heise PlusAbo
Anzeige

Cyberangriffe auf Krankenhäuser: Was, wenn der Patient zu Schaden kommt?

Aufgrund der Digitalisierung wird IT-Sicherheit in Krankenhäusern zunehmend wichtiger. Doch wer ist verantwortlich, wenn ein Cyberangriff dem Patienten schadet?

vorlesen Druckansicht 9 Kommentare lesen
Krankenhausbett wird von Krankenhauspersonal durch einen Krankenhausflur geschoben. Ander Decke ist weiĂźes Krankenhauslicht. Der Boden ist weiĂź. Alles sieht klinisch aus.

(Bild: Sirisak_baokaew/Shutterstock.com)

Lesezeit: 8 Min.
Von
  • Tilmann Dittrich
  • Dr. Matthias Dann
Inhaltsverzeichnis
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Cybersicherheit spielt in Krankenhäusern eine zentrale Rolle. Viele Geschäftsprozesse sind digitalisiert. Hierbei werden sensible Gesundheitsdaten verarbeitet. Bei der stetig fortschreitenden Digitalisierung der Medizin bestehen sogar Gefahren für Leib und Leben, wenn ein IT-gestützter Prozess gestört wird. Ursächlich für Cybervorfälle können interne Fehler, aber auch externe Angriffe sein. Oftmals überschneiden sich die Ursachen. Kommt es zu Schäden an Leib oder Leben, ist die Frage nach strafrechtlicher Verantwortung nicht weit. Dies betrifft nicht nur Cyberkriminelle, sondern auch Leitungspersonen im Krankenhaus.

Gefährdungslage und der Angriff auf das Uniklinikum Düsseldorf

Die Gefährdungslage deutscher Krankenhäuser lässt sich nur bedingt in Zahlen fassen, der Gesundheitssektor wird aber laut Bundesamt für Sicherheit in der Informationstechnik (BSI) als besonders gefährdet angesehen. Zahlen liegen nur für den sogenannten KRITIS-Bereich vor, also für Krankenhäuser, die vom Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) erfasst sind. Das sind aktuell diejenigen Krankenhäuser, die 30.000 oder mehr vollstationäre Behandlungsfälle im Jahr aufweisen. Etwa 5 bis 10 Prozent der Krankenhäuser erfüllen diese Voraussetzung. Der KRITIS-Sektor Gesundheit, der zum Großteil von Krankenhäusern geprägt wird, weist im letzten Lagebericht des BSI die zweitmeisten Meldungen von Störfällen auf.

Videos by heise

Besonders im Gedächtnis blieb der Cyberangriff auf das Uniklinikum Düsseldorf im Jahr 2019. Dort kam es aufgrund des Angriffs zur tagelangen Abmeldung der Notaufnahme. Eine Patientin musste aufgrund der Schließung der Notaufnahme in ein entfernteres Krankenhaus transportiert werden. Sie verstarb während des Transports. Die staatsanwaltlichen Ermittlungen gegen die unbekannten Täter wurden auf ein mögliches Tötungsdelikt ausgeweitet. Da nicht mit an Sicherheit grenzender Wahrscheinlichkeit festgestellt werden konnte, dass ein Ursachenzusammenhang zwischen Angriff und dem Tod der Patientin bestand, wurde das Ermittlungsverfahren wegen des Tötungsdelikts eingestellt.

Erste Studien aus den USA deuten an, dass sich in drei von vier Fällen die Patientenversorgung aufgrund eines Cyberangriffs verschlechtert. Die Wahrscheinlichkeit, in einem Krankenhaus zu sterben, soll sich laut der Studie um 20 bis 35 Prozent erhöhen, wenn dieses Opfer eines Cyberangriffs wird.

Lesen Sie auch

Liegt ein vorsätzliches Handeln der Krankenhausleitung vor?

