Kliniken, auch in der Region, sind täglichen Hacker-Angriffen ausgesetzt.

Kriminalität : „Bislang haben wir Glück gehabt“

Kliniken, auch in der Region, sind täglichen Hacker-Angriffen ausgesetzt. Der Aufwand, sich davor zu schützen, wird immer größer.

Wenn Wolfgang Barth berichtet, wie er und seine Mitarbeiter versuchen, die täglichen Hacker-Angriffe auf Einrichtungen der Marienhaus GmbH abzuwehren, dann hat das schon etwa von Hase- und Igel-Spiel. Zu der Gruppe gehören unter anderem die Kliniken in Bitburg, Hermeskeil und Gerolstein. Immer dann wenn eine Sicherheitslücke geschlossen ist, dann haben die Kriminellen schon wieder eine neue Schadsoftware, mit denen sie versuchen, in die sensiblen Krankenhaussysteme zu kommen. Entweder um Daten und Passwörter abzugreifen. Oder um das komplette Computersystem einer Klinik lahmzulegen, um den Träger zu erpressen. So wie kürzlich beim Deutschen Roten Kreuz Süd-West. Rund 20 Einrichtungen des Trägers in Rheinland-Pfalz und im Saarland waren von dem Angriff betroffen. Kriminelle hatten einen Trojaner, also eine Schadsoftware, in das Computersystem der Trägergesellschaft eingeschleust und damit das komplette System lahmgelegt. Server und Datenbanken wurden dadurch verschlüsselt und Mitarbeiter konnten nicht mehr darauf zugreifen. Die Patientenaufnahme musste dann zeitweise mit Kugelschreiber und Papier stattfinden.

Die Arbeitsabläufe in den Kliniken müssten so sein, dass bei einem solchen Angriff nicht der komplette Betrieb zusammenbreche und Patienten nicht mehr behandelt werden könnten, sagt Barth. Dazu gehöre eben auch, dass wichtige Daten auch auf Papier zur Verfügung stünden und dass medizinische Behandlungen, wie etwa Operationen, auch ohne digitale Unterstützung möglich sein müssten. Barth berichtet von Hacker-Angriffen auf Kliniken, bei denen unter anderem die mit dem Computersystem verbundenen Waschmaschinen zur Reinigung und Sterilmachung von OP-Besteck teilweise lahmgelegt wurden. Dadurch hätten keine Operationen mehr durchgeführt werden können. „Bisher“, sagt Barth, „haben wir Glück gehabt.“ Aufgrund der Sensibilität der Mitarbeiter, die nicht einfach jeden Mailanhang öffneten und entsprechenden Sicherheitsvorkehrungen, hätten die allermeisten Hacker-Angriffe abgewehrt werden können.

Auch aus dem Trierer Mutterhaus: „Bis jetzt ist auf Grund unserer Sicherheitsmaßnahmen kein Schaden entstanden“, sagt eine Sprecherin der Klinik. Auch sie berichtet von täglichen Versuchen, in das Computersystem der Klinik einzudringen. Als Betreiber einer sogenannten kritischen Infrastruktur sei das Mutterhaus verpflichtet, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme“ zu treffen. „Für unser Klinikum besteht die Herausforderung darin, sich den Anforderungen zu stellen und alle Beschäftigten daran zu beteiligen, zu einem höheren Informationssicherheitsniveau beizutragen.“ Aus diesem Grund gebe es neben einem Datenschutzbeauftragten auch einen Informationssicherheitsbeauftragten. Doch trotz ständiger Schulungen und Sensibilisierung der Mitarbeiter, trotz Filtersystemen, mit denen etwa kritische Mails abgewehrt werden sollen, trotz Firewalls und Virenscanner gebe es keine hundertprozentige Sicherheit, sagt die Mutterhaus-Sprecherin.

Diese Sicherheit wird es nach Ansicht des Präsidenten des Landesärztekammer, Günther Matheis, wohl nie geben. „Denn die Hacker sind sehr kreativ und finden auch kleinste Schlupflöcher. IT-Sicherheit darf sich deshalb nicht nur auf Investitionen in die technische Infrastruktur begrenzen, sondern muss auch personell Kapazitäten ermöglichen.“ Und genau daran scheitere es vor allem in kleineren Kliniken. Der Cyberangriff auf die DRK-Einrichtungen in Rheinland-Pfalz und im Saarland seien möglich gewesen, weil ein E-Mail-Anhang, „den man nicht öffnen sollte“, trotzdem geöffnet worden sei. „Also gewissermaßen aus Hacker-Sicht ein gewünschtes, menschliches Versagen“, sagt Matheis. Besonders anfällig für Hacker-Angriffe seien Klinikzusammenschlüsse wegen ihrer Vernetzung. „Andrerseits“, so Matheis, „haben Kooperationen gerade für kleine Häuser den Charme, dass sie sich bei der IT-Sicherheit verbünden und so geschlossen Abwehrmaßnahmen aufbauen können.“

Der Vorfall in den DRK-Einrichtungen zeige, wie verwundbar die Krankenhäuser mit der zunehmenden Digitalisierung ihrer Abläufe seien, sagt der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann. Informationstechnik sei in den Krankenhäusern für eine zeitgemäße Patientenversorgung unverzichtbar. „ „IT-Strukturen und Patientendaten müssen über eine ausreichende Widerstandsfähigkeit gegenüber Cyber-Attacken und einen angemessenen Schutz verfügen“, sagte Kugelmann gestern nach einer Expertenrunde im rheinland-pfälzischen Gesundheitsministerium. Auf Einladung von Gesundheitsministerin Sabine Bätzing-Lichtenthäler (SPD) diskutierten IT-Experten und Klinik-Vertreter über die Datensicherheit in Krankenhäusern.

Ohne ausreichenden Schutz drohten Schäden für die Gesundheit und den Datenschutz von Patienten und wirtschaftliche Schäden, sagte Kugelmann. Die Ministerin fordert vom Bund ein Sofortprogramm zur IT-Sicherheit in Krankenhäusern. „Gerade auch kleinere Krankenhäuser im ländlichen Raum sind für die Versorgung der Bevölkerung in hohem Maße relevant und müssen in der Lage sein, Angriffe auf die IT abzuwehren, die Patientenversorgung aufrechtzuerhalten und sensible Patientendaten zu schützen“, so Bätzing-­Lichtenthäler.

Georg Baum, Hauptgeschäftsführer der Deutschen Krankenhausgesellschaft, schätzt, dass die Kliniken allein für IT-Investitionen jährlich rund eine Milliarde Euro benötigten würden.

Mehr von Volksfreund