Ransomware im Krankenhaus – so lief der Angriff
Das Lukaskrankenhaus in Neuss wurde Opfer eines Angriffs mit einem Erpressungstrojaner. Der Geschäftsführer berichtet.
CW: Bitte beschreiben Sie kurz, was Anfang 2016 vorgefallen ist!
KRÄMER: Der Angriff ereignete sich am 10. Februar 2016 – am Aschermittwoch. Am frühen Morgen war es zunächst in den bildgebenden Systemen unserer Radiologie zu auffälligen Verzögerungen gekommen. Wenig später tauchte auf einem der ersten Endgeräte eine Nachricht der Cyber-Kriminellen auf, dass unser Krankenhaus gehackt worden sei.
Wir haben daraufhin einen Krisenstab ins Leben gerufen, dessen erste Entscheidung darin bestand, alle IT-Systeme des Lukaskrankenhauses herunterzufahren. Wir wollten zum einen eine Ausbreitung des Virus verhindern, zum anderen unsere hochsensiblen Patientendaten vor unbefugten Zugriffen von außen schützen. Nachdem wir festgestellt hatten, dass es eine sogenannte RansomwareAttacke war, haben wir die Polizei eingeschaltet. Das Landeskriminalamt aus Düsseldorf war zu Spitzenzeiten mit 16 Cybercops hier. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist ebenfalls schnell gekommen und wir hatten verschiedene IT-SecurityFirmen vor Ort. Gemeinsam ist es nach einigen Tagen gelungen, das Virus unschädlich zu machen. Die Auswirkungen auf den Medizinbetrieb waren dennoch fatal. Wenn man als eines der Vorzeige-Krankenhäuser in Sachen Digitalisierung von jetzt auf gleich von Automatik auf Handbetrieb umschalten muss, dann verändern sich natürlich die Prozesse und Abläufe um die OP-Säle herum, aber auch auf den Stationen.
CW: Wissen Sie, um welche Ransomware es sich gehandelt hat?
KRÄMER: Es war weder WannaCry noch Petya – die verbreiteten sich beide erst später. Es ging zwar in die Richtung von WannaCry, aber der Virus hat keinen eigenen Namen bekommen. Es gab aber einige andere Krankenhäuser in Nordrhein-Westfalen, die gleichzeitig ebenfalls einen Cyber-Angriff über sich ergehen lassen mussten. Deshalb wurde damals ein Gesamtzusammenhang vermutet. Heute wissen wir aber, dass diese Angriffe höchstwahrscheinlich nicht zusammenhingen. Es war wohl ein Streu- und kein gezielter Angriff auf eine kritische Infrastruktur.
Interessanterweise gab es gleichzeitig einen weiteren Angriff, der mit dem auf das Lukaskrankenhaus sehr gut vergleichbar war, nämlich den auf das Presbyterian Medical Center
in Hollywood. Da waren die Auswirkungen ähnlich, aber auch da gab es keine besondere Bezeichnung für die Malware.
Der Verschlüsselungstrojaner hatte das Ziel, Patientendaten zu verschlüsseln. Dadurch, dass wir die Systeme schnell heruntergefahren und Backup-Lösungen eingesetzt haben, ist es dazu nicht gekommen.
CW: Über welchen Weg ist der Trojaner in Ihre Systeme gelangt?
KRÄMER: Über eine klassische Phishing-Mail in der Verwaltung.
CW: Welche Bereiche der IT waren von dem Trojaner betroffen?
KRÄMER: Betroffen war das komplette Krankenhausinformationssystem, also alle Geräte mit Ausnahme der Medizintechnik, die nicht mit dem Netz verbunden war.
CW: Wie lange hat es gedauert von der Aufdeckung des Angriffs bis zur Bildung eines Krisenstabs und zur Abschaltung der Systeme?
KRÄMER: Das ging relativ schnell innerhalb von einer halben Stunde. Als mich unser ITLeiter anrief und vorschlug, alle IT-Systeme herunterzufahren, war ich mir noch nicht sicher, dass das die richtige Entscheidung ist, weil mir das Ausmaß der Zerstörungskraft dieses Virus nicht bewusst war. Als er mir den Ernst der Lage verdeutlichte, entschieden wir uns dazu, einen Krisenstab zu bilden. Dort saßen wir ziemlich genau eine halbe Stunde später alle zusammen.
CW: Wer saß in diesem Stab?
KRÄMER: Die komplette Betriebsleitung, der Leiter der Notfallmedizin, unsere Juristin und zwei Pressesprecher. Das war das Kernteam. Zusätzlich gab es Experten, die wir zu bestimmten Themen immer wieder dazugeholt haben.
