Krankenhäuser sind auf funktionierende IT-Systeme angewiesen – seit einer Woche häufen sich Hacker-Angriffe auf Kliniken. Wie gehen die Häuser in SH mit der Gefahr um?
Im Umgang mit Viren, an denen Menschen erkranken können, sind Kliniken geübt. Doch es gibt noch andere Bedrohungen: Computerviren. Befallen sie die Systeme, werfen sie Kliniken um Jahre zurück – wie jetzt in mehreren Fällen in Nordrhein-Westfalen oder in Los Angeles.
| Die Cyber-Angriffe auf Krankenhäuser häufen sich. Auch wenn Experten bislang kein Muster hinter den Attacken erkennen, droht Gefahr: Ein Rückfall in analoge Zeiten wäre fatal. |
|---|
Eine Cyber-Attacke hat das IT-System des Neusser Lukaskrankenhauses vor einer Woche getroffen – seitdem arbeiten die Ärzte und Angestellten wieder mit Zetteln, die mit der Hand geschrieben und aufwendig verteilt werden müssen. Dabei ist in vielen Krankenhäusern das erklärte Ziel, weitgehend papierlos zu arbeiten, so auch am Universitätsklinikum Schleswig-Holstein (UKSH). Davon werde man – trotz potenzieller Cyber-Gefahren – aus guten Gründen nicht abweichen, sagt Klinik-Sprecher Oliver Grieve. Das papierlose Arbeiten verkürze Prozesse enorm, überflüssige Bürokratie falle weg: „Ein Rückfall ins Mittelalter wäre tragisch für die Patienten.“
Kritische Infrastrukturen
Das IT-Sicherheitsgesetz schreibt Betreibern „Kritischer Infrastrukturen“ vor, sich besser gegen IT-Angriffe zu wappnen. Außerdem sollen solche Unternehmen – unter anderem Krankenhäuser, Transport- und Logistikunternehmen, Energieversorger und Finanzdienstleister – verpflichtet werden, Attacken auf ihre Computer-Systeme unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Tun sie das nicht, droht ein Bußgeld von bis zu 100.000 Euro. Die Meldepflicht wird nach Schätzung der Bundesregierung etwa 2000 Unternehmen betreffen.„Kritische Infrastrukturen“ sind Einrichtungen und Netze, die wesentlich für das öffentliche Leben sind und deren Störung oder Ausfall drastische Folgen haben würde.Die betroffenen Unternehmen müssten die Vorgaben formal bis zum 13. Juni 2017 umgesetzt haben.
Nur zwei Tage nach dem Angriff in Neuss trifft eine Cyber-Attacke das Klinikum Arnsberg im Sauerland. Auch hier muss schnell gehandelt werden: Der betroffene Server wird abgeschaltet, dann das komplette System heruntergefahren, damit sich das Virus nicht weiter ausbreitet. Der Eindringling war wahrscheinlich in einem E-Mail-Anhang versteckt, „der besser nicht geöffnet worden wäre“, wie ein Sprecher des Klinikums sagt. Der einfache und schnelle digitale Datenaustausch zwischen den Abteilungen ist für mehr als einen Tag unterbrochen. „Befunde mussten persönlich, per Telefon oder Fax übermittelt werden“, sagt der Kliniksprecher.
Neuester Fall: In einer Mail ist nach Angaben der Leitung des St. Franziskus-Hospitals im nordrhein-westfälischen Winterberg am Donnerstagmittag eine Auffälligkeit festgestellt worden. „Da wir bei dem Thema momentan hoch sensibilisiert sind, haben wir gezielt Systeme in der Verwaltung heruntergefahren und Außenverbindungen gekappt“, sagte Geschäftsführer Christian Jostes gestern nach Medienberichten. Bereits nach drei Stunden habe die IT-Abteilung des Krankenhauses das Problem behoben.