Kommt eine Patientin oder ein Patient infolge eines Cyberangriffs körperlich zu Schaden, ist an die Körperverletzungs- und Tötungsdelikte des StGB zu denken. Der Geschäftsleitung des Krankenhauses könnte man den Vorwurf machen, sie habe sich nicht um ausreichende Sicherheitsmaßnahmen gekümmert und nur deshalb habe es zu dem schädigenden Ereignis kommen können. Hierbei handelt es sich um den Vorwurf eines Unterlassens (§ 13 StGB). Der Unterlassende muss eine sog. Garantenstellung gegenüber dem jeweiligen Tatopfer einnehmen. Eine solche Stellung könnte die Geschäftsleitung haben, weil sie verantwortlich für die "Dienstleistung Gesundheitsversorgung" ist. Diese Aufgabe beinhaltet – grob vereinfacht – die Pflicht, geeignete Maßnahmen zu ergreifen, um Schaden von Leib und Leben der Patienten abzuwenden.

Während im Düsseldorfer Fall schon kein Ursachenzusammenhang zwischen Angriff und Todeseintritt nachgewiesen werden konnte, dürfte aufseiten der Krankenhausleitung regelmäßig auch kein Vorsatz vorliegen. Dieser verlangt, dass der Täter es zumindest billigend in Kauf nimmt, dass aufgrund seines Tuns oder Unterlassens der Taterfolg eintritt, also die Patientin oder der Patient entweder verstirbt oder eine Gesundheitsschädigung aufgrund des Cyberangriffs erleidet. Insoweit kommt es maßgeblich darauf an, ob die Geschäftsleitung auf Basis einer umfassenden Informationslage eine risikoadäquate Entscheidung bezüglich der IT-Sicherheitsmaßnahmen getroffen hat. In diesem Fall wird man ihr zugutehalten müssen, dass sie ernsthaft darauf vertraut hat, dass es nicht zu einem Schaden an einer Person kommt. Das schließt ein vorsätzliches Handeln aus.

In Zukunft wird bei Cybersicherheitsvorfällen die Feststellung des Vorsatzes noch herausfordernder. Grund hierfür ist die NIS-2-Richtlinie, also die zweite Netzwerk- und Informationssicherheit-Richtlinie der EU. Diese hätte bis Oktober 2024 in nationales Recht umgesetzt werden müssen. Die Umsetzung verzögert sich aber noch. Sie wird den Anwendungsbereich und Anforderungsmaßstab des BSIG maßgeblich vergrößern. Vermutlich alle Plankrankenhäuser in Deutschland werden künftig vom BSIG erfasst sein. Künftig wird der Slogan "Cybersicherheit ist Chefsache" auch ausdrücklich ins Gesetz aufgenommen. Die Geschäftsleitung muss die Risikomanagementprozesse im Unternehmen initiieren und deren Umsetzung überwachen. Damit sie dies machen kann, muss sie sich regelmäßig in puncto IT-Risikomanagement schulen. Das kann dazu führen, dass ihr ein erhöhter Kenntnisstand in diesem Bereich unterstellt wird, was wiederum bei der Feststellung des Vorsatzes berücksichtigt werden könnte. Denn wer sich besser mit dem Risikomanagement auskennt, wird sich schwerer damit entlasten können, dass er das Risiko nicht habe richtig einschätzen können.

Sorgfaltsmaßstab bei Fahrlässigkeitsdelikten mit Cybersicherheitsbezug

Selbst wenn es nicht gelingt, den Verantwortlichen für die IT-Sicherheit Vorsatz nachzuweisen, könnte ihnen vorgeworfen werden, die im Verkehr erforderliche Sorgfalt außer Acht gelassen und eine Patientenschädigung durch unzureichende Sicherheitsmaßnahmen mitverursacht zu haben. Damit geht es um den Vorwurf der fahrlässigen Tötung (§ 222 StGB) beziehungsweise der fahrlässigen Körperverletzung (§ 229 StGB). Der Krankenhausleitung kommt hier eine nicht-delegierbare Letztverantwortung zu, Schädigungen von Patienten durch ausreichende Sicherheitsvorkehrungen zu vermeiden. Außerhalb dieses Kernbereichs sind aber Delegationen notwendig und möglich, in der Praxis vor allem an die Chief Information Security Officer (CISO). Diese kann damit ebenfalls ein Fahrlässigkeitsvorwurf treffen.

