf Jahren Identität muss ich heute als neuen Perimeter denken Also Multi-Faktor, Authentifizierung, privilegierte Zugriffverwaltung und das Prinzip der minimalen Rechte.

00:10:01: Das ist heute nicht mehr verhandelbar.

00:10:04: Allein die Annahme Benutzernahme am Passwort erreicht aus?

00:10:07: Nein!

00:10:08: Das ist fünf Jahre altes Thema.

00:10:10: Da muss ich auf jeden Fall ran.

00:10:11: Drittens wir brauchen eine konsequente Segmentierung nach Zero Trust-Prinzipien so dass kein Gerät oder Nutzer implizit vertrauenswürdig ist.

00:10:19: Ganz ganz wichtig es geht am Ende meistens sehr hauptsächlich um die Daten Was bedeutet, ich brauche eine robuste Backup und auch wieder Anlaufstrategie mit unveränderlichen Kopien oder eine robustere Versionierung der Daten?

00:10:33: Weil das die wirksamste Versicherung gegen Ransom wäre.

00:10:36: Wenn wir mal weiterschauen – Ich brauche auf jeden Fall ne Vierundzwanzig Sieben Erkennung und Reaktion auf Ereignisse, die kleinere Häuser realistisch nur über gemeinschaftlichte oder gemanagete Modelle leisten können also durch einen externe Dienstleister durch sowas wie kommunale Sockverbünde gibt es inzwischen schon oder eben halt über sektorale Kooperationen.

00:11:00: Noch ein Punkt auch ganz, ganz wichtig da geben wir weg von sämtlichen Prozessen und sämtslichen Technologien in Richtung Faktor Mensch.

00:11:08: das sind wir eben bei einer konsequenten Erwähnerschulung aller Beteiligten.

00:11:13: Du meinst tatsächlich alle also die Admins?

00:11:17: Auch die Vorstände also jeder der hier tatsächlich mitteilen nimmt Denn ein sehr, sehr erheblicher Teil sämtlicher Vorfälle beginnt heute immer noch mit einem ganz klassischen Fishing.

00:11:30: Abschließend was wir auf jeden Fall brauchen das sind klautfähige standardisierte Architekturen weil gerade diese kleinere Häuser von Spezialwissen entlasten und Sicherheit als Service skalierbar machen.

00:11:44: Wer begrenzt die Ressourcen hat gewinnt durch Standardisierung Automatisierung und Kooperation nicht die Insellösung, auf die man vielleicht schon seit Jahren setzt.

00:11:53: Das

00:11:54: klingt logisch und ganz besonders sensibler Punkt sind ja die Daten selbst.

00:12:00: du hast ja vorhin schon angesprochen wie gelingt es medizinische Informationen sicher zu übertragen gleichzeitig aber verfügbar zu halten, wie funktioniert

00:12:09: das?

00:12:09: Das ist genau die Griechenfrage in unserem digitalen Gesundheitswesen.

00:12:14: Weil Vertraulichkeit und Verfügbarkeit hier gleichermaßen lebenswichtig sind.

00:12:19: Technisch beginnt das alles mit einer durchgängigen Verschlüsselung sowohl während der Übertragung der Daten als auch im Ruhestand.

00:12:25: Und mit einem feinkranularen Berechtigungsmodell dass die Daten nur dort sichtbar macht wo sie letztlich klinisch auch gebraucht werden.

00:12:35: erreichen wir dann über redundante, geografisch getrennte Architekturen und über klare Wiederanlaufzeiten.

00:12:43: Die aber auch immer wieder regelmäßige Teste werden müssen.

00:12:46: Essenziell ist am Ende aber auch eine saubere Datenklassifikation.

00:12:51: nicht jede Information ist gleich kritisch Aber jeder muss letztlich ihren Schutzbedarf kennen.

00:12:57: Ausblick

00:12:59: Jetzt gehen wir mal in eine andere Richtung.

00:13:01: heutzutage ist ja KI überall.

