IT-Sicherheit im Krankenhaus: Neue Firewall oder neuer Computertomograph?
Krankenhaus-IT ist ein lohnendes Angriffsziel, um Daten zu stehlen oder Infrastruktur zu stören. Wie gut ist die IT-Sicherheit am Beispiel Hessen?
Cyberkriminelle, die Patientendaten stehlen. Erpresser, die Daten verschlüsseln. Hacker, die medizinische Geräte manipulieren. Die Szenarien sind beunruhigend – und sie sind real. Laut "Krankenhausstudie 2017" der Unternehmensberatung Roland Berger waren 64 Prozent der deutschen Krankenhäuser schon einmal Opfer eines Hackerangriffs. "IT-Sicherheit ist für viele Kliniken noch immer Neuland", titelte kürzlich die Ärzte-Zeitung.
"Dass es bisher noch keinen gezielten Angriff auf das deutsche Gesundheitswesen gab, ist aus meiner Sicht Glück", sagt Thomas Friedl vom Fachbereich Gesundheit der Technischen Hochschule Mittelhessen. "Das ist ein ganz dickes Brett, das gebohrt werden muss. Aber vermutlich wird das erst gebohrt, wenn 20 bis 30 Kliniken in einer Region still stehen oder ein Wochenende lang die 112 nicht mehr funktioniert. Und dann gucken wir blöd."
Umfang der Bedrohung unklar
Die SPD im hessischen Landtag legte kürzlich mit einer Kleinen Anfrage zur IT-Sicherheit in Krankenhäusern den Finger in die Wunde. In ihrer Antwort gibt die Landesregierung zu, "dass die IT der Krankenhäuser regelmäßigen Bedrohungen ausgesetzt ist". Allerdings sei "kein Fall bekannt, bei dem Patientendaten bzw. Gesundheitsdaten erbeutet wurden".
Um herauszufinden, wie groß die Probleme sind, schrieb das Sozialministerium alle Krankenhäuser an. Zwölf Angriffe seit 2016 wurden gemeldet, zum Beispiel in den Gesundheitszentren Odenwald und Wetterau, in Hadamar und Fritzlar, in Kiedrich und Weilburg, im Heilig-Geist-Hospital Frankfurt und im Klinikum Hanau. Vollständig ist die Liste nicht: Nicht alle Kliniken haben sich zurückgemeldet und nicht alle sämtliche Fragen beantwortet.
E-Mail-Anhänge als Einfallstor
Ein häufiges Einfallstor sind Mail-Anhänge. Über sie dringt Schadsoftware in die Systeme ein, zum Beispiel ein Trojaner namens "locky", der 2016 in einige hessische Kliniken eindrang. Dabei handelt es sich um Ransomware, die Daten verschlüsselt, um für die Entschlüsselung Lösegeld zu fordern. Oft können die Daten zwar von alleine rekonstruiert werden, aber dafür müssen erst einmal die Systeme heruntergefahren werden.
In Neuss musste nach einer solchen Attacke die komplette IT heruntergefahren werden. Operationen wurden verschoben, das Krankenhaus arbeitete wie vor Erfindung des Computers mit handschriftlichen Notizen. Der Gesamtschaden wurde auf rund eine Million Euro beziffert. In Großbritannien legte 2017 der Erpressungstrojaner "Wanna Cry" zahlreiche Krankenhäuser lahm.
Angriffsziel Krankenhaus
Dem Landeskriminalamt (LKA) Hessen sind nach eigenen Angaben "keine Cyberattacken oder -angriffe auf Krankenhäuser bekannt". Zwar bemerkten Klinikbetreiber "fast täglich" Angriffe auf ihre IT, diese könnten aber "zum größten Teil durch die dort bestehende Sicherheitsstruktur abgewehrt werden". Dass Kliniken gefährdet sind, bestreitet auch das LKA nicht: "Krankenhäuser gehören definitiv zu den Angriffszielen von Cyberkriminellen", heißt es in Wiesbaden. Sollten die Angriffe erfolgreich sein, "entsteht nicht nur ein finanzieller Schaden; vielmehr können durch Störungen der medizinischen Versorgung lebensbedrohliche Situationen entstehen".
"Das Problem besteht und es wird immer bestehen", sagt der Direktor der hessischen Krankenhausgesellschaft, Rainer Greunke: In Krankenhäusern würden sensible persönliche Daten gespeichert, die Vernetzung der Systeme nehme immer mehr zu – das mache sie angreifbar und sensibel. Allerdings sei "das Problem in Krankenhäusern nicht größer als in Banken oder anderen Institutionen auch."
Der Vergleich mit den Banken hinke, sagt Friedl: "Der Unterschied ist, in welcher Ebene die IT im Organigramm hängt." Bei Kliniken gebe es leider Beispiele, wo drei Externe aus der Zentrale vier bis fünf Kliniken betreuten, der Chefarzt über die IT entscheide und Passwörter auf gelben Zetteln am Monitor stünden. "Das gilt natürlich nicht für alle – aber es gilt noch allzu oft."
Knappe Geldmittel für Krankenhaus-IT
Friedl sieht zuerst die Politik in der Pflicht: Sie müsse Geld zur Verfügung stellen. Im zweiten Schritt müssen die Krankenhäuser dann die Struktren schaffen, "dass die IT im Organigramm nach oben rückt und den vielen in den letzten Jahren hinzugekommenen Aufgaben und Systemen auch das entsprechende Personal zur Verfügung steht".
Die Krankenhausgesellschaft verweist auf knappe Mittel: "Ich muss überlegen: Wo setze ich das Geld ein. Eine neue Firewall oder ein neuer Computertomograph? Eine neue Rechner-Generation oder mehr Beatmungsplätze? Diese Abwägung habe ich ständig", sagt Greunke. Die Krankenhausgesellschaft fordert ein Sonderinvestitionsprogramm für Digitalisierung und IT-Sicherheit.
Schwachstelle Mitarbeiter
Eine "Risiko-Analyse Krankenhaus-IT" des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat die Schwachstellen identifiziert: Nicht nur veraltete Technik, unzureichende Schutzmechanismen und unterbliebene Tests stellen eine Gefahr dar – sondern auch "die Unzufriedenheit von Mitarbeitern".
Die Analyse weist auch auf eine weitere Gefahr hin: "dass Medizingeräte, die in ein Krankenhausnetz integriert sind, eine besondere Anfälligkeit gegen Computerviren haben". Auch Herzschrittmacher oder Medikamentenpumpen könnten gehackt werden. Dem Bundesinstitut für Arzneimittel und Medizinprodukte sind aber "bislang keine Fälle bekannt, bei denen Patientinnen oder Patienten durch gehackte Medizinprodukte zu Schaden gekommen sind."
Friedl beruhigt das alles nicht. "Wie so oft, muss wahrscheinlich erst mal was Richtiges passieren", sagt der Fachmann für IT-Sicherheit im Gesundheitswesen. Das Problem sei da und es sei groß, "aber das gibt keiner offen zu. Die Leidtragenden sind dann wir - die Patienten und 'Financiers' des Systems." (olb)
