Ein Monitor im evangelischen Krankenhaus "Agaplesion" in Mittelhessen | Bildquelle: HR/Jens Naumann

Onlinekriminalität Kliniken im Visier von Hackern

Stand: 09.09.2018 06:02 Uhr

Verschobene Operationen und geschlossene Notaufnahmen - die Folgen von Hackerangriffen auf Kliniken sind dramatisch. Fachleute warnen: Viele haben die IT-Sicherheit vernachlässigt.

Von Henning Steiner und Oliver Günther, HR

Anfang Februar 2016 schleusen Cyberkrimelle ein Schadprogramm in das Netzwerk des Lukas-Krankenhauses in Neuss ein. Die Klinik ist eigentlich ein digitales Vorzeigekrankenhaus, in dem die Ärzte direkt am Krankenbett über Tablet-Computer auf virtuelle Patientenakten, Diagnosen, Blutwerte, Röntgenaufnahmen und vieles mehr zugreifen können. Nun wird die Klinik schlagartig zurückgeworfen ins Papierzeitalter.

Die gesamte IT muss abgeschaltet werden. Und das heißt: Kein Zugriff mehr auf digitale Patientenakten. Operationen müssen verschoben werden. Die Strahlentherapie für Krebspatienten steht still. Die Notaufnahme wird geschlossen. "Festzustellen, dass wir keine Notfallpatienten mehr aufnehmen durften, weil es viel zu riskant gewesen wäre, das war der größte Schock", erinnert sich Nicolas Krämer, der kaufmännische Geschäftsführer des Lukas-Krankenhauses.

Notarztwagen vor dem Haupteingang zum Lukaskrankenhaus | Bildquelle: HR/Henning Steiner
galerie

Wegen Schadsoftware mussten im Lukas-Krankenhaus Operationen verschoben werden, und die Strahlentherapie für Krebspatienten stand still.

Dunkelziffer unbekannt

Internetkriminalität in einem Krankenhaus ist heute eine alltägliche Gefahr. Erst am Donnerstag traf es drei Krankenhäuser der Ameos-Gruppe in und um Bremerhaven. Die Auswirkungen waren weniger schlimm als im Lukas-Krankenhaus vor zweieinhalb Jahren. Doch auch hier mussten unter anderen die Notaufnahmen geschlossen werden.

Wie viele Krankenhäuser schon Opfer von Internetkriminellen wurden, weiß niemand genau. Eine behördliche Meldepflicht gilt nur für die größten Häuser. Und das sind nur etwa zehn Prozent. Im Land Hessen fragte die Landesregierung kürzlich nach einer kleinen Anfrage der SPD-Landtagsfraktion alle Krankenhäuser, ob sie in den vergangenen zwei Jahren einen Cyber-Vorfall hatten. Die Rücklaufquote war gering. Aber von den rund 40 eingegangenen Antworten lautete immerhin jede vierte: Ja.

Blick in den Schockraum im evangelischen Krankenhaus "Agaplesion" in Mittelhessen | Bildquelle: HR/Jens Naumann
galerie

Digitale Technik in Krankenhäusern kann von Hackern lahmgelegt werden.

Deutlich höhere Zahlen nennt die Unternehmensberatung Roland Berger in ihrer "Krankenhausstudie 2017". Von 500 befragten Krankenhäusern gaben 64 Prozent an, schon einmal Opfer eines Hackerangriffs geworden zu sein. Doch die tatsächlichen Zahlen könnten noch höher liegen. "Es gibt jeden Tag Angriffe auf Kliniken", sagt der Hacker und IT-Sicherheitstester Benjamin Kunz Mejri aus Kassel. "Aber nicht alle davon werden natürlich entdeckt."

Lösegeld für Daten

Die größte Bedrohung für Krankenhäuser geht aktuell von sogenannten Ransomware-Attacken aus. Dabei verschicken die Täter Schadsoftware, die Dateien der Klinik verschlüsselt und damit unbrauchbar macht. Die Täter bieten anschließend an, die Daten gegen Lösegeld wieder herzustellen.