00:13:03: Wir haben uns ja vorhin mal kurz drüber unterhalten, wie man selber KI so nutzt im Privaten und im Beruflichen.

00:13:09: Welche Rolle wird denn künstliche Intelligenz künftig in der Cyberabwehr spielen?

00:13:14: Also um Krankenhäuser in Echtzeit zu schützen?

00:13:18: Gerade in der cyberabwehr wird die KI oder Künstlicheintelligenz das Thema in den kommenden Jahren grundlegend verändern.

00:13:25: Und zwar auf beiden Seiten – Verteidigerseite ermöglicht die etwas, was menschliche Analysten in dieser Geschwindigkeit heute schon gar nicht mehr leisten können.

00:13:35: So zum Beispiel das Korrelieren von Milliarden-Signalen und es ist tatsächlich sind Milliarden von Signalen weltweit täglich, von denen wir da sprechen?

00:13:44: Das Erkennen von feinen Verhaltensanomalien und auch des automatische Eindämmen von Angriffen innerhalb von Sekunden und nicht erst innerhalb von Stunden.

00:13:54: Gerade in einem Krankenhaus, wo jede Minute zählt wird das letztlich halt natürlich zu einem entscheidenden Faktor.

00:14:00: Die KI hilft außerdem kleinere Häuser zu entlasten weil sie Routinearbeit im Sock automatisiert und sich das sehr, sehr knappe und qualifizierte Personal letztlich dann darauf konzentrieren kann was wirklich noch eine menschliche Urteilskraft erfordert.

00:14:17: Gleichzeitig muss man aber realistisch sein.

00:14:19: die Angreifer benutzen dieselben Werkzeuge etwa für hochpersonalisiertes Fishing oder auch zur automatisierenden Spassstellensuche.

00:14:28: In den letzten Wochen ging viel durch die Schlagzeilen eine neue KI-Schmiede namens Anthrophic und da gibt es ein neues KI-Modell, nennt sich Mythos was selbstständig und recht beeindruckend kritische Sicherheitslücken entdeckt.

00:14:45: also das tut sich ganz ganz viel.

00:14:47: Das Wettrennen wird sich letztlich beschleunigen Und nicht entspannen.

00:14:51: Entscheidend ist deshalb das Prinzip human in the loop, also die KI als verstärker und nicht als Ersatz für Verantwortung.

00:15:00: Am Ende braucht es natürlich Transparenz und Governance damit KI-Entscheidungen in einem so sensiblen Umfeld nachvollziehbar bleiben.

00:15:08: Kann ich verstehen?

00:15:09: ja Die Frage zum Schluss.

00:15:12: Jetzt machen wir mal einen Blick in die Zukunft.

00:15:15: Du hast eine Glaskugel vor dir.

00:15:17: Wie könnte denn ein Krankenhaus im Jahr two-tausendfünfunddreißig aussehen, vor allem wenn die Sicherheit wirklich von Anfang an mitgedacht wird?

00:15:26: Also in dem Krankenhaus zwanzigfünfund dreißig.

00:15:28: Dass Sicherheit konsequent veränderlicht hat ist die Cyber Security vielleicht sogar schon unsichtbar geworden weil sie von Grund auf überall mit einem Bauern ist.

00:15:39: Jedes Medizingerät bekommt in so einer perfekten Welt eine sogenannte Software Bill of Material.

00:15:45: Das ist wie ein digitaler Byparkzettel und damit wird letztlich der gesamte Lebenszyklus beschrieben, da wird aktualisiert ohne letztlich aber die Zulassung von diesem Gerät zu gefährden.

00:15:56: Die Infrastruktur ist software definiert, segmentiert, die folgt durchgängig diesen sogenannten Zero Trust Prinzipien was bedeutet das Jede, also wirklich jede Anfrage explizit verifiziert wird.

00:16:09: Ganz unabhängig an Ihrem Ursprung.

00:16:11: eine KI-gestützte Abwehr die arbeitet dabei im Hintergrund Die erkennt Angriffe in Echtzeit und isoliert betroffene Bereiche noch bevor irgendwelche klinischen Prozesse davon irgendwie auch nur betroffen sein könnten.

