Im Universitätsklinikum Frankfurt (UKF) gibt es derzeit „rot“ und „grün“ markierte Rechner. Alle Rechner im bisherigen System sind mit einem roten Punkt versehen. Nach und nach werden nun einzelne grüne Rechner in einem neuen Netzwerk in Betrieb genommen, um mit der Außenwelt kommunizieren zu können. Die als rot definierten Computer dürfen nur innerhalb des Hauses benutzt werden, die mit grünen Aufklebern können nach draußen kommunizieren. Beide Systeme müssen noch wochenlang getrennt bleiben – denn Hessens größtes Krankenhaus ist Opfer eines Hackerangriffs geworden. Auch die Internetseite des Klinikums ist weiterhin nicht erreichbar (Stand 13.10.23).
Ende vergangener Woche entdeckte ein Mitarbeiter bei einer Routinekontrolle einen Account, der umfangreiche Zugriffsrechte hatte, aber nicht dafür legitimiert war. Der Mitarbeiter schlug Alarm, die Aufsichtsbehörden wurden informiert, ein Krisenstab eingerichtet, Fachfirmen für IT-Forensik zur Hilfe gerufen. Als erste Maßnahme wurde das Krankenhaus vom Internet abgeschnitten. „Wir sind jetzt im Datenverkehr eine Insel“, sagt der Ärztliche Direktor und Vorstandschef Prof. Jürgen Graf.
Die gute Nachricht: Nach bisheriger Kenntnis wurden keine Daten verschlüsselt oder ausgelesen, es gibt bislang keine Forderung von Erpressern – vermutlich, weil der Angriffsversuch so früh entdeckt wurde. „Der unmittelbare Schaden mag gering sein“, sagt Graf, „die grundlegenden IT-Systeme innerhalb des Universitätsklinikums funktionieren weiterhin, so dass die Krankenversorgung fortgesetzt werden kann. Aber die Auswirkungen sind trotzdem beträchtlich.“
Für all diese Prozesse muss sich das Universitätsklinikum alternative Lösungen suchen.
Konkret betroffen ist derzeit alles, was auf Kontakt zur Außenwelt angewiesen ist: Über Patientinnen und Patienten, die mit minder schweren Beschwerden vom Rettungswagen eingeliefert werden, bekommt die Ärzteschaft vorher keine Informationen. Terminabsprachen für eingeplante Patienten laufen über Telefon. Krankenkassenkarten können nicht elektronisch eingelesen werden und Rechnungen und Abrechnungsdaten können nicht eingereicht werden. Auch Materialbestellungen können nicht automatisiert aufgegeben werden. „Für all diese Prozesse muss sich das Universitätsklinikum alternative Lösungen suchen – das kostet Zeit“, sagt Graf.
Steigende Angriffszahlen, aber auch steigende Wachsamkeit
„In den vergangenen Jahren hat das Bewusstsein für IT-Sicherheit im Gesundheitswesen deutlich zugenommen“, sagt Prof. Thomas Friedl vom Fachbereich Gesundheit der Technischen Hochschule Mittelhessen. Das frühzeitige Entdecken dieser Cyberattacke sei ein positives Zeichen für die steigende Wachsamkeit.
Zeitgleich wachsen aber auch die Angriffe auf IT-Systeme: Nach den Meldedaten des Bundesamts für Sicherheit in der Informationstechnik (BSI) verzeichnete der Gesundheitssektor von Juni 2021 bis Mai 2022 die höchste Anzahl an Cyberattacken. Grund dafür ist die zunehmende Digitalisierung.
Warum Krankenhäuser ein beliebtes Ziel von Cyberkriminellen sind, erklärt Friedl mit dem hohen Wert der gehackten Daten: „Der Hacker weiß, wenn er hier Erfolg hat, dann wird in aller Regel gezahlt. Denn wenn ich nicht zahle, bekomme ich meine Daten nicht zurück.“ Auch die Sammlung von hochsensiblen Informationen an einem einzigen Ort stellt Friedl zufolge ein erhöhtes Angriffsrisiko dar.
Technik allein reicht für den Schutz vor IT-Angriffen nicht aus.
Um Krankenhäuser vor Cyberangriffen zu schützen, empfiehlt der IT-Experte eine dezentrale Verwaltung von Patientenakten und anderen hochsensiblen Daten. Dafür müssten ausreichend finanzielle Mittel zur Verfügung stehen. Aber Technik allein reiche für den Schutz vor IT-Angriffen nicht aus, betont Friedl: „Damit Sicherheitssysteme funktionieren, bedarf es eines Systemes mit viel Hirn“, sagt er. Verbindliche jährliche Datenschutzschulungen könnten zusätzlich das Klinikpersonal für Cyberangriffe sensibilisieren.
Kein 100-prozentiger Schutz
Bei einer Umfrage des IT-Branchenverbands Bitkom aus dem Jahr 2022 gaben 74 Prozent der befragten Ärztinnen und Ärzte an, ihrer Ansicht nach seien Kliniken in Deutschland häufig nicht genügend geschützt. 66 Prozent sorgten sich konkret vor Cyberangriffen auf Krankenhäuser. „Wenn man mit anderen Krankenhäusern spricht, merkt man: die Gefahr ist da“, sagt Benita Rojewski, Informationssicherheitsbeauftragte des Klinikums Darmstadt. Die Frage, mit der sich die Kliniken beschäftigten, sei nicht ob, sondern wann der Cyberangriff im eigenen Haus passiere, erklärt Rojewski. „Das Problem ist, dass sich Krankenhäuser nun mal nicht zu 100 Prozent schützen können. Es bleibt immer ein gewisses Restrisiko.“
Nicht nur ein Cyberangriff kann dazu führen, dass Systeme nicht mehr funktionieren, betont Rojewski. Auch technische Probleme hätten Beeinträchtigungen zur Folge. Für den Ernstfall könnten sich Krankenhäuser vorbereiten. „Wir sensibilisieren unsere Ärztinnen und Ärzte, sich im Team Gedanken über alternative Arbeitsweisen zu machen“, sagt Rojewski. Stift und Papier seien eine mögliche Alternative: „Dem Patienten ist es egal, ob die Laborwerte in der Software oder auf dem Zettel stehen.“
Wird es noch gefährlicher, wenn erst mal die elektronische Patientenakte (ePA) eingeführt ist? Uniklinikchef Graf glaubt das nicht: Wenn sensible Daten zentral aufbewahrt würden, müsse dieser Server natürlich maximal gut geschützt sein. „Aber 1900 deutsche Krankenhäuser wären damit für Hacker deutlich weniger interessant: Mit unseren Bestelllisten wären wir ja kein attraktives Ziel für Erpressungsversuche.“
Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!
Jetzt einloggen