„Cyberwar“ und Cybersicherheit
im Gesundheitswesen und Sanitätsdienst der Bundeswehr
„Cyberwar“: eine kurze Begriffsklärung
Staaten und Regierungen nutzen zunehmend digitale Techniken – zur Kommunikation, zur Überwachung, zur Spionage oder zur Optimierung ihrer Streitkräfte. Droht der Welt dadurch ein „Cyberwar“?Der inflationär gebrauchte Begriff „Cyberwar“ bezeichnet oft jegliche Art von feindseliger Computer- und Internetmanipulation – meist ohne die eigentlich notwendige Abgrenzung zu Cyberkriminalität oder Cyberspionage – oder beschreibt allgemein einen (real bislang noch nicht geführten) Krieg mit Cybermitteln.
Von einem klassischen Cyberkrieg sprechen Völkerrechtler, wenn Cyberangriffe große physische Zerstörungen verursachen und Menschen ums Leben kommen.
Im Gegensatz zu Land, Luft, Wasser und Weltraum wurde der Cyberspace vom Menschen entwickelt und durchdringt die anderen Bereiche. Die Datenmengen bewegen sich in der Cybersphäre in einer unglaublichen Geschwindigkeit. Sie kennen keine geographischen und staatlichen Grenzen. Innere und äußere Sicherheit sind daher kaum zu unterscheiden.
Völkerrechtliche und ethische Fragen
Die Kriegsführung mit Cybermitteln, der „Cyberwarfare“, ist seit einigen Jahren zum Gegenstand internationaler Debatten geworden – auch aufgrund spektakulärer Fälle von politisch motivierten Angriffen, etwa auf das estnische Bankensystem, iranische Kernkraftanlagen oder die Stromversorgung der Ukraine.
Jenseits der Schwierigkeiten, die in der definitorischen Abgrenzung zur Cyberkriminalität, -manipulation oder -spionage liegen, wirft Cyberwarfare völkerrechtliche und ethische Fragen auf:
Wann ist der Verteidigungsfall gegeben? Was ist eine adäquate Reaktion? Unter welchen Bedingungen sind Cyberangriffe legitim?
Greifen bisherige Kriterien für die Bestimmung des Kombattantenstatus, sind also (im Regierungsauftrag agierende) Hacker reguläre Kämpfer?
Beim technischen Nachweis der Urheberschaft von Cyberattacken ergeben sich naturgemäß die größten Probleme. Gekaperte Rechner und verschleierte IP-Adressen erschweren, ja verunmöglichen oft die Feststellung, wer aufgrund welcher Motive dahintersteht („Attributionsproblem“).
Der Unterscheidungsgrundsatz des humanitären Völkerrechts verbietet den Einsatz von Cybermitteln, die unnötige Leiden verursachen, also beispielsweise gezielt zur Sabotage kritischer Infrastrukturen eingesetzte Programme. Würden etwa infolge eines Cyberangriffs auf ein Kernkraftwerk Kombattanten oder Zivilbevölkerung durch Strahlen geschädigt, wäre dieses Verbot verletzt.
Ungeachtet dieser Fragen bereiten viele Staaten die Integration von Mitteln der Cyberkriegsführung in zivile und militärische Sicherheitsstrategien vor bzw. haben diese bereits vorgenommen.
Das führt zu weitergehenden, eher pragmatischen Fragen: Wie schützt man sich vor Angriffen? Welche Herausforderungen stellen sich für das Gesundheitswesen im Allgemeinen und die Sanität der Bundeswehr?
Digitalisierung im Gesundheitswesen
Wie in vielen anderen Bereichen des Lebens, der Versorgung und der Wirtschaft schreitet auch im Gesundheitswesen die Digitalisierung mit steigendem Tempo fort. Im Gesundheitswesen hat dieser Prozess z. B. mit der Digitalisierung der Patientendaten, mit der Schaffung der Telematik-Infrastruktur und der kommenden Einführung der Gesundheitskarte sogar schon deutlich früher als in anderen Sektoren der Kritischen Infrastrukturen eingesetzt.
Diese Digitalisierung setzt sich nun mit der Einführung der digitalen Gerätemedizin in Kliniken und auch bei den niedergelassenen Ärzten in hohem Tempo fort. In Operationssälen werden z. B. wesentliche Informationen über die Krankenhistorie des Patienten, aber auch die gesamte verwendete medizinische Infrastruktur durch informationstechnische Vernetzung von Geräten und Daten dem Personal in Echtzeit zur Verfügung gestellt. Damit wird das Gesundheitswesen als „eHealth“ endgültig zur Kritischen Infrastruktur.