Diesbezügliche Ermittlungen werden sich vor allem darauf konzentrieren, welcher Sorgfaltsmaßstab für ein Krankenhaus zur Vermeidung von Cybersicherheitsvorfällen gilt. Hier gibt es eine praktische Orientierungshilfe: die Branchenspezifischen Sicherheitsstandards (B3S). Das sind Maßnahmenkataloge, die Branchenverbände für die jeweiligen KRITIS-Sektoren entwickeln. Das BSI stellt dann für einen Zeitraum von zwei Jahren fest, dass die B3S geeignet sind, die Risikomanagement-Pflichten aus dem BSIG zu erfüllen. Ist ein Krankenhaus nicht vom BSIG erfasst, weil es kein Großkrankenhaus ist, muss es nach § 391 SGB V ebenfalls IT-Sicherheitspflichten umsetzen. Auch diese sollten sich am B3S orientieren. Der B3S stellt faktisch für sämtliche Krankenhäuser den Goldstandard für IT-Sicherheitsmaßnahmen dar.

Der aktuelle B3S für den Krankenhausbereich nennt neben den allgemeinen IT-Schutzzielen Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit das besondere Schutzziel der Patientensicherheit. Durch den B3S sollen also auch physische Schäden aufgrund mangelhafter IT-Sicherheit verhindert werden. Dieses Schutzziel verfolgen die oben genannten Fahrlässigkeitsdelikte aus dem Strafrecht ebenso. Der B3S dürfte damit auch für die Ausformung des strafrechtlichen Sorgfaltsmaßstabs herangezogen werden. Das hat auch sein Gutes: Wer diesen Katalog umsetzt und dies auch nachweisen kann (Dokumentation), dürfte für einen dennoch eingetretenen Schaden nicht strafrechtlich verantwortlich sein.

Sind aber nicht eigentlich die Cyberkriminellen verantwortlich?

Gerade bei Cyberangriffen könnte man sich auf den Standpunkt stellen, dass die Patientenschäden doch auf das kriminelle vorsätzliche Handeln Dritter zurückzuführen sind. Klar ist, dass sich die Cyberkriminellen regelmäßig bei ihren Angriffen strafbar machen. Dennoch wird die Verantwortlichkeit der Krankenhaus-Verantwortlichen hier typischerweise nicht verdrängt, wenn unzureichende IT-Sicherheitsmaßnahmen erst das vorsätzliche Handeln der Cyberkriminellen ermöglichen.

Lesen Sie auch

Auch wenn es in Deutschland noch nicht nachweislich aufgrund eines Cyber-Sicherheitsvorfälle in einem Krankenhaus zu Gesundheitsschäden gekommen ist, zeigen die ersten Studienergebnisse, dass das Risiko hier tatsächlich hoch ist. Eines Tages wird ein solcher Fall wohl eintreten. Dann wird der strafrechtliche Fokus nicht mehr nur auf den Cyberkriminellen liegen, sondern auch auf den Verantwortlichen des Krankenhauses. Um Haftungsrisiken bereits im Vorfeld zu minimieren, müssen risikobehaftete Leitungsentscheidungen über die Ausgestaltung des IT-Sicherheitsmanagements auf der Grundlage einer angemessenen Informationslage ergehen und umfassend dokumentiert werden. Zur Vermeidung des Vorwurfs fahrlässigen Handelns dient der Krankenhaus-B3S zur Orientierung.

Hinweis: Die Autoren des Artikels, Dr. Matthias Dann, LL.M. und Tilmann Dittrich, LL.M., sind Rechtsanwälte bei der auf das Medizin- und IT-Strafrecht spezialisierten Kanzlei Wessing & Partner Rechtsanwälte mbB in Düsseldorf.

(mack)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten