Klinikum Fürstenfeldbruck: Computer im Visier von Hackern
Fürstenfeldbruck - Hacker, die Patientendaten klauen, Erpresser, die Medizingeräte manipulieren, Cyberkriminelle, die Daten verschlüsseln oder gar löschen: Schon die "Krankenhausstudie" der Unternehmensberatung Roland Berger hat 2017 ergeben, dass weit mehr als die Hälfte deutscher Krankenhäuser schon Opfer eines Cyber-Angriffs waren.
Jüngstes Opfer: Das Klinikum Fürstenfeldbruck
Jetzt hat es das Kreisklinikum Fürstenfeldbruck getroffen. Nur ein kleiner Mausklick war die Ursache des Übels: Jemand hatte offenbar den virusverseuchten Anhang einer E-Mail geöffnet, so die Annahme der IT-Experten. Vor gut einer Woche sei der erste Rechner ausgefallen, sagt Klinik-Vorstand Alfons Groitl zur AZ. Ein paar Stunden später meldeten immer mehr Abteilungen, die Computer würden sich selbständig hoch und runter fahren. "Rund 450 Rechner standen am Ende still."
Zunächst versuchte die Klinik, das Problem selbst in den Griff zu bekommen. Doch schnell war klar, dass externe Experten gebraucht werden. "Es handelt sich um einen extrem aggressiven Virus, der wohl Bankdaten ausspähen soll", so der Klinik-Vorstand.
Lesen Sie hier: München Klinik - Das neue Gesicht der städtischen Kliniken
Das Krankenhaus musste sich von der Integrierten Rettungsleitstelle abmelden. Notfall-Patienten werden seitdem in die nächstgelegenen Krankenhäuser gebracht. Der Klinikbetrieb, darunter auch die Notaufnahme, läuft aber dennoch weiter. Auch Operationen finden weiterhin statt – nur eben wesentlich weniger. "Durch die Computerausfälle wurden wir zurückgeworfen auf die Zeit vor der EDV", sagt Groitl. Wenn alles auf Papier dokumentiert werden muss, dauert es halt wesentlich länger.
Mittlerweile sind etliche Rechner wieder am Netz. In den kommenden Tagen sollten alle Geräte wieder funktionieren, heißt es. Wie hoch dann der Schaden für die Klinik sein wird, ist noch unklar. Groitl: "Das Thema Cyber-Sicherheit war letztes Jahr ein großes Thema bei uns. Wir arbeiten mit einer großen, renommierten Computerfirma zusammen. Wir waren daher davon ausgegangen, dass das bei uns eigentlich ganz gut passt."
Angriffspotenzial steigt stetig weiter
Fürstenfeldbruck ist mit der Problematik nicht allein. Eines der bekanntesten Cyber-Opfer im Klinikbereich ist das Lukas-Krankenhauses in Neuss (Nordrhein-Westfalen), in dem ein Erpressungstrojaner 2016 alle IT-Systeme lahmlegte. "Dieser Fall hat in den Kliniken viel bewirkt. Aber wir sind noch lange nicht am Ziel", sagt Markus Holzbrecher-Morys, stellvertretender Geschäftsführer IT bei der Deutschen Krankenhausgesellschaft.
Die Kliniken hätten teils nicht nur Schwierigkeiten, qualifiziertes IT-Fachpersonal zu finden, auch die Kosten seien enorm: "Wenn Sie investieren können in eine dringend notwendige Neuanschaffung, ein MRT beispielsweise, oder in eine neue Firewall – wofür entscheiden Sie sich, wenn Sie sich nur eins von beiden leisten können?" Vor dem Hintergrund der seit Jahren rückläufigen Investitionsfinanzierung durch die Bundesländer stelle dies Kliniken vor große Probleme, so Holzbrecher-Morys.
Dabei steigt die Bedrohung stetig an. Immer mehr Prozesse werden von IT-Systemen übernommen – mit zunehmender Komplexität steigt auch das Angriffspotenzial. "Die Angriffsversuche werden immer spezieller", sagt Holzbrecher-Morys. "In der Regel finden Sie heute kein Unternehmen mehr, das nicht davon betroffen ist."
