Manipulationen in der Lieferkette von Kliniken: Ein Risiko für kritische Infrastrukturen im Kontext des KRITIS-Dachgesetzes und der NIS2-Richtlinie

Es ist zwar eine (noch???) Fiktion, aber es lohnt sich, die potenziellen Gefahren zu betrachten, um aufzuzeigen, welche Gefahren das KRITIS-Dachgesetz und die NIS2-Richtlinie unterbinden sollen. Krankenhäuser und Kliniken gehören zu den sensibelsten Bereichen unserer kritischen Infrastrukturen. Eine gezielte Störung ihrer Funktionsfähigkeit, etwa durch Manipulationen in der medizinischen Lieferkette, könnte schwerwiegende Folgen für die öffentliche Gesundheit und das gesellschaftliche Leben haben. Vor allem die bewusste Verunreinigung oder Manipulation von essenziellen Materialien – wie Medikamenten, medizinischen Geräten oder Hygienemitteln – könnte den Betrieb von Kliniken erheblich gefährden und Patientenleben direkt bedrohen.

Angreifer, die Kliniken schaden wollen, haben unterschiedliche Motivationen und Hintergründe. Die Profile der Täter reichen von kriminellen Organisationen, die finanziellen Profit anstreben, über Terrorgruppen, die Angst und Chaos verbreiten möchten, bis hin zu Insidern, die aus persönlichen oder ideologischen Gründen handeln. In diesem fiktiven Szenario sollen die potenziellen Risiken, die durch Manipulationen in der Krankenhauslieferkette entstehen können, im Kontext des KRITIS-Dachgesetzes und der NIS2-Richtlinie erläutert werden. Beide Rahmenwerke zielen darauf ab, die Sicherheit und Resilienz kritischer Infrastrukturen – einschließlich des Gesundheitswesens – zu stärken und vor Bedrohungen zu schützen.

Relevanz des KRITIS-Dachgesetzes und der NIS2-Richtlinie

Das KRITIS-Dachgesetz in Deutschland bietet einen rechtlichen Rahmen zum Schutz kritischer Infrastrukturen wie der Gesundheitsversorgung, der Energieversorgung und des Finanzsektors vor Angriffen und Störungen. Krankenhäuser, als Teil der Gesundheitsversorgung, werden hier als besonders schützenswert eingestuft. Betreiber von Kliniken sind verpflichtet, Sicherheitsvorkehrungen gegen potenzielle Bedrohungen zu treffen, einschließlich solcher, die auf die Lieferkette abzielen.

Die NIS2-Richtlinie (Network and Information Security) der Europäischen Union ergänzt diesen rechtlichen Rahmen, indem sie den Fokus auf die Cybersicherheit kritischer Infrastrukturen, einschließlich des Gesundheitssektors, erweitert. Sie fordert umfassende Maßnahmen zur Stärkung der digitalen Sicherheit und legt fest, dass Betreiber kritischer Infrastrukturen geeignete Schutzmechanismen implementieren müssen, um Bedrohungen aus dem physischen und digitalen Raum abzuwehren. Eine der größten Bedrohungen, die durch NIS2 adressiert wird, ist die Manipulation der Lieferkette, sei es durch physische Verunreinigung von Produkten oder durch Cyberangriffe auf IT-Systeme, die diese Lieferketten steuern.

Täterprofile: Wer möchte Kliniken schaden?

Täter, die es auf Kliniken abgesehen haben, verfolgen verschiedene Ziele. Im Folgenden werden die gängigsten Täterprofile skizziert und ihre Motive und Vorgehensweisen beleuchtet:

