https://www.faz.net/-gzg-9e3fp

IT-Sicherheit : Kliniken durch Cyberkriminelle bedroht

  • Aktualisiert am

Der Computer von Krankenhäusern ist ein lohnendes Ziel für Hacker. Bild: dpa

Sensible Daten und eine zunehmende Vernetzung machen Krankenhäuser besonders angreifbar für Hacker. Wie gut schützen sich Hessens Kliniken?

          Cyberkriminelle, die Patientendaten stehlen. Erpresser, die Daten verschlüsseln. Hacker, die medizinische Geräte manipulieren. Die Szenarien sind beunruhigend - und sie sind real. Laut „Krankenhausstudie 2017“ der Unternehmensberatung Roland Berger waren 64 Prozent der deutschen Krankenhäuser schon einmal Opfer eines Hackerangriffs. „IT-Sicherheit ist für viele Kliniken noch immer Neuland“, titelte kürzlich die Ärzte-Zeitung.

          „Dass es bisher noch keinen gezielten Angriff auf das deutsche Gesundheitswesen gab, ist aus meiner Sicht Glück“, sagt Thomas Friedl vom Fachbereich Gesundheit der Technischen Hochschule Mittelhessen. „Das ist ein ganz dickes Brett, das gebohrt werden muss. Aber vermutlich wird das erst gebohrt, wenn 20 bis 30 Kliniken in einer Region still stehen oder ein Wochenende lang die 112 nicht mehr funktioniert. Und dann gucken wir blöd.“

          Die SPD im hessischen Landtag legte kürzlich mit einer Kleinen Anfrage den Finger in die Wunde. In ihrer Antwort gibt die Landesregierung zu, „dass die IT der Krankenhäuser regelmäßigen Bedrohungen ausgesetzt ist“. Allerdings sei „kein Fall bekannt, bei dem Patientendaten bzw. Gesundheitsdaten erbeutet wurden“.

          Mehrere Angriffe seit 2016 gemeldet

          Um herauszufinden, wie groß die Probleme sind, schrieb das Sozialministerium alle Krankenhäuser an. Zwölf Angriffe seit 2016 wurden gemeldet, zum Beispiel in den Gesundheitszentren Odenwald und Wetterau, in Hadamar und Fritzlar, in Kiedrich und Weilburg, im Heilig-Geist-Hospital Frankfurt und im Klinikum Hanau. Vollständig ist die Liste nicht: Nicht alle Kliniken haben sich zurückgemeldet und nicht alle sämtliche Fragen beantwortet.

          Ein häufiges Einfallstor sind Mail-Anhänge. Über sie dringt Schadsoftware in die Systeme ein, zum Beispiel ein Trojaner namens „locky“, der 2016 in einige hessische Kliniken eindrang. Es handelt sich um sogenannte Ransomware, die Daten verschlüsselt, um für die Entschlüsselung Lösegeld zu fordern. Oft können die Daten zwar von alleine rekonstruiert werden, aber dafür müssen erst einmal die Systeme heruntergefahren werden.

          In Neuss musste nach einer solchen Attacke die komplette IT heruntergefahren werden. Operationen wurden verschoben, das Krankenhaus arbeitete wie vor Erfindung des Computers mit handschriftlichen Notizen. Der Gesamtschaden wurde auf rund eine Million Euro beziffert. In Großbritannien legte 2017 der Erpressungstrojaner „Wanna Cry“ zahlreiche Krankenhäuser lahm.

          Begehrtes Ziel von Hackern

          Dem Landeskriminalamt (LKA) Hessen sind nach eigenen Angaben „keine Cyberattacken oder -angriffe auf Krankenhäuser bekannt“. Zwar bemerkten Klinikbetreiber „fast täglich“ Angriffe auf ihre IT, diese könnten aber „zum größten Teil durch die dort bestehende Sicherheitsstruktur abgewehrt werden“. Dass Kliniken gefährdet sind, bestreitet auch das LKA nicht: „Krankenhäuser gehören definitiv zu den Angriffszielen von Cyberkriminellen“, heißt es in Wiesbaden. Sollten die Angriffe erfolgreich sein, „entsteht nicht nur ein finanzieller Schaden; vielmehr können durch Störungen der medizinischen Versorgung lebensbedrohliche Situationen entstehen“.

