Schweizer Spitäler schließen sich gegen Cyberangriffe zusammen

Inhaltsverzeichnis

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

In der Schweiz haben sich 22 Krankenhäuser, Kliniken und die Vereinigung Gesundheitsinformatik Schweiz zusammengeschlossen und den Verein "Healthcare Cyber Security Center" (H-CSC) gegründet. Eines der Ziele ist es, eine Art Frühwarnsystem zur Erkennung von IT-Risiken im Gesundheitswesen aufzubauen, um die Spitäler besser auf Cyberattacken vorzubereiten. Dazu sollen auch mittels Austauschs von Informationen über Angriffe gemeinsame Schutzstandards und Best Practices erarbeitet werden.

Attacken aus dem Netz gefährden nicht nur sensible Daten, sondern auch das Leben von Patienten und die Kontinuität medizinischer Dienstleistungen, so das H-CSC. Angesichts dieser Bedrohungen sei es für Schweizer Spitäler von entscheidender Bedeutung, ihre Cyber-Resilienz zu stärken und ihre Fähigkeit zu verbessern, schnell auf Angriffe zu reagieren.

Und dies wollen viele Schweizer Krankenhäuser im Rahmen des nationalen Cybersicherheits-Zentrums für Gesundheitseinrichtungen künftig gemeinsam machen. "Cyberangreifer arbeiten längst zusammen – wir Spitäler in dieser Frage noch zu wenig. Das ändern wir jetzt und überwinden diese Asymmetrie", so Erik Dinkel, Sicherheitsverantwortlicher (CISO) des Universitätsspitals Zürich und Präsident des H-CSC.

Attacken aus dem Netz würden den Spitalbetrieb erheblich beeinträchtigen: Operationen müssten verschoben werden, Patientendaten wären nicht verfügbar, lebensrettende Geräte könnten ausfallen. "Im Gesundheitssektor können Cybervorfälle schwerwiegende Auswirkungen auf die Gesundheit und Sicherheit von Menschen haben, was die Notwendigkeit umso dringlicher macht, sich besser gegen solche Angriffe zu wappnen", sagt Nationalrat Patrick Hässig (Grünliberale Partei, GLP), Initiator einer parlamentarischen Anfrage über den Stand des Schutzes der Schweizer Spitäler vor Cyberangriffen.

Empfehlung des Schweizer Bundesamts für Cybersicherheit

Die Gründung des H-CSC geschah schließlich auch auf Empfehlung des Schweizer Bundesamts für Cybersicherheit. Denn "die Frage ist nicht, ob ein Angriff stattfinden wird, sondern wann. Weltweit nehmen Cyberkriminelle zunehmend Gesundheitseinrichtungen ins Visier", so das H-CSC. Sie seien aufgrund ihrer Abhängigkeit von vernetzten Systemen, zeitkritischen Prozessen und den potenziellen Risiken für die Patientensicherheit attraktive Ziele für sinistre Angreifer aus den Weiten des Internets.

Michel Buri, CISO des Spitals Wallis, weist darauf hin: "Im Gesundheitswesen schützt Cybersicherheit nicht Maschinen, sondern Leben und die Privatsphäre von Patienten. Sie ist die Grundlage für Cyber-Resilienz, die gemeinsame Verantwortung aller Spitäler, die die Kontinuität der Versorgung gewährleistet. Daten zu schützen bedeutet zu heilen!"

Gerade auch mit der Zunahme von "Cyberoperationen in bewaffneten Konflikten" werden kritische zivile Infrastrukturen – wie Krankenhäuser – immer häufiger ins Visier genommen. In den vergangenen Jahren würden sowohl der medizinische Sektor als auch humanitäre Organisationen gezielt angegriffen, was ihre Verwundbarkeit im Kontext der modernen digitalen Kriegsführung deutlich mache, betont das H-CSC.

Schwachstellen in Medizinprodukten und Co.

Aktuelle Herausforderungen für die Cybersicherheit der Gesundheitseinrichtungen in der Schweiz definiert das H-CSC in diversen Bereichen. So brauche es größere branchenspezifische Fachkenntnisse, denn die allgemeinen Richtlinien für Cybersecurity gingen nicht ausreichend auf die spezifischen Bedrohungen für Gesundheitseinrichtungen ein. Beispiele hierfür sind laut H-CSC Schwachstellen in zertifizierten Medizinprodukten, der Schutz veralteter, aber medizinisch herausragender klinischer Systeme oder der korrekte Umgang mit sensiblen und stark regulierten Daten unter ständigem Zeitdruck (bspw. in Krankenwagen, Notaufnahmen).

Konstatiert werden vom H-CSC auch die Belastungen durch hohe Kosten und Aufwendungen bei Beschaffungsprozessen. So würden etwa alle Gesundheitseinrichtungen derzeit praktisch identische Anforderungsdokumente für die Evaluation notwendiger IT-Sicherheitssysteme und -dienstleistungen erstellen. Jetzt können solche Dokumente über das H-CSC zusammen erarbeitet werden, was auch ihre Qualität verbessere, da aus den Fehlern anderer gelernt werden könne. Bei Einkäufen von Cybersicherheitslösungen gemeinsam aufzutreten, stärke die Verhandlungsposition und helfe, Zeit, Aufwand und Geld zu sparen.

Auch könnte durch einen starken Verbund die Abhängigkeit von externen Sicherheitslösungs-Anbietern durch den Aufbau eigener fundierter IT-Security-Kompetenz verringert werden. Oder sogar eigene maßgeschneiderte IT-Security-Lösungen für die spezifischen Sicherheitsbedürfnisse der Schweizer Spitäler oder im Bereich der Medizintechnik erstellt werden, so ein Ziel des H-CSC.

Darknet-Monitoring

Die Palette der Services für Mitglieder des H-CSC soll ausgebaut werden, beispielsweise mit einem Serviceangebot "Darknet-Monitoring", also der Überwachung des Darknets hinsichtlich möglicher Leaks von Gesundheitsdaten (Domains, E-Mail-Adressen, Konten, Passwörter) inklusive dezidierter regelmäßiger Warnmeldungen an betroffene Spitäler. Abgerundet werden die Aktivitäten des H-CSC durch eine Reihe von Fachkonferenzen und Praxisseminaren. Eine Mitgliedschaft im Verein steht seit Anfang September 2025 allen Spitälern mit einem öffentlichen Leistungsauftrag offen. 20 weitere Gesundheitsinstitutionen haben bereits großes Interesse bekundet, so Sophie Nägeli, Generalsekretärin H-CSC, gegenüber heise online.

(mack)