Die Fälle machen deutlich, wie empfindlich Kliniken im digitalen Zeitalter sein können – wenn sie sich nicht schützen. „Wenn es kein Back-up gibt, beeinträchtigt ein Ausfall der Informations- und Kommunikationstechnik ein Krankenhaus erheblich“, sagt Christoph Unger, Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK). „Unsere Botschaft ist, dass man sich vorbereiten kann – man muss sich aber im Vorfeld damit befassen und nicht erst, wenn die Krise da ist.“
Deshalb arbeite man am UKSH eng vernetzt mit anderen Häusern und Organisationen zusammen, die Warnmeldungen herausgeben, sobald bekannt wird, dass ein Virus im Umlauf ist – eine Art Frühwarnsystem, erklärt Grieve. In Penetrationstests prüfe man, wie sich ein bestimmter Virus auf das eigene System auswirken würde. Man habe ein gut ausgereiftes Krisenmanagement, spiele mögliche Szenarien durch. Doch: Nicht jedes Szenario sei vorhersagbar. „Das Problem ist ja, dass da jemand sitzt, der diese Programme erst entwickelt“, sagt Grieve. Im Umkehrschluss müssten also auch die Abwehrmechanismen erst entwickelt werden. Für alle bekannten Fälle habe man jedoch einen Krisenplan ausgearbeitet. Und für den Fall der Fälle habe man die Systeme konserviert: Es gibt also mindestens eine Systemkopie auf netzunabhängigen Servern oder Geräten, auf die zurückgegriffen werden kann. Werde beispielsweise die Radiologie angegriffen, gebe es noch ein Back-up, mit dem sie arbeitsfähig bleibe. Aber: „Wenn nichts mehr geht, muss auf Papier zurückgegriffen werden.“
Nach den Angriffen in NRW sei man zudem präventiv tätig geworden, habe abseits der regelmäßigen Intervalle getestet, ob in den eigenen Systemen Schwachstellen zu identifizieren sind. Außerdem habe man die Zahl der Mitarbeiter mit Administratorenrechten auf ein Minimum zurückgeschraubt, um versehentliches menschliches Versagen zu vermeiden. „Das größte Risiko für die IT-Sicherheit besteht durch Anwender, die verdächtige Anhänge oder Links in Spam-E-Mails öffnen“, weiß auch Sonja-Maria Klauß, Sprecherin der Helios-Gruppe. „Um dieses Risiko so gering wie möglich zu halten, sensibilisieren wir unsere Beschäftigten dafür und geben Hinweise und Regeln für mehr IT-Sicherheit vor.“
„Wir haben bislang keine Erkenntnisse, dass es so etwas wie ein Muster von IT-Angriffen auf Krankenhäuser gibt“, erläutert BBK-Präsident Christoph Unger. „Es gibt Kriminalität, etwa Erpresser, es gibt Versuche, an Daten zu gelangen, es gibt einfach Verrückte.“ Die im Falle eines Angriffs auf ein Krankenhaus Menschenleben aufs Spiel setzen.
Eine Erpresser-Schadsoftware, sogenannte Ransomware, scheint in Arnsberg zugeschlagen zu haben: „Es sind Meldungen mit Geldforderungen hochgeploppt“, sagte der Sprecher dieses Klinikums. Man habe die isolierten, befallenen Daten der Polizei übergeben. Das BSI rät, nicht zu zahlen, Anzeige zu erstatten und vor allem: Daten regelmäßig zu sichern. Anders die Meinung der US-Ermittlungsbehörde FBI: Nachdem in Los Angeles ein Krankenhaus mit einem Erpresservirus – sogenannte Ransomware – infiziert wurde, zahlte man hier auf Anraten der Behörden das geforderte Lösegeld. Nach der Zahlung von 17.000 Dollar (15.000 Euro) seien die Daten freigegeben worden. Nach einer Systemreinigung konnte der Normalbetrieb wieder aufgenommen werden.
mit dpa