Heißt das, in den Krankenhäusern sind zum Teil noch Systeme zu finden, die nicht mit den aktuellen Updates für die Software bespielt sind?
Häußler: Das ist sicher der Fall. Aber das liegt auch daran, dass die Krankenhäuser solche Systeme nicht immer selbst updaten dürfen. Auch wenn die IT-Abteilung eines Krankenhauses beispielsweise von einem IT-Sicherheitsproblem bei einer Herz-Lungen-Maschine weiß, kann sie nicht einfach aus dem Internet ein Update laden und einspielen. Solche Updates müssen in der Regel über den Hersteller laufen, weil die sichere Funktion der Maschine sonst vielleicht nicht mehr gewährleistet ist, und diese sollte in einem Krankenhaus durchaus auch gewährleistet werden. Aber eine "veraltete" Software-Version muss auch nicht unbedingt schlimme Folgen haben. Solche älteren Systeme laufen häufig in abgesicherten Bereichen, sodass von außen niemand zugreifen kann. Dann spricht auch nichts dagegen, ein älteres Betriebssystem oder eine ältere Software-Version zu verwenden. Es muss nur sichergestellt sein, dass niemand zu diesem System vordringen kann. Dazu ein hoffentlich anschauliches Beispiel: Man kann teuren Diamantschmuck im Wohnzimmer liegen lassen, wenn sichergestellt ist, dass niemand von außen in das Zimmer kommen kann. Wenn man allerdings offene Türen hat, dann wäre ein Safe vielleicht der bessere Aufbewahrungsort für den Schmuck.
Können sich Krankenhäuser darauf verlassen, dass die Medizintechnik-Unternehmen regelmäßig Updates der Maschinen zur Verfügung stellen?
Häußler: Die großen Hersteller bieten in der Regel die nötigen Updates für ihre Software an, auch wenn es zum Teil länger dauert, als man es sich wünscht. Es gibt aber auch Hersteller, die das Risiko an den Betreiber übergeben. Dann muss der Betreiber selbst dafür sorgen, dass das Gerät so gut abgesichert ist, dass nichts passieren kann. In einem Krankenhaus müssen nicht alle Geräte notwendigerweise in ein Netzwerk eingebunden werden. Aber wenn ein Gerät in ein Netzwerk eingebunden wird, hat der Betreiber dafür Sorge zu tragen, dass die Schnittstelle abgesichert ist.
Ist es denn möglich die Software diverser Medizintechnikhersteller gemeinsam zu schützen? Oder muss quasi jedes Gerät einzeln durch die Unternehmen geschützt werden?
Häußler: Unter dem Sicherheitsaspekt wäre es natürlich schön, wenn ein Krankenhaus alle Geräte von nur einem Hersteller bekommen könnte. Das würde vieles vereinfachen. Aber selbst wenn dies möglich wäre, würde es immer unterschiedliche Generationen bei den Geräten und bei der Software geben. Vielleicht kommen wir aber mal dahin, dass es definierte Schnittstellen für die Geräte gibt, welche die Einbindung in die "Sicherheitsarchitektur" erleichtern. Aber auch wenn dies in Zukunft möglich wäre, wir müssen die Krankenhäuser jetzt absichern. Deshalb wird in den nächsten Jahren noch einiges zu tun sein – für die IT-Verantwortlichen in den Krankenhäusern und für uns.