CW: 30 Minuten ist eine kurze Reaktionszeit. Hatten Sie sich auf so einen Fall vorbereitet?
KRÄMER: In Krankenhäusern muss man immer mit Notfällen rechnen – ob das die massenhafte Einlieferung von Verletzten ist oder ein sogenannter Gelb- oder Rot-Alarm in der Notaufnahme. Wir sind mit Krisensituationen also relativ geübt. Das sind dann meistens auch Situationen, bei denen Menschenleben auf dem Spiel stehen. Insofern haben wir eine gewisse Erfahrung.
Wir hatten zudem am 16. August 2014 – also eineinhalb Jahre vorher – eine Verfahrensanweisung auf den Weg gebracht, die regelt, was passieren muss, wenn der Strom oder die IT-Systeme ausfallen. Dadurch hatten wir einen groben roten Faden, der uns in der Situation geholfen hat. Durch den Cyber-Angriff ist kein Patient gestorben und auch die sensiblen Patientendaten wurden zu keinem Zeitpunkt kompromittiert.
CW: Waren Sie verpflichtet, diese Verfahrensanweisung zu entwickeln, oder haben Sie das von sich aus gemacht? KRÄMER: Das war unsere Initiative. Ich habe am 1. Juli 2014 als Geschäftsführer des Krankenhauses angefangen und wir hatten relativ schnell eine Krisensituation, die mir gezeigt hat, dass der Notfallplan noch nicht von allen gelebt wird. Wir hatten eine Schießerei hier im Haus und da hat es mit dem Notfallplan nicht so hingehauen.
Das haben wir damals zum Anlass genommen, uns intensiver damit zu beschäftigen und die Verfahrensanweisung, die schon vor meinem Einstand auf den Weg gebracht worden war, zu finalisieren. Ein wichtiger Aspekt dabei ist, dass die Abteilungsleiter den Notfallplan stets gegenwärtig haben.
CW: Wird der Notfallplan regelmäßig geprobt?
KRÄMER: Nach dem Ransomware-Angriff am 10. Februar 2016 haben wir das noch nicht wieder geprobt. Hin und wieder gibt es Übungen und Probealarme, auch in Zusammenarbeit mit der Feuerwehr.
Wir machen hin und wieder Penetrationstests oder ergreifen Maßnahmen, um die Awareness der Mitarbeiter zu prüfen. Aber dass wir den Krisenfall in der Weise trainieren, dass wir einen Tag die Patientenversorgung einstellen und eine Cyber-Attacke inklusive Bildung des Krisenstabs und der Entscheidungen, die getroffen werden müssen, proben, kriegen wir im Tagesgeschäft momentan einfach nicht gestemmt.
CW: Zurück zum Cyber-Angriff: Der Verschlüsselungstrojaner war eingedrungen und Sie haben die Systeme heruntergefahren. Wie ging es dann weiter?
KRÄMER: Nach der Abschaltung war ein großes Krankenhaus inklusive des Bereichs Nuklearmedizin, zwei Linearbeschleunigern und vier Herzkatheter-Messplätzen erst einmal im Offline-Betrieb. Jetzt galt es, die Mitarbeiter
darüber zu informieren, wie die alternativen Prozesse aussehen. Wir haben dann im Rahmen des Krisen-Managements großen Wert auf Kommunikation gelegt – gegenüber den Mitarbeitern, den Patienten und deren Angehörigen.
Wir mussten Operationen absagen und waren in den ersten 36 Stunden nicht in der Lage, Notfälle aufzunehmen. Danach konnten wir bis auf Herzinfarktpatienten und PolytraumaVerletzte, die also mindestens eine lebensgefährliche sowie weitere Verletzungen haben, die Notfallversorgung wieder aufnehmen.
CW: Der Blackout dauerte also 36 Stunden?
KRÄMER: Nein, der Blackout dauerte insgesamt fünf Tage. Am 15. Februar konnten wir langsam wieder mit dem Hochfahren unserer Systeme beginnen.
CW: Wie lange hat es danach gedauert, bis die Systeme wieder im Normalbetrieb liefen?
KRÄMER: Es hat etwa sechs Wochen gebraucht, bis 80 Prozent der IT wieder normal liefen. Die restlichen 20 Prozent haben sich dann über weitere Monate und teilweise sogar Jahre hingezogen. Dabei haben wir die Chance genutzt, bestimmte Systeme auf ein neues Niveau zu heben.
CW: Welche Rolle spielte Ihr Backup-System?
KRÄMER: Das war ganz wichtig, damit wir an die Daten wieder rankommen. Dabei mussten auch einige Teile über eine Data-Recovery-Firma wiederhergestellt werden, weil sich einige Systeme beim langsamen Wiederhochfahren gegenseitig zerschossen hatten.
