"Cyber-Mafia" nimmt zunehmend Krankenhäuser ins Visier

Nürnberg - Laborbefunde, Röntgenbilder, OP-Berichte, Medikationspläne, Arztbriefe, Abrechnungen – statt auf Papier werden im Gesundheitswesen immer mehr Patientendaten elektronisch erfasst und verwaltet. Das hat Vorteile, birgt aber auch Risiken.

Ein einziger Mausklick genügte: Im Lukaskrankenhaus in Neuss öffnete ein Mitarbeiter den Anhang einer E-Mail mit dem Betreff "Rechnung". Rasend schnell verbreitete sich dadurch ein Schadprogramm, das alle Krankenhausdaten verschlüsselte. Plötzlich waren wieder Papier und Stift angesagt. 500 Rechner und 150 Server mussten abgeschaltet, viele Operationen verschoben werden.

Die unbekannten Hacker forderten Lösegeld – für eine Software, mit der man die Daten wieder entschlüsseln und lesbar machen kann. Das Haus zahlte nicht, weil die Daten kurz zuvor gesichert worden waren. Aber es kostete Zeit und viel Geld, bis alle Systeme wieder hochgefahren und die Sicherheitsvorkehrungen verstärkt waren.

Mehrheit der Krankenhäuser schon Opfer eines Angriffs

Nicht immer dringen solche Vorfälle an die Öffentlichkeit, betroffene Kliniken fürchten um ihre Reputation. Aber nach einer Umfrage der Unternehmensberatung Roland Berger vom Mai 2017 waren bereits zwei Drittel der deutschen Krankenhäuser schon einmal Opfer eines Cyberangriffs.

"Unsere Firewall steht täglich unter Druck, sie hat schon unzählige Attacken erfolgreich abgewehrt", meint Dr. Manfred Criegee-Rieck, Leiter der Abteilung Informationsverarbeitung im Klinikum Nürnberg. Beruhigt ist er trotzdem nicht, denn die Cyber-Kriminalität nimmt ständig neue Dimensionen an. "Wir haben es nicht mehr mit jungen Leuten zu tun, die mit vorgefertigten Programmen herumexperimentieren, um Sicherheitslücken von Unternehmen aufzutun", meint er. "Das sind absolute Profis, die Datendiebstahl als Geschäftsmodell betreiben." Netze attackieren, Daten rauben und verschlüsseln, Geld ober besser Bitcoins erpressen - so geht die "Cyber-Mafia" inzwischen global zu Werke.

Manipulierte Mitarbeiter

Die Angreifer verschwenden dabei meist gar keine Energie darauf, ein Schlupfloch in der Firewall zu finden. Stattdessen werden zum Beispiel über Facebook, Twitter oder E-Mail immer wieder Kontakte zu Mitarbeitern der anvisierten Unternehmen geknüpft. Teils mit vorgetäuschten Identitäten sollen Beschäftigte am Ende dazu gebracht werden, bewusst oder unbewusst gegen ihr Unternehmen zu agieren. "Social Engineering heißt diese manipulative Taktik, die oft genutzt wird, um in fremde Computersysteme einzudringen und vertrauliche Daten einzusehen", meint Thomas Meyer, EDV-Leiter der Kliniken Dr. Erler.

Regelmäßige Schulungsprogramme für die Mitarbeiter sind deshalb ein wichtiger Mosaikstein, um Angriffe auf Krankenhausnetzwerke abzuwehren. Aber nur einer. Es bedarf ausgeklügelter Sicherheitskonzepte, die meist selbst entwickelt und angepasst werden müssen. "In einem Krankenhaus läuft es nicht wie in einem Privathaushalt. Auf Testumgebungen, die abgeschottet vom Tagesgeschäft laufen, werden bei uns neue Produkte auf Herz und Nieren geprüft, bevor sie ins Krankenhaus-System eingespielt werden", meint Criegee-Rieck.

Mehrere Server, die bei Ausfall sofort Aufgaben übernehmen können, bilden ebenfalls einen wichtigen Sicherheitspuffer. Außerdem gibt es innerhalb des Hauses streng voneinander abgeschottete Netze: Die Verwaltung, die Medizin sowie der Bereich Technik/Medizinprodukte sind jeweils individuell geschützt. Die Rechenzentren sind zudem streng gesichert, es ist genau geregelt, wer Zugang bekommt und wer nicht.

Visite mit dem Laptop

Die Erler-Klinik geht in ihrem Reha-Zentrum gleich gegenüber dem Krankenhaus am Kontumazgarten bereits den nächsten Schritt in Richtung papierarmes Arbeiten und mehr Digitalisierung. Dort machen die Ärzte bei Privatpatienten eine "mobile Visite." Sie dokumentieren die Patientendaten via WLAN auf dem Laptop.

Die Daten der Patienten bleiben in beiden Kliniken im Haus und werden nicht in einer Cloud gespeichert. Die Kommunikation für die Abrechnung mit den Krankenkassen erfolgt auf speziell gesichertem elektronischen Weg. Arztbriefe dagegen verschickt die Erler-Klinik nach wie vor nur mit der Post. Es soll so wenig elektronische Schnittstellen wie möglich nach außen geben.

Kosten in Millionenhöhe

Beide Häuser warten jetzt auf Details für den "Branchen-Standard", den das IT-Sicherheitsgesetz vorgibt. Es verpflichtet Unternehmen mit einer sogenannten "kritischen Infrastruktur" zu einer Absicherung der IT-Systeme nach dem "Stand der Technik". Betroffen sind davon insbesondere Krankenhäuser, die mindestens 30.000 vollstationäre Patienten im Jahr versorgen.

Die Erler-Klinik wäre demnach nicht in der Pflicht, will aber bereits jetzt schon alle notwendigen Vorbereitungen treffen, um auf dem aktuellen Stand der Technik zu bleiben. 120.000 Euro hat das stiftungsgeführte Krankenhaus allein im vergangenen Jahr für IT- und Datensicherheit investiert. "Auf diesen Kosten werden wir sitzenbleiben, weil es dafür im Gesundheitswesen bislang keine Finanzierung gibt", kritisiert Anja Saemann-Ischenko, Sprecherin der Kliniken Dr. Erler.

Manfred Criegee-Rieck schätzt, dass das Klinikum Nürnberg mit seinen rund 100.000 vollstationären Patienten im Jahr für den neuen "Stand der Technik" rund 2,4 Millionen Euro investieren muss, Folgekosten noch nicht eingerechnet. "Aber das ist keine verlässliche Größe, da wir ja die konkreten Anforderungen des künftigen Branchen-Standards noch nicht kennen."

Am 25. Mai tritt außerdem die Europäische Datenschutzgrundverordnung (EU-DGSVO) in Kraft. Hier können sich Krankenhäuser einigermaßen entspannt zurücklehnen: Schon seit jeher werden Patienten bei der Aufnahme um ihr Einverständnis zur Speicherung und Verarbeitung ihrer Daten gebeten. Trotzdem wird die DGSVO den Kliniken noch genug andere Details bescheren, die künftig neu oder stärker zu beachten sind.

Neben einer eventuell nötigen technischen "Aufrüstung" müssen die Krankenhäuser auch eine Kontaktstelle für IT-Sicherheitsfragen rund um die Uhr unterhalten und "erhebliche Störungen" an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.