00:16:26: Patientendaten fließen kontrolliert zwischen Sektoren, also zum Beispiel von der Klinik in Richtung einer Praxis, in Richtung der Forschung im Austausch mit den Kostenträgern und das alles auf Basis europäischer Datensouveränität.

00:16:40: Ich glaube dich so zu verstehen dass aktuell es gibt natürlich Sicherheitsrisiken aber im Großen und Ganzen hat man alles ganz gut im Griff und arbeitet extrem daran ist tagtäglich noch zu verbessern.

00:16:54: Also diese Risiken gibt es überall.

00:16:57: Die gibt es im Privaten, die gibt es sonst im Geschäftlichen... ...die Besonderheiten vom Gesundheitssektor, die ich gerade vorhin angesprochen habe.

00:17:04: Die schlagen natürlich zu Buche ganz klar aber ich sehe die Verantwortlichen das sie tatsächlich ihr Bestes tun.

00:17:12: Aus meiner Sicht ganz, ganz wichtig ist tatsächlich dass dieses Tun auch aktiv unterstützt wird.

00:17:18: Also sprich das die Häuser den entsprechenden Mittel zu verfügen gestellt bekommen wie eigentlich aber auch sonst in jedem anderen Unternehmen als Thema Security muss Chefsache werden.

00:17:28: Das gehört einfach in den Verantwortungsbereich der Klinik Leitung und muss da ganz prominent ankommen.

00:17:34: Ich weiß, das klingt heute alles nach einer sehr, sehr kühnen Vision.

00:17:37: Aber wenn wir einmal soweit sind dass die Sicherheit kein Projekt mehr ist sondern eine Eigenschaft des Systems so wie die Hygiene heute dann könnte man eigentlich ein gutes Stück des Weges gingen sein?

00:17:49: Ich habe den Eindruck Wir sind da schon auf einem guten Weg oder auch ihr gemeinsam mit dem Kliniken seid aufm guten Weg.

00:17:57: ganz herzlichen Dank für diese Einblicke die du uns gerade gegeben hast.

00:18:01: Cyber Security muss auch in Kliniken, auch im Gesundheitswesen Chefsache sein.

00:18:08: Das ist ein ganz wichtiger Punkt den ich da mitgenommen habe.

00:18:11: Ich hab aber auch mitgenommen dass Cybersecurity zur Grundvoraussetzung moderner Gesundheitsversorgung wird sowie vernetzte Geräte Cloud und KI neue Chancen aber eben auch Risiken schaffen und welche Maßnahmen Klinik und Hersteller ergreifen müssen um Patientinnen und Patienten zu schützen.

00:18:29: Digitale Gesundheitsversorgung ist halt nur so stark wie ihre Sicherheit.

00:18:32: Die Zukunft gehört Lösungen, die Technologie, Effizienz und Schutz vereinen!

00:18:38: Wenn Sie liebe Zuhörerinnen und Zuhörer mehr darüber erfahren möchten, wie sich die digitale Medizin weiterentwickelt dann abonnieren sie am besten unseren Podcast Innovation Leben bei Spotify oder Apple Podcast.

00:18:51: Ich danke Ihnen fürs Zuhören, bleiben Sie neugierig!

00:18:54: Ich bin Barbara Groll und das war Fokus Zukunft ein Format von Innovation Leben dem Podcast der Bayern Innovativ.

Über diesen Podcast

Tauchen Sie ein in die faszinierende Welt von "Innovation Leben". In diesem Podcast werfen wir gemeinsam mit Ihnen einen Blick in die Zukunft, erkunden die neuesten Trends und Innovationsstrategien und enthüllen, was die Innovationspioniere Bayerns tagtäglich antreibt. Außerdem präsentieren wir Ihnen wichtige Förderprogramme für Ihr Unternehmen – kurz, kompakt und vor allem einfach erklärt.

von und mit Bayern Innovativ GmbH

Abonnieren

Follow us

All rights reserved