Ausgerechnet ein fehlerhaftes Software-Update eines Cybersecurity-Unternehmens führte am 18. Juli zu der wahrscheinlich größten IT-Panne der Geschichte. Der Patch des texanischen Unternehmens Crowdstrike ließ in der Folge weltweit mehr als 8,5 Millionen Computer abstürzen, die Windows von Microsoft nutzen. Flughäfen mussten zeitweise den Flugbetrieb einstellen, Börsen kamen ins Stottern – und Krankenhäuser wie das Uniklinikum Schleswig-Holstein mussten Operationen absagen. Besonders betroffen waren Unternehmen, viele erholen sich nur langsam von der Panne.

Während Crowdstrike nur mühsam erste Erklärungen für das Debakel veröffentlicht, zeigt das Desaster auf beeindruckende Weise, wie anfällig digitalisierte Infrastrukturen in der modernen Welt sind – und welche großen Auswirkungen selbst vermeintlich kleinere Fehler haben können. Ein paar falsche oder schlampig generierte Codezeilen – und schon können wichtige Teile der modernen Wirtschaft wie auch des Sozialsystems zusammenbrechen. Es braucht also nicht immer gleich professioneller Hacker, um einen haarsträubenden Stillstand der IT-Systeme zu verursachen.

IT-Panne wirft unangenehme Fragen auf

Das aktuelle Debakel wirft zunächst einige unangenehme Fragen auf – an Crowdstrike und Microsoft wie auch generell. Offenbar führte der Programmierfehler im Falcon-System von Crowdstrike dazu, dass gängige Sicherheitsmaßnahmen wie das testweise Einspielen eines Updates in einer geschützten Umgebung oder das gestaffelte Ausrollen des Updates ins Leere führten. Auch Microsoft muss sich fragen lassen, warum der Fehler offenbar einen fehlerhaften Speicherzugriff auslöste, der die betroffenen Windowsrechner sofort lahmlegte.

Die Reaktion des amerikanischen Softwareriesen ist bezeichnend: Ein Sprecher des Konzerns machte gegenüber dem Wallstreet Journal nun ausgerechnet Auflagen der EU für das Debakel verantwortlich, denn die hätte eine Öffnung von Windows verlangt. Vielleicht sollte sich die EU im Gegenzug einmal generell fragen, warum sie Milliarden Steuergelder in den Aufbau einer eigenen Raumfahrtindustrie und eines eigenen Satellitennavigationssystems pumpt, aber in der doch so zentralen Softwarefrage den amerikanischen Softwaregiganten kampflos das Feld überlässt.

Für eine erfolgreiche Digitalisierung ist das Vertrauen der Patienten und des Fachpersonals in den Einrichtungen die wichtigste Währung

Microsoft sollte mit seinen Schuldzuweisungen allerdings vorsichtig sein, denn es ist nicht die erste Megapanne des Unternehmens in jüngster Zeit. Erst im vergangenen Jahr drangen Hacker in die Azure-Cloud des Unternehmens ein. Denkbar einfach, wie die US-Bundesbehörde Cybersecurity and Infrastructure Security Agency (CISA) in ihrem Prüfbericht befand. Darin übten die Experten massive Kritik an der Sicherheitskultur bei Microsoft.

In den vergangenen Monaten hatte sich Microsoft stark bemüht, den massiven Vertrauensschaden nach dem Azure-GAU vergessen zu machen. Und nun das. Vertrauen unter IT-Verantwortlichen schafft das aktuelle Vorgehen der beiden Unternehmen jedenfalls nicht – und offenbar auch nicht beim BSI. Das will die beiden Firmen nun stärker in die Pflicht nehmen, wie ein Sprecher ankündigte. 

Was hat das alles mit dem Gesundheitswesen zu tun, mögen Sie fragen? Sehr viel, denn für eine erfolgreiche Digitalisierung ist das Vertrauen der Patienten und des Fachpersonals in den Einrichtungen in Soft- und Hardware die wichtigste Währung. Ohne dieses Vertrauen wird es Digitalisierung schwer haben. Deshalb zählt zu den Lehren dieses Debakels die alte aber weiterhin gültige Erkenntnis, die Sicherheitskultur im eigenen Haus sehr ernst zu nehmen, auch in Zeiten wirtschaftlicher Schwierigkeiten.

Wer im Gesundheitswesen größere Schäden durch digitale Pannen vermeiden will, muss sich der Gefahr ständig bewusst sein und kontinuierlich präventiv agieren – mit ausgeklügelten Notfallstrategien, die regelmäßig kontrolliert, validiert und auch angepasst werden müssen. Mit einer Technik, die auf dem neuesten Sicherheitsstand ist und ständig gewartet und überprüft wird. Und mit Cybersicherheitsstrategien, die der aktuellen Bedrohungslage stets folgen.

Was hier banal und selbstverständlich klingt, ist in der Praxis leider häufig noch immer nicht der Fall. Um einige Beispiele zu nennen: Bei gemeinsamen Übungen mit der Bundeswehr gaben jüngst teilweise Notstromaggregate in Kliniken den Geist auf oder sprangen gar nicht erst an. Teilweise fehlte es gar an Treibstoff. Dabei hatte erst vor zwei Jahren eine Umfrage des Deutschen Krankenhausinstituts gezeigt, dass es bei rund einem Viertel der befragten Kliniken mit der Durchhaltefähigkeit nach einem Blackout nicht weit her ist.

Kliniken sparen an der falschen Stelle   

Oder nehmen wir aktuell die Umsetzung von Sicherheitsvorgaben im Zuge des KHZG oder bei Kritis. Wegen der schwierigen wirtschaftlichen Situation haben inzwischen einige Krankenhäuser angekündigt, Vorgaben nicht pünktlich umsetzen zu wollen und dafür auch Strafen in Kauf zu nehmen. Das ist bezüglich der Ausfallsicherheit bzw. des Cyberschutzes ein gewagtes Spiel – und kann schnell zum teuren Boomerang werden.

Die Beispiele lassen sich beliebig fortsetzen. Ein IT-Berater erzählte mir vor Wochen von einer Rundtour durch kleinere Krankenhäuser im Osten Deutschlands. Nach seinen Angaben traf er dabei auf Kliniken, die keinerlei Datensicherung betreiben würden. Teilweise hätten diese Häuser sogar schon Probleme, ganz normale Updates ins System einzuspielen.

Das meine ich mit laxer Sicherheitskultur. In wirtschaftlichen Notzeiten wird das Sicherheitsdenken offenbar wieder stärker hintenangestellt. Immer nach dem Motto, es wird schon gutgehen. Verantwortliche im Gesundheitswesen – und vor allem in den Krankenhäusern – können sich aber eine derart lasche Sichtweise schlicht nicht mehr leisten. Sonst könnte es ihnen bald genauso ergehen wie dem britischen National Health Service (NHS) in der schottischen Region Dumfries & Galloway. Dort musste der NHS vor wenigen Wochen in Flugblättern an Tausende von Haushalten einräumen, dass bei einer Cyberattacke im Februar Hacker enorme Mengen an Patientendaten erbeutet haben und diese inzwischen im Darknet gehandelt würden. Darunter auch extrem sensible medizinische Daten, etwa über psychische Erkrankungen.