Kran­ken­häu­ser im Vi­sier von Cy­ber-Kri­mi­nel­len

KIT-Ex­per­te warnt: Kli­ni­ken ver­nach­läs­si­gen Schutz der IT-In­fra­struk­tur

Heilbronner Stimme Stadtausgabe - - HINTERGRUND · ROMAN · SCHACHECKE - Von un­se­rer Re­dak­teu­rin Va­le­rie Blass

Die di­gi­ta­len Pa­ti­en­ten­da­ten wa­ren plötz­lich ge­sperrt und mit ih­nen der Zu­gang zu Rönt­gen­bil­dern, MRT-Auf­nah­men oder den Er­geb­nis­sen von Blut­tests. In­for­ma­tio­nen, die le­bens­wich­tig sein kön­nen, wenn sich ein Mensch in kri­ti­schem Zu­stand be­fin­det. 47 Ein­hei­ten des staat­li­chen bri­ti­schen Ge­sund­heits­sys­tems NHS wa­ren Mit­te Mai Ziel ei­nes Ha­cker-An­griffs. Sie­ben Not­auf­nah­men in En­g­land konn­ten nicht mehr von Ret­tungs­wa­gen an­ge­fah­ren wer­den. An­dern­orts muss­ten Ope­ra­ti­on ver­scho­ben wer­den, Pa­ti­en­ten wur­den um­ge­lei­tet. An vie­len Kli­ni­ken und in Arzt­pra­xen dau­er­te es ei­ne gan­ze Wo­che, um das Cha­os wie­der in den Griff zu be­kom­men.

Kein iso­lier­tes Pro­blem Der Ruf des chro­nisch un­ter­fi­nan­zier­ten und über­be­las­te­ten bri­ti­schen Ge­sund­heits­sys­tems ist schlecht. Und trotz­dem ist ein Cy­ber-An­griff mit so­ge­nann­ter Ran­som­ware kein iso­lier­tes bri­ti­sches Pro­blem. Be­reits 2016 wa­ren Kran­ken­häu­ser in Nord­rhein-West­fa­len Ziel von Er­pres­sungs­ver­su­chen von Cy­berK­ri­mi­nel­len. Ein Rück­blick: Das Öff­nen ei­nes EMail-An­hangs lös­te im Fe­bru­ar 2016 im Lu­kas­kran­ken­haus in Neuss ei­ne Cy­ber-Atta­cke aus. Über ei­nen Link wur­de ei­ne in­fi­zier­te Soft­ware über­tra­gen, die sich im Com­pu­ter­sys­tem breit­ma­chen und Da­ten ver­schlüs­seln soll­te, um die Kli­nik er­press­bar zu ma­chen. Um das zu ver­hin­dern, fuhr das Lu­kas­kran­ken­haus das ITSys­tem her­un­ter. Die Fol­gen: Ope­ra­ti­ons­ter­mi­ne muss­ten ver­scho­ben wer­den. Ärz­te ar­bei­te­ten wie­der mit hand­ge­schrie­be­nen Zet­teln. Es ent­stand ein Scha­den von ei­ner Mil­li­on Eu­ro. Das Kran­ken­haus mach­te den An­griff öf­fent­lich – und es blieb nicht al­lei­ne mit sei­nen Pro­ble­men. Wei­te­re Häu­ser in Mön­chen­glad- bach, Es­sen und Köln wa­ren nach Me­dien­be­rich­ten be­trof­fen.

Dun­kel­zif­fer Ex­per­ten ge­hen da­von aus, dass die Dun­kel­zif­fer der Kli­ni­ken hoch ist, die schon ein­mal sol­chen Er­pres­sungs­ver­su­chen aus­ge­setzt wa­ren. Aus Angst um den Ver­lust von Re­pu­ta­ti­on und Pa­ti­en­ten­ver­trau­en wol­le man mit so et­was aber auf kei­nen Fall in der Zei­tung ste­hen, sagt ein Bran­chen­ken­ner der Und der IT-Chef ei­nes Kran­ken­hau­ses, der eben­falls an­onym blei­ben möch­te, er­gänzt: „Es kann je­den je­der­zeit tref­fen.“Nie­mand wol­le mit dem The­ma öf­fent­lich zi­tiert wer­den, um das Au­gen­merk nicht auf die ei­ge­ne Ein­rich­tung zu len­ken.