  1. Kriminelle Organisationen:
    • Motivation: Finanzieller Gewinn
    • Ziel: Kriminelle Organisationen könnten versuchen, durch die Manipulation von Lieferketten minderwertige oder gefälschte Produkte wie Medikamente oder medizinische Geräte zu verkaufen, um Gewinne zu maximieren. Diese gefälschten Produkte können die Sicherheit und Wirksamkeit medizinischer Behandlungen gefährden.
    • Vorgehen: Diese Gruppen könnten Schwachstellen in der Lieferkette ausnutzen, insbesondere während des Transports oder in Distributionszentren, um minderwertige oder gefälschte Produkte einzuschleusen.
  2. Terrorgruppen oder politische Extremisten:
    • Motivation: Angst und Chaos verbreiten
    • Ziel: Terroristische Gruppen könnten Kliniken gezielt angreifen, um Chaos zu verursachen und das Vertrauen der Öffentlichkeit in das Gesundheitssystem zu zerstören. Durch die Manipulation von lebenswichtigen Materialien wie Blutprodukten, Medikamenten oder medizinischen Geräten könnten sie erhebliche Schäden anrichten.
    • Vorgehen: Solche Gruppen könnten gezielt Transportwege und Distributionszentren angreifen, um verunreinigte Produkte in den Klinikbetrieb einzuschleusen, oder sie könnten durch Cyberangriffe die Logistiksysteme manipulieren, die für die Verteilung dieser Güter verantwortlich sind.
  3. Insider-Täter (z. B. unzufriedene Mitarbeiter):
    • Motivation: Persönliche Rache oder Frustration
    • Ziel: Insider-Täter, wie unzufriedene Mitarbeiter oder Dienstleister, könnten versuchen, eine Klinik zu schädigen, indem sie bewusst Materialien manipulieren oder verunreinigen. Diese Täter kennen oft interne Prozesse und Schwachstellen, was ihre Aktionen besonders schwer aufzudecken macht.
    • Vorgehen: Insider-Täter könnten durch absichtliche Verunreinigung von Medikamenten oder Materialien während der Lagerung oder des Transports innerhalb des Krankenhauses Schaden anrichten.
  4. Hacktivisten oder Cyberkriminelle:
    • Motivation: Ideologische Ziele oder Erpressung
    • Ziel: Hacktivisten oder Cyberkriminelle könnten durch Angriffe auf die IT-Systeme von Krankenhäusern oder Lieferanten versuchen, Störungen in den Lieferketten zu verursachen. Dies könnte durch Ransomware geschehen, um finanzielle Erpressungen durchzuführen, oder durch Sabotage, um ideologische Ziele zu verfolgen.
    • Vorgehen: Cyberkriminelle könnten auf Logistiksysteme abzielen, um falsche Daten zu erzeugen, Lieferungen umzuleiten oder Produkte zu vertauschen, was zu einer schwerwiegenden Störung der Krankenhausversorgung führen könnte.
  5. Externe Dienstleister (Logistik- und Transportpersonal):
    • Motivation: Kriminelle Absichten oder Sabotage
    • Ziel: Externe Dienstleister, die für den Transport von medizinischen Produkten verantwortlich sind, könnten absichtlich Materialien abfangen und manipulieren. Das Ziel könnte sein, minderwertige Produkte in die Lieferkette einzuschleusen oder Produkte zu kontaminieren.
    • Vorgehen: Externe Dienstleister könnten Schwachstellen in der Transportlogistik nutzen, um auf sensiblen Gütern zuzugreifen und diese gezielt zu manipulieren, insbesondere bei unzureichender Überwachung während des Transports.

Orte der Manipulation in der Krankenhauslieferkette

Die Krankenhauslieferkette besteht aus mehreren Phasen, die Schwachstellen für Manipulationen darstellen können. Jede Phase birgt unterschiedliche Risiken, die durch Maßnahmen des KRITIS-Dachgesetzes und der NIS2-Richtlinie minimiert werden sollen.

  1. Herstellung und Produktion
    • Manipulationsrisiko: Gering bis mittel
    • Beschreibung: Die Produktion von Medikamenten und medizinischen Geräten ist durch strenge Sicherheits- und Qualitätskontrollen geregelt. Jedoch könnten Insider-Täter, wie unzufriedene Mitarbeiter, versuchen, während der Produktion oder Verpackung gezielt Produkte zu manipulieren.
    • KRITIS-Dachgesetz und NIS2: Beide Rahmenwerke fordern strenge Sicherheitsprotokolle und Kontrollen in Produktionsstätten. Dazu gehören Überwachungsmaßnahmen, regelmäßige Audits und Zugangsbegrenzungen für Mitarbeiter in sensiblen Bereichen.
  2. Verpackung und Lagerung beim Hersteller
    • Manipulationsrisiko: Mittel
    • Beschreibung: Die Verpackung von Produkten, insbesondere von sterilen medizinischen Materialien, stellt eine potenzielle Schwachstelle dar. Hier könnten kriminelle Organisationen versuchen, minderwertige Produkte einzuschleusen oder Verpackungen zu öffnen und wieder zu versiegeln, ohne dass Manipulationen sofort erkennbar sind.
    • KRITIS-Dachgesetz und NIS2: Beide Rahmenwerke verlangen, dass Verpackungs- und Lagerprozesse manipulationssicher gestaltet werden. Dazu gehören versiegelte Verpackungen, digitale Verfolgungssysteme und strenge Zugangsprotokolle.
  3. Transport vom Hersteller zum Distributionszentrum
    • Manipulationsrisiko: Mittel bis hoch
    • Beschreibung: Während des Transports sind medizinische Materialien am anfälligsten für Manipulationen. Externe Logistikunternehmen oder schlecht überwachte Transportwege bieten Kriminellen und externen Dienstleistern Möglichkeiten, auf die Ware zuzugreifen.
    • KRITIS-Dachgesetz und NIS2: Diese Rahmenwerke fordern von allen beteiligten Logistikunternehmen die Einhaltung strenger Sicherheitsprotokolle. Dies umfasst GPS-Überwachung von Transportfahrzeugen, die Einführung von manipulationssicheren Verpackungen und die Kontrolle aller Zwischenstopps.

Fazit

Krankenhäuser gehören zu den kritischen Infrastrukturen, deren Lieferketten gegen verschiedene Bedrohungen geschützt werden müssen. Das KRITIS-Dachgesetz und die NIS2-Richtlinie bieten einen umfassenden rechtlichen Rahmen, um die Manipulation von Lieferketten zu verhindern und die Sicherheit der Gesundheitsversorgung zu gewährleisten. Die Täterprofile reichen von kriminellen Organisationen über Insider-Täter bis hin zu Cyberkriminellen und externen Dienstleistern. Angriffe auf die Krankenhauslieferkette können verheerende Folgen haben, weshalb eine enge Zusammenarbeit zwischen Kliniken, Lieferanten und Gesetzgebern notwendig ist, um die Sicherheit zu gewährleisten und die durch KRITIS-Dachgesetz und NIS2 geforderten Schutzmaßnahmen umzusetzen.