Georg Thieme Verlag KGGeorg Thieme Verlag KG
Georg Thieme Verlag KGGeorg Thieme Verlag KG

Ermittlungen laufenSieben Wochen offline – das Krankenhaus Agatharied nach dem Cyberangriff

Das kommunale Krankenhaus Agatharied war nach einem Cyberangriff sieben Wochen lang im Ausnahmezustand. Nun ist es wieder online, und die Verantwortlichen ziehen Bilanz. Was gut lief, und was noch ungeklärt ist.

Krankenhaus Agatharied
Krankenhaus Agatharied
Das Krankenhaus Agatharied wurde am 16. Juni 2024 Opfer eines Cyberangriffs.

Benjamin Bartholdt findet ein anschauliches Bild, wenn er beschreibt, was seinem Team und ihm seit dem 16. Juni, einem Sonntag, widerfahren ist: „Hinter uns liegt eine komplexe, sieben-wöchige Operation“, sagt der Vorstand des Krankenhauses Agatharied. Nach einem Cyberangriff war das 350-Betten-Haus im bayerischen Landkreis Miesbach wochenlang offline – erst seit dem 31. Juli ist es wieder auf allen Kommunikationswegen erreichbar. Ein herausfordernder Kraftakt war das.

Die Kriminellen haben sich sehr aktiv Zutritt zu unseren Systemen verschafft.

Jetzt, wo die Systeme auch „nach außen“ wieder geöffnet sind, ist über die möglichen Täter und ihre Motive vieles noch ungeklärt. Schnell nach der Attacke sei allerdings klar gewesen, dass es sich nicht um einen willkürlichen, sondern um einen gezielten Angriff handelte, erklärt das Krankenhaus in einem ausführlichen Rückblick auf die vergangenen Wochen. Viel Know-how und aufwendige maschinelle Unterstützung sowie viel kriminelle Energie seien dafür erforderlich gewesen. „Die Kriminellen haben sich sehr aktiv Zutritt zu unseren Systemen verschafft“, heißt es.

Ein Fehler eines Beschäftigten, etwa durch versehentliches Öffnen einer schädlichen E-Mail, sei als Ursache schnell ausgeschieden, wird betont. Die Daten des Krankenhauses seien verschlüsselt worden, Schadsoftware hätten die Täter nicht eingeschleust. Auch Lösegeldforderungen habe es nicht gegeben, teilt das Haus auf Anfrage von kma mit. Die Ermittlungen, ob Daten entwendet wurden, seien noch nicht beendet – folglich gebe es dazu „noch keine abschließenden Erkenntnisse“.

Alle relevanten Abläufe auf Papier umgestellt

Die Auswirkungen des Angriffs haben das kommunale Haus, das dem Landkreis Miesbach gehört, in allen gewohnten Abläufen massiv beeinträchtigt. Allerdings habe sich das Ausfallsystem bewährt, heißt es. Sofort sei etwa ein Koordinierungsstab gegründet worden, der noch am 16. Juni und anschließend dreimal täglich tagte. Trotz Totalausfalls des kompletten Systems sei das Krankenhaus innerhalb von 36 Stunden wieder sehr gut und nach 48 Stunden dann voll handlungsfähig gewesen, da man alle relevanten Abläufe analog auf Papier umgestellt habe.

Mehr zum Thema:

Die internen Systeme seien sofort vom Internet getrennt worden, und der Koordinierungsstab habe mit internen und externen IT-Spezialisten sowie den zuständigen Behörden an einer Lösung gearbeitet. Glück im Unglück: Durch seine Datensicherungsstrategie habe das Krankenhaus, das rund 1200 Beschäftigte zählt, Offline-Backups mit einem Datenstand vom Sonntag vor dem Vorfall gehabt. Dadurch habe schon nach kurzer Zeit mit der Wiederherstellung der Systeme begonnen werden können.

Zudem sei jedes System einzeln geprüft und gegebenenfalls bereinigt worden, erklären die Verantwortlichen. Dazu gehörten auch alle einzelnen PC und Notebooks. Nach 48 Stunden habe sich das Haus, das jährlich rund 18 000 Patienten stationär und rund 30 000 ambulant behandelt, bei der Rettungsleitstelle wieder vollumfänglich handlungsfähig gemeldet. Die wichtigsten Abläufe seien rasch so angepasst worden, „dass durchgängig eine sichere Patientenversorgung gewährleistet war“. Durch neu angeschaffte Laptops seien nahezu alle Bereiche und Stationen zumindest mit einem Gerät ausgestattet worden.

Die Mitarbeiter konnten nach vier Wochen wieder intern mit Outlook kommunizieren.

Benjamin Bartholdt
Krankenhaus Agatharied
Benjamin Bartholdt ist Vorstand des Krankenhauses Agatharied.

Die Wiederherstellung der Systeme sei planmäßig gelaufen, erklären die Verantwortlichen weiter. Die 200 Server seien zunächst schrittweise und nach sechs Wochen vollständig in Betrieb gegangen. Ab diesem Zeitpunkt sei das Krankenhausinformationssystem wieder verfügbar gewesen. Bei der Wiederherstellung habe die höchste Priorität immer auf den medizinischen und pflegerischen Systemen gelegen: „Die Mitarbeiter konnten nach vier Wochen wieder intern mit Outlook kommunizieren und hatten Zugriff auf die Daten auf den entsprechenden Laufwerken.“

„Genesungsphase“ dauert noch an

Seit dem 31. Juli sei sein Haus nun „unter Einsatz zusätzlicher Sicherheitsmaßnahmen wieder mit dem Internet verbunden“, sagt Benjamin Bartholdt. Allerdings werde „die Genesungsphase“ noch einige Tage in Anspruch nehmen: „Wir warten zum Beispiel noch auf die Lieferung von zusätzlichen Arbeitsplätzen.“

Nach allen Sicherheits-Scans werde zudem engmaschig beobachtet, ob weitere Angriffsversuche erfolgen, „und wir hoffen, dass wir alle schädlichen Bestandteile mit unserer OP wirklich vollständig entfernen konnten“, so der Vorstand: „Nach gemeinsamer Betrachtung unserer IT und der Abarbeitung der Checklisten unserer externen Experten sind wir aber guter Dinge.“ Zudem werde sich das Team im Laufe der kommenden Wochen mit der Weiterentwicklung des „bisher ohnehin schon guten“ Präventionsprogramms befassen.

Krankenhaus Agatharied/koj

Das könnte Sie auch interessieren

Kommentare

Sortierung

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!

    Jetzt einloggen

Aktuelle Ausgaben