"Bei Mindeststandards sollte der Bund eine klare Rolle übernehmen"
Die Digitalisierung schreitet unaufhaltsam voran, doch wie sicher sind unsere Gesundheitseinrichtungen im digitalen Zeitalter? Urs Küderli, Experte für Cybersicherheit im Gesundheitswesen bei PWC, fordert eine stärkere Rolle des Bundes im Schutz kritischer Infrastrukturen. Im Interview spricht er über die Notwendigkeit, die Zusammenarbeit und Modernisierung in Spitälern voranzutreiben.
Welche Massnahmen wären aus Ihrer Sicht am dringendsten notwendig, um die Cybersicherheit in Gesundheitseinrichtungen hierzulande zu verbessern?
Urs Küderli: Die Meldepflicht auf Bundesebene wurde kürzlich eingeführt – nun stellt sich die Frage, wie der Bund sie nutzt. Ein Frühwarnsystem könnte etwa auch Spitälern zugutekommen. Beim Informationsaustausch gibt es sicherlich noch Verbesserungsbedarf: Informationen untereinander austauschen, voneinander lernen und dadurch profitieren. Zwar passiert das bereits vereinzelt, aber nicht flächendeckend. Zudem braucht es Investitionen in die Modernisierung. Offen bleibt, wer in Sachen Cybersicherheit in Spitälern verantwortlich ist. Zwar gibt es Stellen wie das BAG, Swissmedic oder das BACS, doch niemanden, der wirklich die Aufsicht führt und für eine Regulierung zuständig ist.
Sie sagen, man müsse zunehmend in die Modernisierung investieren. Wie sollten die Spitäler ihre IT-Infrastruktur modernisieren, um den wachsenden Bedrohungen durch Cyberangriffe zu begegnen?
Das hängt sehr stark von der Grösse eines Spitals ab: Je kleiner, desto mehr externe Hilfe wird benötigt. Eine Einrichtung sollte versuchen, das Problem nicht alleine zu lösen, sondern einen externen Provider einzubeziehen. Mit moderner Software und Auslagerung gelingt die Überwachung besser. Ein grösserer, professioneller Provider überwacht die Systeme kontinuierlich und durch diese Überwachung verschiedener Umgebungen erkennt er schnell, was vor sich geht. Individuelle Angriffe sind heute selten - kaum eine Cyberattacke richtet sich ausschliesslich gegen einen einzigen Kunden. Oft gibt es frühe Anzeichen solcher Angriffe, die sich weltweit abzeichnen. Diese Indikatoren lassen sich gezielt analysieren und nutzen. Dafür sind jedoch Fachwissen, Ressourcen und die richtigen Werkzeuge erforderlich.
Welche technologischen Trends oder Innovationen könnten in den kommenden Jahren helfen, die Cybersicherheit im Gesundheitswesen zu verbessern?
Ich denke, die Situation wird sich verschärfen, da die Digitalisierung weiter zunimmt. Doch wenn der Datenaustausch sicher gestaltet wird, kann das auch Vorteile bringen. Künstliche Intelligenz ist ein grosses Thema. In der Überwachung und Abwehr von Cyberangriffen sind wir aber noch nicht auf dem optimalen Stand – auch, weil wir im Gegensatz zu Kriminellen Gesetze einhalten müssen. Insbesondere in der Cybersecurity kann es hilfreich sein, Analysefunktionen an KI auszulagern, um den Personalmangel auszugleichen und Fachwissen durch KI zu ergänzen. Ich gehe davon aus, dass moderne Geräte, die heute beschafft werden, verstärkt nach Sicherheitsanforderungen und aktuellen Standards geprüft werden. Durch den Austausch und den Generationenwechsel in der IT, insbesondere im Krankenhausumfeld, lässt sich die Resilienz erhöhen. Letztendlich hängt jedoch vieles von Menschen und Prozessen ab - neue Technologien sind dafür nicht immer notwendig.
Schweizer Spitäler wünschen sich, dass der Bund eine noch stärkere Rolle im Schutz kritischer Infrastrukturen einnimmt. Was müsste Ihrer Meinung nach von staatlicher Seite verbessert oder anders priorisiert werden?
Das BACS hat zurzeit nur empfehlende Kompetenzen. Das wurde so festgelegt. Vielleicht müssen wir das überdenken. Ich bin eigentlich kein grosser Freund einer Flut an Gesetzen. Doch in bestimmten Bereichen - etwa bei Mindeststandards für Datenschutz und den Umgang mit Patientendaten – kann und sollte der Bund eine klare Rolle übernehmen. Es braucht eine Aufsicht in Bereichen, in denen die Spitäler selbst keine Verantwortung tragen, sondern lediglich Leistungen beziehen. Hier kommt dem Staat und den Aufsichtsbehörden eine entscheidende Rolle zu - nicht nur, um Kritik an den Spitälern zu üben, sondern um die Sicherheitsstrukturen insgesamt zu stärken.
Mehr zum Thema Cybersecurity im Gesundheitswesen können Sie hier lesen: Warum Cybersicherheit in Spitälern auf der Strecke bleibt - um die Risiken zu minimieren, braucht es nicht nur technische Investitionen, sondern auch klare Vorgaben und eine stärkere Rolle des Bundes beim Schutz kritischer Infrastrukturen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Die Pinguine haben den Schnabel voll
WatchGuard und BOLL: Jahrzehntelange Zusammenarbeit mit Zukunft
KI-gesteuerte Cyberangriffe – wie sich Unternehmen schützen können
Cybersecurity-Ausbildung an der gibb HF Informatik
Kanton Wallis verabschiedet Cybersecurity-Strategie
Identitätssicherheit: Warum IAM und PAM entscheidend sind
SCSD positionieren sich neu als Agentur
Mit axont ein KMU-freundliches Access Management realisieren
Bucher putzt sie alle weg
