Videos

Nachrichten

24.02.2016

Hintergrund, Politik & Wirtschaft, Digital Health

Vermehrt Hackerangriffe auf Krankenhäuser - was ist zu tun?

E-Health und die Digitalisierung der Medizin sind in aller Munde – und in vielen Bereichen, gerade im Krankenhaus, ist die Digitalisierung von Prozessen nicht mehr aus dem Alltag wegzudenken. Zumindest bis zu dem Zeitpunkt, an dem die digitalen Wege versperrt sind – so geschehen in den letzten Wochen und Monaten in diversen, nicht nur deutschen Krankenhäusern, die von Hackerangriffen betroffen waren.  Unter Anderem waren das Lukaskrankenhaus in Neuss, das Klinikum Arnsberg mit drei Standorten in Alt-Arnsberg, Neheim und Hüsten und das Karl-Leisner-Kliniken mit Standorten in Kleve und Kalkar betroffen, von mindestens sechs Häusern alleine in Nordrhein-Westfalen ist die Rede. Der Bundesverband der Krankenhaus-IT-Leiterinnen und -Leiter geht von einer zweistelligen Zahl betroffener Häuser aus. Man muss davon ausgehen, dass die meisten angegriffenen Institutionen nicht an die Öffentlichkeit gehen, die Dunkelziffer wird deutlich höher liegen. Nach derzeitigem Kenntnisstand waren die Angriffe keine gezielten Angriffe auf Krankenhäuser, wobei natürlich das Nutzen von E-Mail-Adressen von Krankenhäusern (unter vielen Anderen) ein gewisses Maß von „Gezieltheit“ nahelegt.

Der Ablauf ist immer ähnlich – in den Medien wurde ausführlich berichtet; – eine E-Mail mit einer ausführbaren Datei im Anhang, die „unbewusst“ geöffnet wird und dann zur Infektion der durch den Nutzer erreichbaren Daten führt. In anderen Fällen hat laut Medienberichten auch das Öffnen illegaler Streaming-Seiten zur Infektion geführt. Bei den Viren handelt es sich um sogenannte „Ransomware“, das sind Programme, die alle erreichbaren Daten verschlüsseln, der benötigte Schlüssel ist nur dem Hacker bekannt. Ziel ist die Erpressung von Lösegeld – so unter anderem in den USA beim Hollywood Presbyterian Medical Center geschehen, das 40 Bitcoin (umgerechnet ca. 15.000 Euro) Lösegeld bezahlte, um wieder auf seine Daten zugreifen zu können. Der Vorstandsvorsitzende des Krankenhauses begründete die Zahlung damit, dass dies die schnellste und effizienteste Methode gewesen sei, wieder auf die Daten zugreifen zu können. Auch im Fall des Lukaskrankenhauses hat es laut Presseberichten eine Lösegeldforderung gegeben – die Polizei ermittelt wegen versuchter Erpressung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät davon ab, auf Lösegeldforderungen einzugehen, da die Dateien oder Programme auch nach Bezahlen der geforderten Geldsumme in vielen Fällen nicht entschlüsselt würden. Stattdessen sollten Betroffene den Bildschirm mitsamt der Erpressungsnachricht fotografieren und Anzeige erstatten. 

Eine Meldepflicht solcher Attacken gilt für Krankenhäuser übrigens derzeit noch nicht – laut IT-Sicherheitsgesetz müssen kritische Infrastrukturen melden, wenn sie einen IT-Schadensfall haben. Im Unterschied zu anderen Sektoren sind die Meldungs-Schwellenwerte für kritische Fälle im Gesundheitswesen noch nicht definiert worden; dies soll bis Ende 2016 geschehen (mehr dazu hier bei Heise online).

Zurück zu Papier und Stift

Patientendaten sollen in keinem der bekanntgewordenen Fälle in falsche Hände gelangt sein, die Häuser mussten allerdings alle wegen des Ausfalls der Computersysteme auf Stift und Papier zurückgreifen – Patientenakten, Befunde etc. waren nicht zugänglich. Geplante Operationen wurden in den bekannt gewordenen Fällen teilweise verschoben, Notfälle mussten teilweise an andere Krankenhäuser verwiesen werden. „Durch das Virus sind wir auf den Stand von 2006 zurückgeworfen worden und können nicht auf gewohntem Niveau arbeiten. Hunderte Rechner sind vom Virus befallen“, so Tobias Heintges, ärztlicher Geschäftsführer des Lukaskrankenhauses gegenüber RP-Online. Das Lukas kann man als „durchdigitalisiertes“ Krankenhaus bezeichnen– erst vor wenigen Wochen wurde dort die „Visite 2.0“ eigeführt, ein Projekt in Zusammenarbeit mit der Telekom, bei dem Ärzte und Pfleger über Tablets auf die digitale Patientenakte zugreifen und Befunde direkt dort eintragen können.