Auch die großen Krankenhäuser in München kämpfen mit Cyber-Kriminalität. "Das Klinikum rechts der Isar ist permanenten Angriffen ausgesetzt. Diese treten in ihrer Intensität meist in Wellen auf", sagt etwa dessen Sprecherin Eva Schuster zur AZ. Bislang habe es die Angriffe durch technische Vorkehrungen und die Umsicht der Mitarbeiter aber erfolgreich bewältigen können. Auch die Städtischen Kliniken kämpfen gegen die virtuellen Angriffe: "Unsere Systeme werden ständig weiterentwickelt und von extern auf Wirksamkeit getestet", sagt München-Klinik-Sprecher Raphael Diecke.
Petra Bönnemann vom Klinikum Dritter Orden weist darauf hin, dass alle Mitarbeiter ihres Hauses regelmäßig präventiv im Umgang mit digitalem Schriftverkehr geschult würden. Eine wertvolle Maßnahme - denn Gefahren gehen besonders von mit Viren infizierten Anhängen in E-Mails aus. Seit Anfang November beispielsweise seien "besonders gut gemachte, als Bewerbungsschreiben getarnte Mails" unterwegs, die aggressive Viren verbreiteten, sagte ein Sprecher des Landesamts für Sicherheit in der Informationstechnik (LSI) zur AZ.
Lesen Sie hier: Fünf Pfleger berichten - So hart ist unser Alltag
Meldepflicht im Angriffsfall haben nur die großen Häuser
Wie viele Kliniken in Bayern schon Opfer eines Cyber-Angriffs wurden, ist allerdings nicht bekannt. Nur die großen Häuser, die zu den sogenannten Kritischen Infrastrukturen zählen, unterliegen in schwerwiegenden Fällen der Meldepflicht. Für sie gilt nach dem neuen IT-Sicherheitsgesetz die Verpflichtung, ihre IT-Systeme nach dem Stand der Technik abzusichern, was vom Bund finanziell bezuschusst wird.
In Bayern betrifft dies - von insgesamt rund 360 Kliniken im Freistaat - aber nur 23 Häuser, sagt Siegfried Hasenbein, Geschäftsführer der Bayerischen Krankenhausgesellschaft. Denn zur Kritischen Infrastruktur zählen nur jene Häuser, die mindestens 30.000 Patienten vollstationär im Jahr aufnehmen. Alle anderen können selbst entscheiden, in wie weit sie in die IT-Sicherheit investieren.
"Man kann aber den Krankenhäusern nicht unterstellen, dass sie dieses Thema nicht ernst nehmen würden", sagt Holzbrecher-Morys. Den wachsenden Einsatz von elektronischen Patientenakten und künftig auch der Gesundheitskarte befürwortet er: "Wenn die Systeme so abgesichert sind, wie es vorgesehen ist, können Patienten in der vernetzten Bereitstellung von Gesundheitsinformationen, die ja auch den Behandlungskontext verbessern kann, für sich mehr Nutzen als Risiken erkennen."
Natürlich sei es ein großes Problem, sollten Patientendaten abgefischt werden können, sowohl für Patienten als auch die Krankenhäuser. Weitaus mehr Sorge bereiteten den Experten jedoch Auswirkungen von Angriffen, die nicht bemerkt würden, so Holzbrecher-Morys: "Beispielsweise wenn Systeme, auf die man sich verlässt, nicht so funktionieren wie sie es sollten. Stellen Sie sich vor, Sie haben ein System, auf dessen Daten sie für die Behandlung angewiesen sind - und das fällt jetzt nicht aus, sondern es rechnet zum Beispiel falsch." Bislang habe er aber noch nie von so einem Fall einer Patientenschädigung gehört.
Lesen Sie hier: Rechts der Isar - Schwere Vorwürfe gegen Klinikum - Frau fast auf Flur verblutet
