Fürther Klinikum muss sich vor Cyber-Angriffen schützen

FÜRTH - Terroranschläge, Naturkatastrophen, Cyber-Attacken: Kliniken müssen sich für solche Gefahren besonders gut wappnen, damit im Notfall die medizinische Versorgung nicht zusammenbricht. Immer wichtiger wird der Schutz der IT – auch am Fürther Klinikum, das 2016 einen Hacker-Angriff noch glimpflich überstand.

Das Lukaskrankenhaus in Neuss wurde im Februar 2016 besonders stark getroffen: Ein Computervirus legte die IT-Systeme lahm. Plötzlich musste das Personal wieder arbeiten wie vor 15 Jahren, berichtete eine Krankenhaus-Sprecherin damals. Es wurde gedruckt und gefaxt, Befunde wurden mit dem Boten übermittelt.

Wenige Tage später wurde auch das Fürther Klinikum Opfer einer Cyber-Attacke. Zum Glück dauerte der Spuk hier nicht lange. Viereinhalb Stunden waren die Abläufe im Krankenhaus massiv gestört, während die IT-Experten versuchten, Schlimmeres zu verhindern und die Daten wiederherzustellen. Dank regelmäßiger Kopien (Backups) hielt sich der Verlust in Grenzen. Patientendaten waren nach Angaben des Klinikums nicht betroffen, da sie besonders geschützt sind. Im Dezember 2019 gab es erneut eine IT-Attacke auf das Klinikum Fürth. 

Der Auslöser: Wie in Neuss hatte ein Mitarbeiter den Anhang einer nicht vertrauenswürdigen E-Mail geöffnet und die Schadsoftware – im Fürther Fall den Trojaner TeslaCrypt – freigesetzt. Die Hacker versuchten, damit Geld zu erpressen, was ihnen nicht gelang.

Den Vorfall haben die IT-Experten im Fürther Klinikum noch lebhaft in Erinnerung. Sie wissen, dass Firewalls und Virenscanner zuverlässig unzählige Angriffsversuche abwehren – und Hacker deshalb mehr und mehr versuchen, eine Sicherheitslücke an anderer Stelle zu nutzen: den Menschen, der in die Falle tappt und den E-Mail-Anhang anklickt, weil er etwa dem Betreff "Bewerbung" vertraut. "Der Mensch ist das schwächste Glied, er macht Fehler", sagt Gerald Tengler, Leiter der IT-Abteilung des Klinikums. Das Personal zu sensibilisieren und zu schulen, sei deshalb so wichtig – neben immer ausgeklügelteren Sicherheitssystemen.

Tengler und seine Kollegen sind dafür zuständig, die IT des Klinikums immer besser zu schützen. Das Fürther Haus muss künftig wie alle größeren Krankenhäuser in Deutschland besonders hohen Anforderungen genügen. Kliniken mit mindestens 30.000 vollstationären Patienten im Jahr (Fürth: 42.000) zählt die Bundesregierung wie beispielsweise auch Energie- oder Wasserversorger zu den sogenannten "kritischen Infrastrukturen": Weil von ihnen viele Menschenleben abhängen, sollen sie bei Stromausfällen oder Cyber-Angriffen eine Grundversorgung aufrechterhalten können. Die sogenannte KRITIS-Verordnung, die im Juni 2017 in Kraft trat, verpflichtet 110 Krankenhäuser, binnen zwei Jahren eine ausreichende Absicherung ("Stand der Technik") nachzuweisen.

Wie im Kalten Krieg

Bereits jetzt müssen die Kliniken Störungen ans BSI (Bundesamt für Sicherheit in der Informationstechnik) melden. Werden an zwei Standorten ähnliche Vorfälle registriert, warnt das Amt die anderen Krankenhäuser und gibt Handlungsanweisungen. "Das Schlimmste wäre, wenn mehrere Krankenhäuser betroffen wären. Wir müssen deshalb auch bestätigen, die Warnung bekommen zu haben", sagt René Klinger, Kaufmännischer Leiter des Fürther Klinikums. Die immer komplexeren Sicherheitsvorkehrungen lassen ihn an den Kalten Krieg denken: Notfallpläne und Abläufe müssen ausgedruckt greifbar sein, "das papierlose Krankenhaus ist Geschichte". Wenn die IT ausfällt, muss es mit Stiften, Faxgeräten und Telefonen weitergehen.

Um den Schaden bei Sabotagen zu verringern, arbeiten sie daran, die IT-Struktur "in lauter kleine Inseln" zu zerlegen, erzählen IT-Chef Tengler und seine Kollegen Sven Lenart und Josef Spichtinger. So dass etwa ein Virus, der die Verwaltung trifft, ohne Folgen für die OP-Säle bleibt. Fällt ein Rechenzentrum aus, springt das zweite ein. Patientendaten wiederum, betont Lenart, sind besonders gesichert: "Sie sind noch da, auch wenn die IT gekappt ist."

Wer zahlt das alles?

Einen Risikobeauftragten hat das Klinikum bereits, bald wird noch ein eigener IT-Sicherheitsbeauftragter eingestellt, erzählt Klinger. Als Kaufmännischen Leiter treibt ihn die Frage besonders um, wer die immer höheren Investitionen bezahlt. Hier sei die Politik gefordert, zu helfen. Denn viele Krankenhäuser seien Altbauten, mit einer älteren Infrastruktur als viele Unternehmen. Heute gebe das Fürther Klinikum schon zwei Millionen Euro im Jahr für den Schutz der IT aus. Nach KRITIS-Bestimmungen muss es künftig mehr als das Doppelte sein, so Klinger.