IT-Sicherheit im Gesundheitswesen: Deutsche Kliniken müssen nachrüsten
Für Hacker sind Krankenhäuser ein attraktives und oft leichtes Angriffsziel – Foto: ©sarayut_sy - stock.adobe.com
„Die Frage ist nicht, ob Sie gehackt werden, sondern wann.“ Dieser in Expertenkreisen oft zitierte Satz klingt provokant, ist aber ganz ernst gemeint, wenn es um die IT-Sicherheit von Unternehmen geht. Auch für Krankenhäuser gilt diese Aussage – und hier können die Folgen besonders dramatisch sein. Denn es geht nicht nur um den Datenschutz: Durch die Störung der Betriebsabläufe können auch die Gesundheit und sogar das Leben von Patienten gefährdet sein.
Die Angst davor dürfe jedoch nicht dazu führen, „dass wir Patienten die Segnungen der digitalen Medizin vorenthalten“, betonte Dr. Peter Gocke, Chief Digital Officer (CDO) an der Charité - Universitätsmedizin Berlin, auf dem Nationalen Qualitätskongress Gesundheit 2019. Das Thema bedürfe aber einer weitaus größeren Aufmerksamkeit als bisher, so Gocke: „Noch heute ist es schwer, manchen Ärzten zu vermitteln, dass sie Patientendaten nicht auf ungesicherten USB-Sticks mit sich herumtragen dürfen."
Wenn ein Mausklick ein ganzes Krankenhaus lahmlegt
Nicht nur USB-Sticks sind eine Gefahrenquelle. Auch ein Klick auf die falsche E-Mail kann das komplette IT-System eines Unternehmens lahmlegen. Geschehen ist dies vor drei Jahren im Lukaskrankenhaus in Neuss, wie dessen Geschäftsführer, Dr. Nicolas Krämer, auf dem Qualitätskongress berichtete. Am 10. Februar 2016 befiel ein Erpressungs-Trojaner das Computersystem der Klinik. Alle Rechner und Server mussten daraufhin abgeschaltet werden, Operationen wurden verschoben und Abläufe neu geplant.
„Wir haben sofort einen Krisenstab einberufen", so Krämer. Alle Klinikmitarbeiter mussten nun komplett ohne IT-Systeme arbeiten. Also wurden Papier und Bleistift herausgeholt, und statt Rund-Mails zu verschicken, wurden immer wieder spontane Meetings abgehalten. Funktioniert hat dies letztlich nur, weil alle Beteiligten vollen Einsatz zeigten und Tag und Nacht – teilweise bis zur völligen Erschöpfung – arbeiteten, wie Krämer betonte. Zusätzlich wurde das Düsseldorfer LKA eingeschaltet, kurz danach auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Die meisten Kliniken wurden bereits angegriffen
Das Lukaskrankenhaus ist bei weitem nicht die einzige Klinik, der so etwas widerfahren ist. Zwar ist die genaue Anzahl betroffener Kliniken nicht bekannt, denn viele Betreiber halten sich lieber bedeckt. Doch einer Studie des Beratungsunternehmens Roland Berger zufolge sollen zwei von drei deutschen Kliniken bereits durch Hackerangriffe lahmgelegt worden sein. Die Schäden waren allerdings bisher glücklicherweise gering.
Nicht nur in Deutschland ist die Cyberkriminalität im Gesundheitswesen ein Thema mit steigender Bedeutung. So wurden im Jahr 2017 die sogenannten „WannaCry“-Attacken bekannt, durch die über 230.000 Computer in 150 Ländern infiziert wurden. Darunter waren auch Teile des britischen National Health Service (NHS). Fast 50 britische Krankenhäuser mussten daraufhin Patienten in andere Krankenhäuser transferieren, Operationen absagen und ihre Notfallversorgung einstellen.
Mega-Geschäft Cyberkriminalität
Dass es in Zukunft weniger Hacker-Angriffe dieser Art geben wird, ist nicht zu erwarten. Denn: „Im Darknet kann man mit medizinischen Daten heute mehr Geld verdienen als mit Bankdaten", so Krämer. Das deckt sich mit den Ergebnissen des Global Application and Network Security Reports 2018-2019. Demnach war im Jahr 2018 das Gesundheitswesen nach der Öffentlichen Hand die am zweithäufigsten von Cyberattacken betroffene Branche.
Das Gesundheitswesen ist nicht nur wegen seiner finanziellen Ressourcen interessant. Auch die Technik macht es besonders angreifbar. Dazu gehört unter anderem der vermehrte Einsatz softwarebasierter medizinischer Geräte wie MRTs, EKGs oder Infusionspumpen sowie die Übertragung von Daten an Cloud-Dienste. Zudem sind viele Einrichtungen nicht darauf vorbereitet, große Netzwerke zu betreiben, die von Gästen, Patienten oder Personal benutzt werden. Hinzu kommt, dass die Daten im Gesundheitswesen besonders sensibel und die möglichen Gefahren sehr hoch sind.
Kliniken müssen nachrüsten
Die Digitalisierung der Medizin und ihren großen Nutzen stellte keiner der Experten auf dem Kongress in Frage. Der Weg kann es daher nur sein, verstärkt in Sicherheitsmaßnahmen zu investieren, auch wenn das für Kliniken lästig und kostspielig ist. Welche Methoden dabei die besten sind, müssen Kliniken selbst entscheiden. So setzen manche Krankenhäuser vor allem auf die neueste Software, andere auf besonders gut ausgebildete Mitarbeiter, wieder andere lassen sich gegen Cyber-Attacken versichern. Eine Mischung verschiedener Maßnahmen wird am Ende vermutlich am sinnvollsten sein.
Im Lukaskrankenhaus hat man jedenfalls dazugelernt. „Wir haben ein neues System eingerichtet, die Segmentierungen wurden verstärkt", erklärte Krämer. Durch die neue Struktur gibt es nun bessere Abschottungsmöglichkeiten, E-Mail-Anhänge werden vor dem Eingang geprüft und für Passwörter wurden strengere Richtlinien eingeführt.
Auch wenn IT-Sicherheit zunächst einmal eine zusätzliche Belastung bedeutet, die für Krankenhausmanager nicht unbedingt an erster Stelle steht: Auf dem Qualitätskongress Gesundheit in Berlin wurde mehr als deutlich, wie wichtig und dringlich das Thema ist. Ausruhen sollte sich hier also keiner. Die Hacker tun es auch nicht.
Foto: © sarayut_sy - stock.adobe.com