Gefährdungslage
Mit der fortschreitenden Digitalisierung und Vernetzung werden bisher autonom und analog betriebene Geräte und Dienste aus dem Netz heraus zugänglich, was neben dem gewünschten Integrationseffekt auch die unerwünschten Folgen einer erhöhten Gefahr eines Cyberangriffes nach sich zieht. Sicherer Zugang und sichere Authentisierung sind daher auch bei eHealth wesentliche Voraussetzung der Vernetzung. Durch die vielfältige Wiederverwendung von IT-Komponenten, die für die Nutzung in anderen IT-Infrastrukturen entwickelt wurden, ergeben sich bei der Integration in eHealth-Produkte und -Anwendungen gegebenenfalls neue Risiken, da diese IT-Komponenten nicht für einen solchen Einsatz entwickelt und gehärtet wurden.
Regulierung
Die vielfältigen Risiken, die sich durch die Digitalisierung des Gesundheitswesens alleine mit Blick auf die Versorgungssicherheit ergeben, haben den Gesetzgeber bereits bei der Einführung des IT-Sicherheitsgesetzes 2015 und dann erneut mit der Umsetzung der europäischen Netzwerk- und Informationssicherheitsrichtlinie im Jahre 2017 veranlasst, auch den Sektor Gesundheitsversorgung der Kritischen Infrastrukturen mit Blick auf die Informations- und Cybersicherheit zu regulieren. Seitdem müssen größere Kliniken ab einer Zahl von 30.000 vollstationären Behandlungsfällen pro Jahr die Umsetzung von Maßnahmen zum Schutz der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse nachweisen. Dazu tritt eine Meldepflicht für IT-Sicherheitsvorfälle, die die Versorgungssicherheit unmittelbar beeinträchtigen oder zumindest beeinträchtigen könnten.
Wie allerdings der Cybersicherheitsvorfall im Lukas-Krankenhaus in Neuss deutlich aufzeigt, stehen neue Gefährdungen durch die fortschreitende Digitalisierung im Raum, die der Gesetzgeber nun durch die Fortschreibung der gesetzlichen Regelungen zu einem IT-Sicherheitsgesetz 2.0 in dieser Legislaturperiode berücksichtigen will.
Gesundheitswesen im Kontext der Bundeswehr
Auch im Gesundheitswesen der Bundeswehr schreiten Digitalisierung und Vernetzung fort, sodass die Anforderungen an Informations- und Cybersicherheit hier sicher mindestens genauso hoch anzusetzen sind wie im zivilen Gesundheitswesen. Nun ist aber das Sanitätswesen im militärischen Einsatz ohnehin besonderen Herausforderungen ausgesetzt. Dazu tritt eine rasant fortschreitende Digitalisierung militärischer Einsatzmittel und militärischer Kommunikation, die insbesondere hinsichtlich der Verfügbarkeit im Einsatz im höchsten Maß gehärtet werden muss. Für militärisches elektronisches Gerät und militärische Kommunikation ist dies seit Langem bekannt und wird auch mit Blick auf die neuen Gefährdungen in der Cybersicherheit konsequent berücksichtigt. (Hybride) Cyberangriffe auf militärische IT-Strukturen und Einsätze sind spätestens seit den Ereignissen in Estland und Georgien Realität und finden Berücksichtigung bis hin zu den Beschlüssen des NATO-Gipfels 2016 in Warschau.
Auf das militärische Gesundheitswesen wirken somit sowohl zivile als auch militärische Cybergefährdungen ein. Es stellt sich daher die Frage, ob diese duale Gefahrenlage in der Aufstellung des Sanitätswesens bereits ausreichend Berücksichtigung gefunden hat. Eine solche Analyse und Bewertung würde sicherlich wertvolle Erkenntnisse und Ergebnisse liefern, die auch für Cybersicherheit an der zivil-militärischen Schnittstelle anderer Kritischer Infrastrukturen von hohem Nutzen wären.
Verfasser:
Dr. Veronika Bock
Direktorin
Zentrum für ethische Bildung in den Streitkräften (zebis)
Herrengraben 4
D-20459 Hamburg
E-Mail: info@zebis.eu
Datum: 28.06.2019
Quelle: Wehrmedizin und Wehrpharmazie 1/2019