. Nationaler Qualitätskongress Gesundheit 2019

IT-Sicherheit im Gesundheitswesen: Deutsche Kliniken müssen nachrüsten

Ein unbedachter Mausklick auf die falsche E-Mail – und ein ganzes Krankenhaus kann lahmgelegt werden. Geschehen ist dies zum Beispiel im Lukaskrankenhaus in Neuss. Dessen Betreiber haben aus dem Fall gelernt. Doch auf dem Qualitätskongress Gesundheit wird klar: Das Thema benötigt viel mehr Aufmerksamkeit.
IT-Sicherheit, Cyberkriminalität, Gesundheitswesen, Krankenhäuser

Für Hacker sind Krankenhäuser ein attraktives und oft leichtes Angriffsziel

„Die Frage ist nicht, ob Sie gehackt werden, sondern wann.“ Dieser in Expertenkreisen oft zitierte Satz klingt provokant, ist aber ganz ernst gemeint, wenn es um die IT-Sicherheit von Unternehmen geht. Auch für Krankenhäuser gilt diese Aussage – und hier können die Folgen besonders dramatisch sein. Denn es geht nicht nur um den Datenschutz: Durch die Störung der Betriebsabläufe können auch die Gesundheit und sogar das Leben von Patienten gefährdet sein.

Die Angst davor dürfe jedoch nicht dazu führen, „dass wir Patienten die Segnungen der digitalen Medizin vorenthalten“, betonte Dr. Peter Gocke, Chief Digital Officer (CDO) an der Charité - Universitätsmedizin Berlin, auf dem Nationalen Qualitätskongress Gesundheit 2019. Das Thema bedürfe aber einer weitaus größeren Aufmerksamkeit als bisher, so Gocke: „Noch heute ist es schwer, manchen Ärzten zu vermitteln, dass sie Patientendaten nicht auf ungesicherten USB-Sticks mit sich herumtragen dürfen."

Wenn ein Mausklick ein ganzes Krankenhaus lahmlegt

Nicht nur USB-Sticks sind eine Gefahrenquelle. Auch ein Klick auf die falsche E-Mail kann das komplette IT-System eines Unternehmens lahmlegen. Geschehen ist dies vor drei Jahren im Lukaskrankenhaus in Neuss, wie dessen Geschäftsführer, Dr. Nicolas Krämer, auf dem Qualitätskongress berichtete. Am 10. Februar 2016 befiel ein Erpressungs-Trojaner das Computersystem der Klinik. Alle Rechner und Server mussten daraufhin abgeschaltet werden, Operationen wurden verschoben und Abläufe neu geplant.

„Wir haben sofort einen Krisenstab einberufen", so Krämer. Alle Klinikmitarbeiter mussten nun komplett ohne IT-Systeme arbeiten. Also wurden Papier und Bleistift herausgeholt, und statt Rund-Mails zu verschicken, wurden immer wieder spontane Meetings abgehalten. Funktioniert hat dies letztlich nur, weil alle Beteiligten vollen Einsatz zeigten und Tag und Nacht – teilweise bis zur völligen Erschöpfung – arbeiteten, wie Krämer betonte. Zusätzlich wurde das Düsseldorfer LKA eingeschaltet, kurz danach auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

 

Die meisten Kliniken wurden bereits angegriffen

Das Lukaskrankenhaus ist bei weitem nicht die einzige Klinik, der so etwas widerfahren ist. Zwar ist die genaue Anzahl betroffener Kliniken nicht bekannt, denn viele Betreiber halten sich lieber bedeckt. Doch einer Studie des Beratungsunternehmens Roland Berger zufolge sollen zwei von drei deutschen Kliniken bereits durch Hackerangriffe lahmgelegt worden sein. Die Schäden waren allerdings bisher glücklicherweise gering.

Nicht nur in Deutschland ist die Cyberkriminalität im Gesundheitswesen ein Thema mit steigender Bedeutung. So wurden im Jahr 2017 die sogenannten „WannaCry“-Attacken bekannt, durch die über 230.000 Computer in 150 Ländern infiziert wurden. Darunter waren auch Teile des britischen National Health Service (NHS). Fast 50 britische Krankenhäuser mussten daraufhin Patienten in andere Krankenhäuser transferieren, Operationen absagen und ihre Notfallversorgung einstellen.

Mega-Geschäft Cyberkriminalität

Dass es in Zukunft weniger Hacker-Angriffe dieser Art geben wird, ist nicht zu erwarten. Denn: „Im Darknet kann man mit medizinischen Daten heute mehr Geld verdienen als mit Bankdaten", so Krämer. Das deckt sich mit den Ergebnissen des Global Application and Network Security Reports 2018-2019. Demnach war im Jahr 2018 das Gesundheitswesen nach der Öffentlichen Hand die am zweithäufigsten von Cyberattacken betroffene Branche.

