Das Lukaskrankenhaus in Neuss sieht sich als digitaler Vorreiter: Ärzte verwenden Mini-iPads, um ihre Patienten aufzuklären. Medikamente können ohnehin nur noch webbasiert bestellt werden. Indem Rettungswagen telemetrische EKG-Daten an die Klinik senden, kann Patienten dort schneller und effektiver geholfen werden. Die Sterblichkeit von Notfallpatienten fiel seither um fast ein Viertel. Alles ging weitgehend gut, bis Kriminelle am 10. Februar dieses Jahres über den Mail-Server eine Erpressungssoftware ins System einspielten.

Als Erstes merkten Mitarbeiter in der Radiologie, dass die Geräte mit Verzögerung arbeiteten. Die Geschäftsleitung setzte sofort einen Krisenstab aus sieben festen Mitgliedern (Geschäftsführer, Pressesprecher, IT-Leiter, Notaufnahme und Justiziarin) ein. Dieser entschied, den Stecker des Systems zu ziehen. Die Folgen waren gravierend. „Wenn Sie von voller Automatisierung auf Handbetrieb umstellen, ändern sich alle Prozesse“, sagt der kaufmännische Geschäftsführer Nicolas Krämer. Auf Empfehlung des Landeskriminalamts in Nordrhein-Westfalen ging die Klinik nicht auf die Erpressungsforderung ein. Krämer ging sofort mit einer Pressemitteilung an die Öffentlichkeit

Vier Tage nach dem Cyberangriff konnten externe Fachleute Entwarnung geben; das System durfte wieder hochgefahren werden. Das plötzliche Herunterfahren aber hatte einiges zerstört. „In der Strahlentherapie war es ein echter Ritt. Wenn sie mehr als eine Woche aussetzt, droht eine Verschlechterung des Gesundheitszustands“, sagt Krämer. Der Schaden – vor allem Kosten für IT-Dienstleister – ließ sich bei einer Million Euro halten. Erlösausfälle gab es keine. In der Diskussion um IT-Sicherheit und die Gefahr von Cyberkrimininellen in Deutschland rückt die kritische Infrastruktur in den Fokus. Gerade im Gesundheitswesen sehen Fachleute große Risiken. Viele Krankenhäuser und medizinische Zentren schützten Patientendaten ungenügend gegen kriminelle Hackerattacken. „Die IT-Sicherheit in Kliniken ist katastrophal“, sagt Falk Garbsch vom Chaos Computer Club (CCC). „Es gibt in Krankenhäusern besonders viele Möglichkeiten, Dokumente und Daten zu stehlen, Geräte zu manipulieren und einen ganzen Betrieb lahmzulegen.“

Kliniken befürchteten Reputationsverlust

Zur gleichen Einschätzung kommen die Fachleute der international tätigen Sicherheitsberatung Recurity Labs aus Berlin. „Die Gefahr bei Kliniken, dass sie zum Ziel von Angriffen werden, steigt. Es gibt die Erpressungsversuche, dass Hacker sensible Patientendaten geklaut haben. Darüber wird aber nicht geredet“, sagt Oliver Neumann, Sprecher von Recurity Labs. Kliniken befürchteten einen Reputationsverlust. Wenn wichtige Geräte im Krankenhaus manipuliert würden, könne das für Patienten lebensbedrohend sein.

Es gibt eine neue Angst: Prominente gehen immer öfter unter einem Pseudonym in eine Klinik, weil sie befürchten, dass Hacker ihre Patientendaten entwenden, um Geld zu erpressen. Ein Verbandsvertreter, der seinen Namen nicht publik machen wollte, bezeichnete die Lage um die IT-Sicherheit in Krankenhäusern als „düster“. Doch für den Geschäftsführer des Lukaskrankenhauses steht fest: „Wir müssen darüber reden, denn das Beste, was den Cyberkriminellen passieren kann, ist, dass es unter der Decke bleibt“, sagt Krämer.

Um Warnhinweise kommt nun die Politik nicht mehr herum. „Es ist leider so, dass Patientendaten in Deutschland sehr ungeschützt sind. Die meisten Kliniken verfügen über keine oder eine leicht aushebelbare Sicherheitsstruktur“, sagt der Gesundheitspolitiker Karl Lauterbach (SPD) auf Anfrage. Der Staatssekretär im Bundesgesundheitsministerium, Karl-Josef Laumann (CDU), verweist darauf, dass die Krankenhäuser ihre Schutzvorkehrungen ständig modernisieren müssten, und fordert: „Hier müssen die Länder, die für die Investitionen in die Krankenhausstruktur zuständig sind, endlich ihrer Verantwortung nachkommen.“ „Im Sommer haben Kriminelle die Locky-Schadsoftware verschickt. Sie schlummert noch in vielen Systemen und kann zur Erpressung aktiviert werden“, sagt Achim Fischer-Erdsiek, auf Cyberkriminalität spezialisierter Versicherungsmakler.

Investitionsstau von mehreren Milliarden Euro

Die Angriffsmöglichkeiten sind vielfältig. Eine radiologische Praxis, die er betreute, musste ihre Arbeit zehn Tage lang stoppen. Wie in Neuss war hier nicht Locky die Ursache. Drei Krankenhäuser in Hannover konnten für zwei Tage nicht operieren. Das Gesundheitsministerium in Nordrhein-Westfalen zählte in den ersten zwei Monaten 28 Cyberangriffe auf Kliniken. Seither sind dort sechs weitere Fälle aufgekommen, teilt ein Sprecher mit.

Kliniken und ihre unterschiedlichsten Abteilungen sind komplexe Gebilde mit vielen Angriffspunkten für Hacker. Auch die Fernwartung von Geräten ist eine Schwachstelle. Zudem sind Krankenhäuser meist offen für Publikumsverkehr und damit leicht zugänglich für Personen mit kriminellen Absichten. Auch W-Lan-Systeme sind Einfallstore. Zuständige Klinikverbände verweisen auf die Verantwortung der Bundesländer. Sie müssten angesichts der Cyberbedrohung mehr Mittel bereitstellen, heißt es bei der Deutschen Krankenhausgesellschaft (DKG). Deutlicher wird der Interessenverband Kommunaler Krankenhäuser (IVKK).

Der Investitionsstau in deutschen Krankenhäusern betrage mehrere Milliarden Euro. „Dass vor diesem Hintergrund Investitionsentscheidungen für IT-Sicherheit in einem Spannungsfeld unerfüllbarer Wünsche getroffen werden müssen, ist an sich beunruhigend und eine Zumutung für alle, die in Krankenhäusern für die IT-Sicherheit verantwortlich sind“, sagt IVKK-Geschäftsführer Uwe Alschner. In Neuss wurde am 25. März, sechs Wochen nach dem Angriff, der normale Betrieb wieder aufgenommen. Mit leichtem Stolz berichtet Geschäftsführer Krämer, dass die amerikanische Bundespolizei nach seinem Fall die Empfehlung geändert habe. Kliniken sollen seither Erpressern nicht nachgeben.