Es ist ein großer Unterscheid, ob Sie Ihren Laptop zu Hause herunter- und wieder hochfahren oder ob es ein hochkomplexes Computernetz eines Krankenhauses ist. Das ist ein riesiger Flickenteppich an Systemen und Subsystemen. Da kann sich das eine oder andere auch mal verschieben oder kaputtgehen – genau das ist bei uns passiert.
CW: Waren die Backup-Daten auf dem neuesten Stand?
KRÄMER: Es wird jeden Tag ein Backup gemacht, so dass nur Daten verloren gegangen sind, die wenige Minuten vor dem Zwischenfall am Morgen eingegeben worden waren. Ab dem Blackout haben wir alles mit Papier und Bleistift dokumentiert. Eine ganz große Herausforderung bestand später darin, diese Daten wieder in die Systeme einzugeben. Das hat zu vielen Überstunden, Nacht- und Wochenendarbeit geführt.
CW: Wie lang hat es gedauert, die während des Blackouts entstandenen Papierdaten wieder zu digitalisieren?
KRÄMER: Es brauchte zwei Wochen Mehrarbeit in der Verwaltung, bis die fünf Tage aufgeholt waren.
CW: Können Sie abschätzen, was der Angriff das Krankenhaus insgesamt gekostet hat?
KRÄMER: Das war ziemlich genau eine Million Euro. Diese Schadensumme setzt sich vor allem aus Honoraren zusammen, die wir an IT-Sicherheitsfirmen gezahlt haben. Da waren gute dabei, aber auch weniger gute. Ein echter Erlösverlust ist uns nicht entstanden, weil wir einen großen Teil der ausgefallenen Operationen innerhalb von fünf Tagen nach dem Zwischenfall nachholen konnten, indem wir den regulären OP-Betrieb von 16 auf 20 Uhr verlängert haben.
CW: Welche Lehren haben Sie aus dem Angriff gezogen?
KRÄMER: In der Vergangenheit haben wir die Chancen der Digitalisierung in den Vordergrund unseres Handelns in der IT gestellt. Wir waren unter den ersten, die iPads eingeführt haben, um den Ärzten und Pflegekräften die Arbeit zu erleichtern. Zudem haben wir eine offene Bring-your-own-Device-Politik gefahren, so dass Ärzte hier auch mit ihrem persönlichen Notebook arbeiten konnten. Seit dem Angriff sehen wir auch die Risiken und Nebenwirkungen der Transformation. Wir haben ein neues Motto ausgegeben: „Sicherheit vor Funktionalität“. Wir haben außerdem eine große Awareness-Kampagne auf den Weg gebracht, um unsere Mitarbeiter noch mehr für den sicheren Umgang mit der IT zu sensibilisieren. Und wir haben zusammen mit einem E-Learning-Anbieter einen sogenannten IT-Führerschein entwickelt. Mitarbeiter, die hier mit IT zu tun haben, müssen einen zehn Fragen umfassenden Online-Test bestehen, um überhaupt mit der
IT arbeiten zu dürfen. Und schließlich haben wir in unsere technische Infrastruktur und ITSicherheitsarchitektur investiert. Neben regelmäßigen Penetrationstests haben wir unter anderem ein Sandbox-System implementiert, in dem verdächtige E-Mail-Anhänge geprüft und gegebenenfalls entschärft werden. Das heißt nicht, dass wir die Chancen der Digitalisierung nicht weiter nutzen, aber eben vorsichtiger und mit viel Gefühl für die Gefahren, die die Digitalisierung zweifelsohne mit sich bringt.
CW: Wie kommt diese neue Vorsicht bei den Mitarbeitern an?
KRÄMER: Natürlich gab es nicht nur Applaus, wenn Maßnahmen durchgesetzt worden sind, die die Funktionalität eingeschränkt haben. Auf der anderen Seite waren viele unserer Mitarbeiter 2016 von der IT-Krise betroffen und haben am eigenen Leib die Auswirkungen spüren müssen. Sie haben volles Verständnis dafür, dass wir unsere IT-Sicherheitspolitik noch einmal überdacht haben.
CW: Digitalisieren Sie Ihre Klinik jetzt mit angezogener Handbremse?
KRÄMER: Nein, ich bin nach wie vor ein großer Freund der Digitalisierung in der Gesundheitswirtschaft. Ich nenne Ihnen ein Beispiel: Alle 18 Rettungswagen bei uns im Rhein-Kreis Neuss sind mit telemedizinischen EKG-Geräten ausgestattet. Wenn also ein Patient mit Verdacht auf einen Herzinfarkt zu uns ins Lukaskrankenhaus gebracht wird, wird im Notarztwagen ein EKG geschrieben. Diese Daten werden telemetrisch in unsere „Chest Pain Unit“übertragen, wo sich die Mitarbeiter gezielt auf den einzelnen Patienten vorbereiten können. Dadurch ist die Sterberate um nicht weniger als 23 Prozent gesunken. Das ist ein messbarer Vorteil der Digitalisierung.