Die jetzt zum Teil ergriffenen Gegenmaßnahmen muten rabiat an – teilweise verbieten die Krankenhäuser den Empfang von E-Mails mit Anhängen, was den Betrieb sicher nicht unerheblich einschränkt. 

IT-Sicherheit braucht Geld und Personal

Heiko Ries, 1. Vorsitzender im Vorstand des KH-IT – Bundesverband der Krankenhaus-IT-Leiterinnen/ -Leiter e. V., zu den Attacken: „Wir können also nicht länger so tun, als sei die IT-Sicherheit in unseren Krankenhäusern automatisch gegeben. Es stellt sich vielmehr heraus, was Fachleute schon vom ersten Gespräch an mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) betont haben: 

  • Die IT-Landschaften sind nicht homogen und auch nicht überall gleich sicher eingerichtet. IT-Sicherheit stand bisher im tiefsten Schatten hinter anderen Prioritäten der Kliniken. 
  • In der (Schul-)Bildung fehlt es an entsprechenden Themen und Inhalten für entsprechend mündige Nutzer von moderner Elektronik (Smartphones, PCs, Tabletts, Apps, Cloudspeicher, Virenschutz, Schutz persönlicher Daten usw.). 
  • Der leichtsinnige Umgang im privaten Bereich findet zumeist auch im betrieblichen Umfeld statt. Entsprechende „Sensibilisierungsmaßnahmen“ der Datenschützer finden einfach zu spät statt, wenn sich leichtfertiges Verhalten schon oft genug eingeschliffen hat.
  • Benutzer arbeiten (insbesondere unter hoher Arbeitslast) oft fahrlässig lässig mit digitalen Daten. Nachdenken setzt oft erst nach dem Klick ein. 
  • Die so genannte Sensibilisierung der Mitarbeiter ist schlicht nicht gut genug.
  • Gut informierte Firewall Administratoren mit ausreichend Ressourcen zur permanenten Justierung der Einstellungen haben schon Tage im Voraus von den Gefahren gelesen und agieren können.
  • Es zeigt sich einmal mehr: IT-Sicherheit bedarf auch Geld und Personal. 
  • Auch wenn es meist keine dezidierten Sicherheitsbudgets gibt, dürfte klar sein: Der bisherige Aufwand reicht nicht aus, selbst wenn es 100% Sicherheit nicht geben wird.
  • Wo aufs äußerste gespart und IT-Abteilungen personell und budgetmäßig stark unter Druck stehen, kann das Ergebnis kaum anders aussehen als jetzt geschehen. 
  • Industrielösungen zu Virenschutz und Firewall müssen ständig eingestellt und aktuell gepflegt werden. Der Ansatz „kaufen, einschalten, vergessen“ funktioniert eben nicht. Die perfekte Industrielösung gibt es einfach nicht.

Auch der Marburger Bund (MB) äußerte sich zu den Angriffen. Krankenhäuser müssten eine besonders gut gesicherte IT-Infrastruktur vorhalten, die Cyber-Angriffen standhalte und Patientendaten und Medizingeräte vor Fremdzugriffen umfassend schütze, fordert der 2. Vorsitzende des Marburger Bundes, Dr. Andreas Botzlar. „IT-Sicherheit in Krankenhäusern darf keine Kostenfrage sein. Wer hier an der falschen Stelle spart, hat im Falle eines ausgeprägten Virenbefalls seiner Computersysteme nicht nur höhere Kosten zu tragen, sondern gefährdet unter Umständen Sicherheit und Gesundheit seiner Patienten.“ Die heutige Vernetzung mache es notwendig, der IT-Sicherheit größte Aufmerksamkeit zu widmen. Dazu gehörten auch entsprechende Schulungen des Krankenhauspersonals. „Alle Nutzer sollten regelmäßig auf Schutzmaßnahmen bei den von ihnen verwendeten Endgeräten aufmerksam gemacht werden und nicht erst, wenn bereits Probleme aufgetreten sind“, fordert Botzlar. Darüber hinaus rege der Marburger Bund an, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) spezielle Handlungsempfehlungen zur Cyber-Sicherheit in Krankenhäusern und anderen Gesundheitseinrichtungen erarbeite.

Sven C. Preusker

>zurück<