Die Dun­kel­zif­fer bei Cy­ber-An­grif­fen sei all­ge­mein hoch, be­stä­tigt Jörn Mül­ler-Qua­de, Lei­ter des Be-

Heil­bron­ner Stim­me.

reichs Kryp­to­gra­phie und IT-Si­cher­heit am Karls­ru­her In­sti­tut für Tech­no­lo­gie (KIT). Er for­dert ei­ne Mel­de­pflicht für sol­che Vor­fäl­le: „So­lan­ge wir nicht wis­sen, was pas­siert, kön­nen wir auch das Ri­si­ko nicht rich­tig ein­schät­zen und füh­len es auch nicht.“Sei­ner Mei­nung nach wird das The­ma IT-Si­cher­heit ge­ra­de an Kli­ni­ken ver­nach­läs­sigt: Die Be­hand­lung des Pa­ti­en­ten ste­he im Vor­der­grund, „da kom­men Din­ge vi­el­leicht ein biss­chen zu kurz, die nicht un­mit­tel­bar dring­lich er­schei­nen“– wie die War­tung von Rech­nern. „Ich ha­be den Ein­druck, dass an Kli­ni­ken nicht Ri­si­ko-ad­äquat ge­han­delt wird“, sagt Mül­lerQua­de. „Ei­gent­lich müss­te die IT-In­fra­struk­tur von Kran­ken­häu­sern viel bes­ser ge­schützt sein.“Auch vie­le Me­di­zin­ge­rä­te sei­en nicht aus­rei­chend ge­si­chert. Bei­spiel Herz- schritt­ma­cher: Es ha­be Fäl­le ge­ge­ben, in de­nen die­se per Funk um­pro­gram­miert wor­den sei­en. „Auch bei Her­stel­lern steht der Hei­lungs­as­pekt im Vor­der­grund, nicht die Si­cher­heit.“

„Die Ri­si­ken wach­sen“, räumt Mat­thi­as Ein­wag von der Ba­den­Würt­tem­ber­gi­schen Kran­ken­haus­ge­sell­schaft (BWKG) ein. Ein­wag sagt in Rich­tung Lan­des­re­gie­rung, wenn man die Di­gi­ta­li­sie­rung im Ge­sund­heits­be­reich wol­le, müs­se man deut­lich mehr Geld in den Be­reich IT-Si­cher­heit ste­cken. „Für das The­ma di­gi­ta­le Si­cher­heits­stra­te­gi­en wird im Mo­ment si­cher nicht ge­nü­gend Geld be­reit­ge­stellt.“

Noch deut­li­cher wird die Deut­sche Kran­ken­haus Ge­sell­schaft (DKG) in ei­nem Po­si­ti­ons­pa­pier. Sie for­dert ein mehr­jäh­ri­ges Son­der­pro­gramm des Bun­des für die Di­gi- ta­li­sie­rung von Kran­ken­häu­sern und will da­für jähr­lich ei­ne Mil­li­ar­de Eu­ro. Im Ver­gleich zu an­de­ren Bran­chen be­ste­he noch er­heb­li­cher Nach­hol­be­darf, heißt es.

Vor­keh­run­gen Die für die Fi­nan­zie­rung von Kli­nik-In­fra­struk­tur zu­stän­di­ge Lan­des­re­gie­rung weist die For­de­run­gen zu­rück. Auf An­fra­ge teilt das Stutt­gar­ter Ge­sund­heits­mi­nis­te­ri­um un­ter Lei­tung von Man­ne Lu­cha (Grü­ne) mit: Die Lan­des­re­gie­rung wol­le schon da­zu bei­tra­gen, dass die „Chan­cen der Di­gi­ta­li­sie­rung auch im Ge­sund­heits­we­sen noch bes­ser ge­nutzt wer­den“. Des­halb soll­ten auch im Rah­men der Di­gi­ta­li­sie­rungs­stra­te­gie des Lan­des ent­spre­chen­de Pro­jek­te ge­för­dert wer­den.

Aber: „Letzt­lich liegt es im Ver­ant­wor­tungs­be­reich der Pro­jekt­trä- ger und Pro­jekt­ver­ant­wort­li­chen, um­fas­sen­de Vor­keh­run­gen für Da­ten­schutz und Da­ten­si­cher­heit zu tref­fen. Auch der Schutz der ITStruk­tu­ren und der Com­pu­ter­sys­te­me der Kran­ken­häu­ser vor Cy­berAtta­cken ist Sa­che der je­wei­li­gen Kli­ni­ken.“

Fo­to: Bri­an Jack­son/Fo­to­lia

Im­mer mehr Pro­zes­se im Kran­ken­haus lau­fen di­gi­tal ab. Da­durch wer­den Ein­rich­tun­gen auch im­mer an­fäl­li­ger für An­grif­fe von Cy­ber-Schur­ken.

Fo­to: KIT

J. Mül­ler-Qua­de

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.