Wenn wir über IT-Sicherheit sprechen, stellt sich auch die Frage, ob die Daten der Patienten in der analogen Welt so viel besser geschützt sind wie in der digitalen. Ich weiß genau, wie ein durchschnittliches Patientenakten-Archiv in einem Krankenhaus aussieht. Das ist der feuchte Keller, der Dachboden oder das Logistikzentrum irgendwo in der Peripherie ohne Kameraüberwachung, Wärter oder Vorhängeschloss. Da kann jeder, der ein bisschen kriminelle Energie mitbringt, einsteigen und mit diesen Daten, die 30 Jahre aufbewahrt werden müssen, Schindluder treiben. Das interessiert in Deutschland niemanden. Aber immer dann, wenn es um Big Data geht, bricht hierzulande Paranoia aus.
Die Chancen der Digitalisierung sind riesig. Das Gesundheitswesen steht vor einem echten Paradigmenwechsel. Dabei geht es nicht um Fitnessarmbänder oder darum, dass viele Patienten erstmal den persönlichen Leibarzt Doktor Google konsultieren und der Krankenhausarzt für die Zweitmeinung zuständig ist. Da reden wir über 3D-Drucker, mit denen Kniegelenke und Organe reproduziert werden können. Ich denke an Big-Data-Analysen, mit denen es möglich sein wird, Krankheiten zu heilen, die heute noch als unheilbar gelten.
CW: Mussten Sie nach dem Angriff weitere Attacken abwehren?
KRÄMER: Ich gehe davon aus, dass wir jeden Tag angegriffen werden. Ich gehe aber auch davon aus, dass unsere Abwehrsysteme mittlerweile so gut sind, dass diese Angriffe keinen Schaden anrichten. Wobei es natürlich immer abzuwarten bleibt, wie es uns gelingen wird, unsere Abwehrsysteme aktuell zu halten.
CW: Haben Sie als Geschäftsführer Ihre Aufmerksamkeit nach dem Angriff 2016 stärker auf die IT-Sicherheit gelenkt?
KRÄMER: Wir haben auch in den beiden Jahren vor diesem Cyber-Angriff deutlich mehr in IT-Sicherheit investiert als ein durchschnittliches Krankenhaus. Trotzdem konnte der Angriff gelingen. Wenn man über Tage und Wochen im Krisenstab verharrt und das miterlebt, was wir im Februar 2016 erfahren haben, hat das natürlich Nachwirkungen. Das führt dazu, dass man das Thema IT-Sicherheit noch einmal anders betrachtet, denn nur aus Fehlern lernt man. Die Umsetzungsphase dauert bis zum heutigen Tage an.
CW: Sie sind also heute noch dabei, die letzten 20 Prozent des Wiederaufbaus abzuschließen?
KRÄMER: Ja, aber jetzt sind wir wirklich im Promille-Bereich. Wir sind in der Phase der kontinuierlichen und strategischen Weiterentwicklung.
CW: Haben Sie zum Abschluss einen Ratschlag für andere Unternehmen, die sich ähnlichen Risiken ausgesetzt sehen wie Sie?
KRÄMER: Ich kann nur jedem empfehlen, eine Cyber-Versicherung abzuschließen. Die Eintrittswahrscheinlichkeit eines Cyber-Angriffs auf mein Unternehmen – gerade auf ein Krankenhaus – liegt bei über 50 Prozent. Aber deutlich unter 50 Prozent der Betriebe verfügen über eine Cyber-Versicherung. So eine Versicherung schützt mich zwar nicht davor, Opfer eines Angriffs zu werden. Aber sie hilft, den immensen Schaden abzudecken. Deswegen kann ich die zögerliche Grundhaltung vieler meiner Kollegen nicht verstehen.
CW: Hatten Sie 2016 so eine Versicherung?
KRÄMER: Die hatten wir nicht. Wir haben sie danach abgeschlossen. Aber es ist sicher mehr als ein Placebo, denn die Bedrohungslage ist vielen nicht bewusst. Eine Befragung von Roland Berger unter Krankenhausgeschäftsführern vor zwei Jahren hat belegt, dass 64 Prozent der 2000 Krankenhäuser in Deutschland etwas Ähnliches erlebt haben wie wir. Das drückt aus, wie die Bedrohungslage tatsächlich ist.