Wenn gegen Viren kein Medikament hilft: Befallene Rechner in Kliniken Von Elke Richter, dpa

Ausgespähte Patientendaten sind die eine Gefahr, ein IT-Ausfall bei
einer komplizierten Operation die andere: Die digitale Infrastruktur
in Krankenhäusern ist hoch sensibel. Umso schlimmer, wenn die Häuser
Opfer von Cyber-Kriminellen werden.

München (dpa) - Patientendaten, Diagnosen, Medikation - all das wird
in Krankenhäusern schon lange nicht mehr per Hand in Papierakten
geschrieben. Doch das ist längst nicht der einzige Bereich, in dem
IT-Lösungen eine wichtige, wenn nicht gar entscheidende Rolle in
einer Klinik spielen. So führen Chirurgen heute per Steuerkonsole die
Bewegungen von OP-Robotern, hoch spezialisierte Experten werden per
Video zugeschaltet, Daten von Herzschrittmachern und Insulinpumpen
per WLAN übertragen. Die Gefahr: Jedes IT-System ist angreifbar.
Gerade im Krankenhaus kann dies fatale Folgen haben.

«Die Frage ist nie, ob bestimmte Ziele mal angegriffen werden,
sondern wann», betont Wolfgang Hommel, Professor für IT-Sicherheit an
der Universität der Bundeswehr München. «Wenn der Angreifer dadurch
an Ressourcen kommt, die er sinnvoll verwenden kann, etwa um Lösegeld
zu erpressen oder die befallenen Maschinen für andere Angriffe zu
verwenden, wird er es machen.» Letztlich geraten in Kliniken dadurch
Menschenleben in Gefahr. Hommel koordiniert deshalb ein vom
bayerischen Gesundheitsministerium gefördertes Projekt, das
Handreichungen und Musterlösungen für Krankenhäuser erarbeiten soll.


Denn was in vielen Unternehmen an Sicherheitsmaßnahmen
selbstverständlich ist, geht im hektischen Klinikalltag oft genug
unter: Passwörter kleben an Bildschirmen und sind selten komplex.
Ärzte sperren den Computer nicht, wenn sie das Behandlungszimmer
wechseln. Schwestern lassen Tablets auf ihren Wagen im Gang liegen,
während sie im Zimmer einem Patienten helfen. Die Patienten wiederum
bringen USB-Sticks mit Röntgenbildern mit, die ohne Zögern ausgelesen
werden. Softwareupdates? Später, aber bitte nicht jetzt.

Dabei hatte schon eine 2017 veröffentlichte Studie der
Unternehmensberatung Roland Berger ergeben, dass zwei Drittel aller
Häuser Opfer eines Angriffs geworden waren. Mit teils gravierenden
Folgen: geschlossene Notaufnahmen, verschobene Operationen,
Botengänge statt Mausklicks. In Bayern erwischte es Mitte November
das Kreisklinikum in Fürstenfeldbruck bei München heftig.

Generell lassen sich die Auswirkungen eines Cyber-Angriffs in drei
Kategorien unterteilen. Die Verfügbarkeit ist betroffen, wenn Systeme
nicht mehr funktionieren. Aktuell ist das meist durch sogenannte
Ransomware der Fall. Die Schadprogramme, die in der Regel über
infizierte Mails verbreitet werden, können Rechner in einem Netzwerk
verschlüsseln. Die Täter, die hinter der Ransomware stecken,
verlangen dann ein Lösegeld, um sie wieder zu entschlüsseln. Doch
selbst wenn Lösegeld gezahlt wird, bleiben die Daten oft unbrauchbar.

Die Vertraulichkeit wird beschädigt, wenn Daten geklaut werden. Da
geht es zum einen um Interna wie Gehaltsabrechnungen, Verträge mit
Zulieferern oder E-Mail-Wechsel. Zum anderen geht es in Kliniken auch
um hochsensible Patientendaten. «Diese Daten sind wertvoll, weil sie
verkauft werden können. Im Zeitalter von Big Data ist es für
Versicherungen oder die Gesundheitsindustrie natürlich interessant,
viele Daten über Krankheitsfälle zu sammeln und sie automatisch zu
analysieren», erläutert Nabil Alsabah vom IT-Dachverband Bitkom.
Zudem könne es nicht nur für Promis, sondern auch für Privatpersonen

höchst unangenehm werden, wenn die eigene Krankengeschichte publik
werde.

Die dritte Dimension ist die Integrität: Informationen können
grundsätzlich nicht nur ausgespäht, sondern auch manipuliert werden.
Die Experten befürchten, dass Angreifer direkt in die Systeme
eingreifen und zum Beispiel die in der Patientenakte gespeicherte
Medikation verändern könnten - «mit einem Schaden bis hin zum
indirekten Mord, weil man etwas hinzufügt, was der Betroffene nicht
verträgt», wie Hommel schildert.

Bislang scheinen Krankenhäuser stets zufällig Opfer von Hackern
geworden zu sein. Noch sei kein einziger Fall bekannt, bei dem
Kliniken und deren medizinische Geräte gezielt angegriffen oder
Patientendaten gestohlen worden seien, berichtet Thorsten Schütz,
Vorstandsmitglied im Bundesverband der
Krankenhaus-IT-Leiterinnen/Leiter. Doch nachdem Kriminelle selten
Skrupel haben, dürfte es nur eine Frage der Zeit sein, bis sie es
zumindest versuchen.