          „Das Problem besteht und es wird immer bestehen“, sagt der Direktor der hessischen Krankenhausgesellschaft, Rainer Greunke: In Krankenhäusern würden sensible persönliche Daten gespeichert, die Vernetzung der Systeme nehme immer mehr zu - das mache sie angreifbar und sensibel. Allerdings sei „das Problem in Krankenhäusern nicht größer als in Banken oder anderen Institutionen auch.“

          Der Vergleich mit den Banken hinke, sagt Friedl: „Der Unterschied ist, in welcher Ebene die IT im Organigramm hängt.“ Bei Kliniken gebe es leider Beispiele, wo drei Externe aus der Zentrale vier bis fünf Kliniken betreuten, der Chefarzt über die IT entscheide und Passwörter auf gelben Zetteln am Monitor stünden. „Das gilt natürlich nicht für alle - aber es gilt noch allzu oft.“

          Politik in der Pflicht

          Friedl sieht zuerst die Politik in der Pflicht: Sie müsse Geld zur Verfügung stellen. Im zweiten Schritt müssen die Krankenhäuser dann die Struktren schaffen, „dass die IT im Organigramm nach oben rückt und den vielen in den letzten Jahren hinzugekommenen Aufgaben und Systemen auch das entsprechende Personal zur Verfügung steht“.

          Die Krankenhausgesellschaft verweist auf knappe Mittel: „Ich muss überlegen: Wo setze ich das Geld ein. Eine neue Firewall oder ein neuer Computertomograph? Eine neue Rechner-Generation oder mehr Beatmungsplätze? Diese Abwägung habe ich ständig“, sagt Greunke. Die Krankenhausgesellschaft fordert ein Sonderinvestitionsprogramm für Digitalisierung und IT-Sicherheit.

          Eine „Risiko-Analyse Krankenhaus-IT“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat die Schwachstellen identifiziert: Nicht nur veraltete Technik, unzureichende Schutzmechanismen und unterbliebene Tests stellen eine Gefahr dar - sondern auch „die Unzufriedenheit von Mitarbeitern“.

          „Besondere Anfälligkeit gegen Computerviren“

          Die Analyse weist auch auf eine weitere Gefahr hin: „dass Medizingeräte, die in ein Krankenhausnetz integriert sind, eine besondere Anfälligkeit gegen Computerviren haben“. Auch Herzschrittmacher oder Medikamentenpumpen könnten gehackt werden. Dem Bundesinstitut für Arzneimittel und Medizinprodukte sind aber „bislang keine Fälle bekannt, bei denen Patientinnen oder Patienten durch gehackte Medizinprodukte zu Schaden gekommen sind.“

          Friedl beruhigt das alles nicht. „Wie so oft, muss wahrscheinlich erst mal was Richtiges passieren“, sagt der Fachmann für IT-Sicherheit im Gesundheitswesen. Das Problem sei da und es sei groß, „aber das gibt keiner offen zu. Die Leidtragenden sind dann wir - die Patienten und „Financiers“ des Systems.“

          Weitere Themen

          Topmeldungen

          Unser Sprinter-Autor: Felix Hooß

          F.A.Z.-Sprinter : Plötzlich kleinlaut

          Trump, Netanjahu und Johnson kennt man großspurig. Doch plötzlich zögert Trump, kämpft Netanjahu um sein politisches Überleben und muss sich Johnson vor dem Supreme Court rechtfertigen. Alles Wichtige steht im F.A.Z.-Sprinter.
          Die Talkrunde zum Thema Klimapolitik bei Frank Plasberg

          TV-Kritik: Hart aber fair : Die Realität der Zwickmühle

          Die Klimapolitik ist so verzwickt, dass es den üblichen Verdächtigen kaum noch gelingt, Einsicht in das Notwendige oder gar Verhaltensänderungen zu erreichen. Tatsächlich sehen einige das Format der Talkshow als Pranger für üble Phantasien.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.