http://www.faz.net/-gqe-8nwva

Nach der Telekom-Attacke : Krankenhäuser sind ungeschützt gegen Hackerangriffe

Schwachstelle Router Bild: dpa

Die Verwundbarkeit der Telekom lenkt die Aufmerksamkeit auf die Gesundheitsversorgung. Hier ist die Lage äußerst bescheiden – prominente Gesundheitspolitiker schlagen Alarm.

          Das Lukaskrankenhaus in Neuss sieht sich als digitaler Vorreiter: Ärzte verwenden Mini-iPads, um ihre Patienten aufzuklären. Medikamente können ohnehin nur noch webbasiert bestellt werden. Indem Rettungswagen telemetrische EKG-Daten an die Klinik senden, kann Patienten dort schneller und effektiver geholfen werden. Die Sterblichkeit von Notfallpatienten fiel seither um fast ein Viertel. Alles ging weitgehend gut, bis Kriminelle am 10. Februar dieses Jahres über den Mail-Server eine Erpressungssoftware ins System einspielten.

          Michael Ashelm

          Redakteur in der Wirtschaft.

          Philipp Krohn

          Redakteur in der Wirtschaft.

          Als Erstes merkten Mitarbeiter in der Radiologie, dass die Geräte mit Verzögerung arbeiteten. Die Geschäftsleitung setzte sofort einen Krisenstab aus sieben festen Mitgliedern (Geschäftsführer, Pressesprecher, IT-Leiter, Notaufnahme und Justiziarin) ein. Dieser entschied, den Stecker des Systems zu ziehen. Die Folgen waren gravierend. „Wenn Sie von voller Automatisierung auf Handbetrieb umstellen, ändern sich alle Prozesse“, sagt der kaufmännische Geschäftsführer Nicolas Krämer. Auf Empfehlung des Landeskriminalamts in Nordrhein-Westfalen ging die Klinik nicht auf die Erpressungsforderung ein. Krämer ging sofort mit einer Pressemitteilung an die Öffentlichkeit

          Vier Tage nach dem Cyberangriff konnten externe Fachleute Entwarnung geben; das System durfte wieder hochgefahren werden. Das plötzliche Herunterfahren aber hatte einiges zerstört. „In der Strahlentherapie war es ein echter Ritt. Wenn sie mehr als eine Woche aussetzt, droht eine Verschlechterung des Gesundheitszustands“, sagt Krämer. Der Schaden – vor allem Kosten für IT-Dienstleister – ließ sich bei einer Million Euro halten. Erlösausfälle gab es keine. In der Diskussion um IT-Sicherheit und die Gefahr von Cyberkrimininellen in Deutschland rückt die kritische Infrastruktur in den Fokus. Gerade im Gesundheitswesen sehen Fachleute große Risiken. Viele Krankenhäuser und medizinische Zentren schützten Patientendaten ungenügend gegen kriminelle Hackerattacken. „Die IT-Sicherheit in Kliniken ist katastrophal“, sagt Falk Garbsch vom Chaos Computer Club (CCC). „Es gibt in Krankenhäusern besonders viele Möglichkeiten, Dokumente und Daten zu stehlen, Geräte zu manipulieren und einen ganzen Betrieb lahmzulegen.“

          Kliniken befürchteten Reputationsverlust

          Zur gleichen Einschätzung kommen die Fachleute der international tätigen Sicherheitsberatung Recurity Labs aus Berlin. „Die Gefahr bei Kliniken, dass sie zum Ziel von Angriffen werden, steigt. Es gibt die Erpressungsversuche, dass Hacker sensible Patientendaten geklaut haben. Darüber wird aber nicht geredet“, sagt Oliver Neumann, Sprecher von Recurity Labs. Kliniken befürchteten einen Reputationsverlust. Wenn wichtige Geräte im Krankenhaus manipuliert würden, könne das für Patienten lebensbedrohend sein.

          Es gibt eine neue Angst: Prominente gehen immer öfter unter einem Pseudonym in eine Klinik, weil sie befürchten, dass Hacker ihre Patientendaten entwenden, um Geld zu erpressen. Ein Verbandsvertreter, der seinen Namen nicht publik machen wollte, bezeichnete die Lage um die IT-Sicherheit in Krankenhäusern als „düster“. Doch für den Geschäftsführer des Lukaskrankenhauses steht fest: „Wir müssen darüber reden, denn das Beste, was den Cyberkriminellen passieren kann, ist, dass es unter der Decke bleibt“, sagt Krämer.