Das Gesundheitswesen ist nicht nur wegen seiner finanziellen Ressourcen interessant. Auch die Technik macht es besonders angreifbar. Dazu gehört unter anderem der vermehrte Einsatz softwarebasierter medizinischer Geräte wie MRTs, EKGs oder Infusionspumpen sowie die Übertragung von Daten an Cloud-Dienste. Zudem sind viele Einrichtungen nicht darauf vorbereitet, große Netzwerke zu betreiben, die von Gästen, Patienten oder Personal benutzt werden. Hinzu kommt, dass die Daten im Gesundheitswesen besonders sensibel und die möglichen Gefahren sehr hoch sind.

Kliniken müssen nachrüsten

Die Digitalisierung der Medizin und ihren großen Nutzen stellte keiner der Experten auf dem Kongress in Frage. Der Weg kann es daher nur sein, verstärkt in Sicherheitsmaßnahmen zu investieren, auch wenn das für Kliniken lästig und kostspielig ist. Welche Methoden dabei die besten sind, müssen Kliniken selbst entscheiden. So setzen manche Krankenhäuser vor allem auf die neueste Software, andere auf besonders gut ausgebildete Mitarbeiter, wieder andere lassen sich gegen Cyber-Attacken versichern. Eine Mischung verschiedener Maßnahmen wird am Ende vermutlich am sinnvollsten sein.

Im Lukaskrankenhaus hat man jedenfalls dazugelernt. „Wir haben ein neues System eingerichtet, die Segmentierungen wurden verstärkt", erklärte Krämer. Durch die neue Struktur gibt es nun bessere Abschottungsmöglichkeiten, E-Mail-Anhänge werden vor dem Eingang geprüft und für Passwörter wurden strengere Richtlinien eingeführt.

Auch wenn IT-Sicherheit zunächst einmal eine zusätzliche Belastung bedeutet, die für Krankenhausmanager nicht unbedingt an erster Stelle steht: Auf dem Qualitätskongress Gesundheit in Berlin wurde mehr als deutlich, wie wichtig und dringlich das Thema ist. Ausruhen sollte sich hier also keiner. Die Hacker tun es auch nicht.

Foto: © sarayut_sy - stock.adobe.com

Autor:
Hauptkategorie: Gesundheitspolitik
Lesen Sie weitere Nachrichten zu diesen Themen: Gesundheitssystem , E-Health
 

Weitere Nachrichten zum Thema IT-Sicherheit im Gesundheitswesen

 
 

Aktuelle Nachrichten aus der Gesundheit

 
. Weitere Nachrichten
Gäbe es bereits ausgereifte Robotersysteme in Medizin und Pflege, würde das Corona-Infektionsrisiko für Ärzte und Pfleger sinken. Über den Stand der Entwicklung intelligenter Roboterwerkzeuge, den Schub für Digitalisierung und Robotik durch den EU-Aufbaufonds nach der Coronakrise und die internationale Wettbewerbsfähigkeit Deutschlands bei intelligenten und sichereren Assistenzrobotern hat Gesundheitsstadt Berlin mit Prof. Dr. Sami Haddadin, Direktor der Munich School of Robotics and Machine Intelligence an der TU München, einen Podcast durchgeführt.
Rund 60.000 Menschen sterben jedes Jahr in Deutschland vorzeitig aufgrund hoher Feinstaubbelastung der Luft. Gegen die Luftverschmutzung auf der Straße kann der Einzelne wenig ausrichten. Gegen Ultrafeinstaub in der Wohnung aber offensichtlich schon. Nach einer Studie des Leibniz-Instituts sind die Luftschadstoffe zu Hause vor allem eines: hausgemacht.
 
 
. Interviews
Noch müssen Ärzte in Deutschland keine Triagierung von COVID-19-Patienten vornehmen. Doch was wenn, die Intensivkapazitäten auch hier zu Lande nicht reichen? Gesundheitsstadt Berlin hat über das bedrückende Thema mit Prof. Dr. Elisabeth Steinhagen-Thiessen gesprochen. Die Charité-Medizinerin befasst sich als Mitglied des Deutschen Ethikrats und einer soeben eingerichteten Task Force des Berliner Senats intensiv mit dem Worst-Case-Szenario „Triagierung“.
Work-Life-Balance, geregelte Arbeitszeiten – in altersgemischten Stationsteams prallen Welten aufeinander. Wie sich der Generationenkonflikt im Krankenhaus lösen lässt, weiß Professor Wolfgang Kölfen, Chefarzt und Kommunikationsberater aus Mönchengladbach.