Ein Cyberangriff wie zum Beispiel zuletzt auf die Gesundheit Nord hat für das Management eines Krankenhauses gravierende Auswirkungen auf mehreren Ebenen – und diese dauern teilweise viel länger an, als manchen bewusst ist.

In akuten Geschehen steht natürlich die Unterbrechung des Betriebs im Vordergrund. Ein schwerwiegender Cybersicherheitsvorfall beeinträchtigt den normalen Betrieb eines Krankenhauses massiv, Systeme wie elektronische Patientenakten, medizinische Geräte oder Kommunikationsnetzwerke können betroffen sein. Dies kann zu entsprechenden Ausfällen und einer vorübergehenden Unfähigkeit führen, lebenswichtige Informationen abzurufen oder Dienstleistungen zu erbringen. Eine effiziente Patientenversorgung ist so meist nicht mehr möglich.

In dieser Phase konzentriert sich alles auf Schadensminimierung, in der Regel durch Abschaltung der meisten Systeme, was zunächst einmal die Betriebseinschränkung noch verschlimmert. Schon die sofort einsetzende Analyse des Schadensausmaßes und die Wiederherstellung eines Notbetriebes kann hier Zeiten zwischen wenigen Tagen und mehrere Wochen betragen – wohl dem, der sich vorbereitet hat und „disaster recovery“ – Pläne nicht nur entwickelt, sondern auch geübt hat.

Der Ruf leidet

Parallel dazu stehen sehr schnell die Themen Rufschädigung und Vertrauensverlust auf der Agenda – und die Krisenkommunikation. Ein IT-Sicherheitsvorfall kann über die akute Situation hinaus die Sicherheit und Privatsphäre der Patienten gefährden. Wenn Hacker Zugriff auf Patientendaten erhalten, können vertrauliche Informationen wie medizinische Aufzeichnungen, Versicherungsdaten oder persönliche Identifikationsmerkmale gestohlen oder manipuliert werden. Dies kann zu Identitätsdiebstahl, medizinischem Betrug oder anderen Formen des Missbrauchs führen. Der Vertrauensverlust ist dabei nicht auf das Verhältnis zu Patient*innen begrenzt, sondern beeinträchtigt auch das Vertrauen der Mitarbeitenden und der Öffentlichkeit in das Krankenhaus.

Die aus gesetzlichen Vorgaben heraus unvermeidbare Offenlegung von Datenschutzverletzungen und die damit offenbarte Unfähigkeit, angemessenen Schutz zu bieten, kann den Ruf des Krankenhauses nachhaltig schädigen. Dies kann sich auf die Patientenbindung, die Bereitschaft von Mitarbeitenden, im Krankenhaus zu arbeiten, und die öffentliche Wahrnehmung der Qualität der angebotenen Dienstleistungen auswirken.

Enorme Ressourcen und Investitionen nötig

Darüberhinaus kommt das Thema Kosten und rechtliche Konsequenzen auf den Tisch: Ein Sicherheitsvorfall kann erhebliche finanzielle Auswirkungen haben. Die Wiederherstellung von Systemen, die Untersuchung des Vorfalls, die Bereitstellung von Notfallmaßnahmen und die Stärkung der Sicherheitsinfrastruktur erfordern immense Ressourcen und Investitionen. Rechtliche Konsequenzen wie Bußgelder, Schadenersatzforderungen von betroffenen Patienten oder behördliche Untersuchungen können noch on top kommen.

Und auch wenn das Krankenhaus nach einiger Zeit wieder zum Normalbetrieb zurückgekehrt zu sein scheint, sieht das hinter den Kulissen oft noch lange ganz anders aus. Je nach Umfang der festgestellten Mängel stehen Arbeiten an der Systemlandschaft an, die sich nicht selten über mehrere Jahre hinziehen. Bedingt durch die Heterogenität und Vielzahl der Systeme, die dadurch erforderliche hohe Anzahl von Schnittstellen und eine durch jahrelang vernachlässigte Konzeptionsarbeit unzureichend dokumentierter Gesamtsicht (oft beschönigend als „historisch gewachsen“ bezeichnet) sind grundlegende und schnelle Umbauarbeiten meist gar nicht möglich.

Die Re-Organisation von Prozessen und Strukturen benötigt aufgrund der auch hier bestehenden Komplexität eher Jahre als Monate. Das alles im laufenden Betrieb realisieren zu müssen überfordert viele Krankenhäuser – die oftmals kaum die Ressourcen für den Routinebetrieb haben. Der immer stärker spürbare Fachkräftemangel verschärft das Problem zusätzlich.

Pflicht oder Kür?

Angesichts dieser Risiken ist es für das Management eines Krankenhauses wichtig, frühzeitig umfassende Maßnahmen zur Cybersicherheit zu ergreifen und die Vorgaben aus IT-Sicherheitsgesetzen und der Kritis-Verordnung nicht als lästige Pflicht anzusehen, die mit möglichst geringen Ressourceneinsatz bedient wird. Dazu gehören die Implementierung von Sicherheitsrichtlinien und -verfahren, regelmäßige Überprüfung und Aktualisierung von Systemen und Schulungen der Mitarbeitenden zur Sensibilisierung für Cybersicherheit. Hinzu kommen Überwachung und Erkennung von Bedrohungen sowie die Zusammenarbeit mit Experten und Behörden, um die eigene Reaktionsfähigkeit auf Sicherheitsvorfälle zu verbessern.

IT-Sicherheit ist daher definitiv eine Aufgabe für das Krankenhaus-Management – und kann nicht einfach an die IT-Abteilung, oder die Stabsstelle Informationssicherheit wegdelegiert werden.