Viele dieser Angriffe richten sich nicht gezielt gegen Krankenhäuser. Es sind Massenattacken, denen jedes Unternehmen zum Opfer fallen kann. Doch Krankenhäuser sind besonders verletzlich, weil in der modernen Medizin fast alle Abläufe digitalisiert und vernetzt sind - und weil es immer auch um die Sicherheit von Patienten geht und damit im schlimmsten Fall um Menschleben.

Es herrsche "Einigkeit darüber, dass bei vielen Krankenhäusern erhebliche Investitionen in die IT-Sicherheit erforderlich sind", schreibt die hessische Landesregierung in ihrer Antwort auf die bereits genannte kleine Anfrage.

Notarzt mit Patientin im evangelischen Krankenhaus "Agaplesion" in Gießen | Bildquelle: HR/Jens Naumann
galerie

Krankenhäuser haben oft großen Nachholbedarf in Sachen IT-Sicherheit.

Sicherheit vernachlässigt

Auch Timo Kob, Vorstand der Berliner Beratungsfirma für IT-Sicherheit HiSolutions, warnt, dass viele Krankenhäuser die IT-Sicherheit sträflich vernachlässigt haben. Für ihn eine Frage falscher Prioritätensetzung. "Da rede ich von 20 Jahren Gesprächen vor Ort, interessiertem Nicken und Aussagen wie: 'Ja, stimmt, da müssten wir mal was machen'", sagt Kob. Aber dann hieße es: "Kaufen wir doch mal lieber dieses Gerät, womit wir - ich bin jetzt zynisch - Chefarztabrechnungen durchführen können."

Auch Sebastian Polag kennt solche Entscheidungsprozesse. Als Geschäftsführer des evangelischen Agaplesion-Krankenhauses Mittelhessen in Gießen weiß er: Krankenhäuser müssen streng kalkulieren. "Und wenn es dann darum geht, dass die Chefärzte zusammen mit den Abteilungsleitern zusammensitzen und entscheiden, ob die Klinik lieber ein neues Röntgengerät oder eine Datensicherung kaufen soll, dann gibt es schon heiße und innige Diskussionen. Was ist denn jetzt wichtiger für das nächste Jahr?"

Patientenwohl hängt auch an IT

Oft argumentieren Ärzte dann mit dem Wohl der Patienten - also für das medizinisches Gerät. Doch das Wohl der Patienten, die Diagnose und ihre Behandlung - all das hängt längst auch von sicherer IT ab. Denn wenn Kliniknetzwerke nicht gut genug geschützt sind, droht ein Ausnahmezustand wie im Lukas-Krankenhaus, das 2016 erst nach fast einer Woche seine IT nach und nach wieder hochfahren konnte.

Ein Fall mit solch gravierenden Auswirkungen ist bisher einmalig in Deutschland. "Das kann sich aber bald ändern, da die Schadsoftware immer weiterentwickelt wird", sagt Timo Kob von HiSolutions. Und die Gesundheitsbranche habe die "Gefahren später als andere kritische Infrastrukturen - wie Banken oder Energieversorger - erkannt." Der Rückstand in der IT-Security sei noch lange nicht aufgeholt.

Das Lukas-Krankenhaus musste nach dem Cyber-Vorfall rund eine Million Euro ausgeben - für externe IT-Experten und neue Technik. Sein Haus sei heute besser aufgestellt, sagt Klinikmanager Nicolas Krämer. Aber er wisse auch, dass es absolute Sicherheit in der IT nicht gibt. "Ich kann deswegen auch nicht hundertprozentig ausschließen, dass sich das, was sich hier im Februar 2016 ereignet hat, nicht eines Tages wiederholt."

Über dieses Thema berichtete hr-INFO am 10. September 2018 um 19:20 Uhr.

Darstellung: