Die Cyberkriminalität nimmt zu – die Gesundheitswirtschaft ist stärker als viele andere betroffen. Foto: dpa

Krankenhäuser sind ein bevorzugtes Angriffsziel von Hackern. Oft geht es um Erpressungsversuche. Viele Einrichtungen im Gesundheitswesen sind gegen solche Angriffe unzureichend geschützt.

Berlin - An Aschermittwoch 2016 war im Lukaskrankenhaus in Neuss (fast) alles vorbei: Es gab keine Emails, keine elektronische Erfassung von Untersuchungsergebnissen, keinen Zugriff auf OP-Pläne und keine Strahlentherapie für Krebspatienten. Nachdem Kriminelle ein Schadprogramm ins Netzwerk der Klinik eingeschleust hatten, wurde die gesamte IT abgeschaltet und auch die Notaufnahme geschlossen. Erst nach einigen Tagen digitaler Fastenzeit, in der Ärzte und Pfleger sich mit Stift und Papier behelfen mussten, nahm das Krankenhaus wieder den Normalbetrieb auf.

Kriminelle verlangen Geld, um die Daten wieder herzustellen

Wie viele Kliniken in Deutschland Opfer von Cyberattacken werden, kann niemand genau sagen. Eine Umfrage der Unternehmensberatung Roland Berger bei Krankenhäusern ergab, dass 2017 fast zwei Drittel der Kliniken solche Angriffe erlebt hatten. Meistens geht es dabei um Erpressung: Die Kriminellen verlangen Geld, um die Daten wieder herzustellen.

Ein Gutes hatte die Krise von Neuss: Sie hat die Branche wach gerüttelt – auch deshalb, weil das Lukaskrankenhaus von Anfang an ganz offen über die Attacke sprach. Die Gesundheitswirtschaft, sagt Nicolas Krämer, der kaufmännische Geschäftsführer der Klinik, sei der am häufigsten von Hackerangriffen betroffene Wirtschaftszweig: „Mein Appell richtet sich an die Krankenhausentscheider, gezielt in IT-Sicherheit zu investieren.“

Das Land versucht bei der IT-Sicherheit zu helfen

Aktuell sei der Anteil der Kliniken, die über eine bestimmte Zertifizierung oder den so genannten Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) verfügten, verschwindend gering: „Auch verfügt nicht einmal die Hälfte der deutschen Krankenhäuser über eine Cyberversicherung.“ In „Zeiten zunehmenden Kostendrucks und zurückgehender staatlicher Unterstützung“ seien viele Kliniken nicht ausreichend für digitale Gefahren gewappnet. Um das zu ändern, tritt auch das baden-württembergische Sozialministerium auf den Plan. Derzeit bereitet es ein 10 Millionen Euro starkes Investitionsprogramm für Kliniken vor, aus dem auch IT-Sicherheit gefördert werden kann. Für diesen Zweck können zudem Mittel abgerufen werden, die im Förderkonzept zur Digitalisierungsstrategie der Landesregierung bereit stehen. Was die IT-Sicherheit in großen Einrichtungen betrifft, wird sich erst im Sommer 2019 ein genaueres Bild zeigen. Bis dahin müssen Kliniken, die mehr als 30000 Kranke im Jahr stationär behandeln, dem BSI mitteilen, wie sie sich vor Cyberangriffen schützen.

Wichtige Infrastruktureinrichtungen unterliegen der Aufsicht

Diese bundesweit 129 Häuser (knapp 20 in Baden-Württemberg) unterliegen der so genannten Kritis-Aufsicht. Diese gilt für verschiedene Branchen, die der Staat als besonders wichtig für die Infrastruktur ausgemacht hat – sei es der Energie und Wassersektor, die Telekommunikation oder eben auch das Gesundheitswesen. Mit Blick auf die IT-Sicherheit in der stationären Versorgung, sagt Tim Griese vom BSI, „bietet sich wie in den meisten anderen Branchen auch ein eher heterogenes Bild mit teils sehr unterschiedlichen Sicherheitsniveaus in den einzelnen Häusern.“

Welcher Art von Cyberattacken die von der Kritis-Verordnung erfassten Kliniken ausgesetzt waren, lässt sich nach Grieses Angaben noch nicht aufschlüsseln. Geschäftsführer Krämer betont, dass Digitalisierung und Datensicherheit kein Widerspruch seien: „Wer weiß, wie üblicherweise ein Patientenaktenarchiv in einem Krankenhaus aussieht, versteht, dass die Daten in der analogen Welt nicht unbedingt besser geschützt sind als in der digitalen Welt.“ Es gelte nur, die Risiken zu beachten, die mit der Digitalisierung verbunden seien.

Das ist nötig, wenn es bei der Bilanz bleiben soll, die der damalige hessische Sozialminister Stefan Grüttner (CDU) im Sommer 2017 zog. Bei Hackerattacken und schädlicher Software sei es in Hessen „vereinzelt zu vorübergehenden Beeinträchtigungen des Krankenhausbetriebs“ gekommen: „Es ist kein Fall bekannt, bei dem Patientendaten erbeutet wurden.“