          Angela Merkel : Cyberangriffe gehören zum Alltag

          Um Warnhinweise kommt nun die Politik nicht mehr herum. „Es ist leider so, dass Patientendaten in Deutschland sehr ungeschützt sind. Die meisten Kliniken verfügen über keine oder eine leicht aushebelbare Sicherheitsstruktur“, sagt der Gesundheitspolitiker Karl Lauterbach (SPD) auf Anfrage. Der Staatssekretär im Bundesgesundheitsministerium, Karl-Josef Laumann (CDU), verweist darauf, dass die Krankenhäuser ihre Schutzvorkehrungen ständig modernisieren müssten, und fordert: „Hier müssen die Länder, die für die Investitionen in die Krankenhausstruktur zuständig sind, endlich ihrer Verantwortung nachkommen.“ „Im Sommer haben Kriminelle die Locky-Schadsoftware verschickt. Sie schlummert noch in vielen Systemen und kann zur Erpressung aktiviert werden“, sagt Achim Fischer-Erdsiek, auf Cyberkriminalität spezialisierter Versicherungsmakler.

          Investitionsstau von mehreren Milliarden Euro

          Die Angriffsmöglichkeiten sind vielfältig. Eine radiologische Praxis, die er betreute, musste ihre Arbeit zehn Tage lang stoppen. Wie in Neuss war hier nicht Locky die Ursache. Drei Krankenhäuser in Hannover konnten für zwei Tage nicht operieren. Das Gesundheitsministerium in Nordrhein-Westfalen zählte in den ersten zwei Monaten 28 Cyberangriffe auf Kliniken. Seither sind dort sechs weitere Fälle aufgekommen, teilt ein Sprecher mit.

          Kliniken und ihre unterschiedlichsten Abteilungen sind komplexe Gebilde mit vielen Angriffspunkten für Hacker. Auch die Fernwartung von Geräten ist eine Schwachstelle. Zudem sind Krankenhäuser meist offen für Publikumsverkehr und damit leicht zugänglich für Personen mit kriminellen Absichten. Auch W-Lan-Systeme sind Einfallstore. Zuständige Klinikverbände verweisen auf die Verantwortung der Bundesländer. Sie müssten angesichts der Cyberbedrohung mehr Mittel bereitstellen, heißt es bei der Deutschen Krankenhausgesellschaft (DKG). Deutlicher wird der Interessenverband Kommunaler Krankenhäuser (IVKK).

          Der Investitionsstau in deutschen Krankenhäusern betrage mehrere Milliarden Euro. „Dass vor diesem Hintergrund Investitionsentscheidungen für IT-Sicherheit in einem Spannungsfeld unerfüllbarer Wünsche getroffen werden müssen, ist an sich beunruhigend und eine Zumutung für alle, die in Krankenhäusern für die IT-Sicherheit verantwortlich sind“, sagt IVKK-Geschäftsführer Uwe Alschner. In Neuss wurde am 25. März, sechs Wochen nach dem Angriff, der normale Betrieb wieder aufgenommen. Mit leichtem Stolz berichtet Geschäftsführer Krämer, dass die amerikanische Bundespolizei nach seinem Fall die Empfehlung geändert habe. Kliniken sollen seither Erpressern nicht nachgeben.

          Quelle: F.A.Z.

          Weitere Themen

          Augen auf, Google guckt

          Künstliche Intelligenz : Augen auf, Google guckt

          Da staunt der liebe Doktor: Google bringt seinen Maschinen bei, Herzrisiko-Patienten mit einem Blick ins Auge zu identifizieren. Dabei erfährt der Raucher, dass er raucht – und was das intelligente Doktorspiel sonst so leistet. Eine Glosse.

          Kühnert kämpft Video-Seite öffnen

          Vor Koalitionsgesprächen : Kühnert kämpft

          Der Juso-Chef Kevin Kühnert stemmt sich gegen eine neue große Koalition und geht auf Werbetour. Damit gerät die SPD weiter unter Druck. Und ganz besonders ihr Vorsitzender.

          Hier können Sie die Rechte an diesem Artikel erwerben.

          Topmeldungen

          Islamistische Gefahr in Berlin : Gewachsene Gewaltbereitschaft

          In Berlin ist eine beunruhigende Entwicklung zu beobachten: Die Zahl der Salafisten hat sich in den vergangenen sechs Jahren beinahe verdreifacht. Zur großen Mehrheit gehören keine Flüchtlinge.

          Nach der Katalonienwahl : Acht Sitze bleiben leer

          Die Separatisten dominieren auch das neue katalanische Regionalparlament – bei der Auftaktsitzung bieten sie aber kein Bild der Stärke. Und was ist mit Carles Puigdemont?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.