Cybercrime Wie gefährdet sind deutsche Krankenhäuser?

Die "WannaCry"-Attacke hat britische Kliniken lahmgelegt. Doch auch deutsche Krankenhäuser waren längst Ziel von Cyberkriminellen. Experten und Mediziner warnen vor großen Sicherheitslücken.

Operationssaal der Uniklinik Leipzig
DPA

Operationssaal der Uniklinik Leipzig

Von


Wenig Zeit? Am Textende gibt's eine Zusammenfassung.


Das große Drama ist ausgestanden. Der Schreck hält an. Gut eine Woche ist es her, dass die "WannaCry"-Hackerattacke sogar Krankenhäuser traf. Die Cyber-Mafiosi blockierten sämtliche Patientendaten in den betroffenen britischen Kliniken, Operationen mussten abgesagt, Patienten auf andere Krankenhäuser umgeleitet werden. Noch immer kämpfen Ärzte und Pfleger mit Softwareproblemen.

Titelbild
Mehr dazu im SPIEGEL
Heft 21/2017
Wie Hacker die Welt attackieren. Wie wir uns schützen können.

Mediziner und Patienten in Deutschland können auftmen - vorerst. Von der weltweiten "WannaCry"-Attacke, die mehr als 200.000 Rechner getroffen hat, sind Krankenhäuser hierzulande verschont geblieben. "Das sollte uns nicht in Sicherheit wiegen", warnt Heiko Ries, Vorsitzender des Bundesverbands der Krankenhaus-IT-Leiter. Die Erinnerung an heftige Attacken auch in Deutschland ist noch frisch.

Vor nur einem Jahr setzte ein ähnlicher Hackerangriff hierzulande weit mehr Kliniken außer Gefecht als jetzt in Großbritannien. An die einhundert Krankenhäuser dürften 2016 attackiert worden sein, schätzt Ries. "Viele verheimlichen das aber aus Angst vor einem Reputationsverlust."

Gefahr von Hackerattacken auf deutsche Kliniken steigt

Kaum ein Patient weiß, wie digital Kliniken heute schon arbeiten und vor allem künftig noch werden. Die digitale Patientenakte ermöglicht, elektronisch abrufbare Informationen zu speichern wie Laborbefunde, gemessene Werte, Untersuchungen, die Patientenhistorie. Auch Operationen werden immer häufiger digital organisiert. So können Kliniken effizienter planen.

Allerdings: Damit steigt auch die Gefahr von Cyberangriffen. Eine wirksame Hackerattacke und im Krankenhaus geht fast nichts mehr. Ärzten und Pflegern fehlt auf einen Schlag die Information darüber, was die Patienten brauchen, welche Dosierung an Medikamenten, welche Operationen anstehen - Berichte müssen wieder per Hand geschrieben, Laboraufträge von Boten überbracht werden. So stoppte "WannaCry" in Großbritannien die Klinikarbeit, so legten andere Hacker zuvor deutsche Kliniken lahm.

Das Lukaskrankenhaus im rheinischen Neuss etwa musste im Frühjahr 2016 wegen eines solchen Angriffs auf seine IT-Systeme die Notaufnahme schließen und etliche Operationen absagen. Eine Software der Erpresser hatte die Daten der Patienten verschlüsselt und zu deren Freigabe Lösegeld gefordert.

Die Klinik in Neuss ist eine der wenigen Krankenhäuser, die schon sehr stark digitalisiert arbeiten - Ärzte nutzen Tablet-PCs, Medikamente werden online bestellt, Rettungswagen senden Daten per Telematik vorab in die Klinik.

An stärkerer Digitalisierung führt kein Weg vorbei

Fast wie ein Vorteil nimmt sich angesichts der Hackerattacken der massive Rückstand deutscher Kliniken bei der Digitalisierung aus - da bislang nur wenige Daten getroffen werden können. Nicht einmal ein Prozent der hiesigen Krankenhäuser sind voll digitalisiert. Eine verschwindend geringe Zahl der Kliniken arbeitet überhaupt schon mit einer elektronischen Patientenakte.

Doch die Kosten des Gesundheitssystems ufern aus und zwingen die Kliniken dazu, schnell effizientere, digitale Arbeitswege aufzubauen. Allein angesichts der Spareffekte führt kein Weg an der digitalen Klinik und Arztpraxis vorbei: Jährlich rund 39 Milliarden Euro ließen sich deutschlandweit im Gesundheitswesen einsparen, würden elektronische Lösungen vollständig genutzt, hat der Bundesverband Gesundheits-IT (bvitg) zusammen mit der Strategieberatung von PricewaterhouseCoopers (PWC) hochgerechnet. Auf das Jahr 2014, dem Zeitpunkt der Analyse, gerechnet, wären das allein zwölf Prozent der Gesamtausgaben, die sich so einsparen ließen.

Visite mit Tablet-PC
DPA

Visite mit Tablet-PC

Angesichts dessen kritisiert bvitg-Chef Matthias Meierhofer das Zögern. "In den Kliniken hierzulande haben wir eine IT-Investitionsquote von nur rund 1,4 Prozent. Das liegt am unteren Ende der OECD-Länder. Drei bis fünf Prozent werden nun nötig", sagt er.

Wie wichtig die Digitalisierung sei, zeigten nicht nur die besseren Klinikabläufe sondern auch die so mögliche Auswertung großer Datenmengen. "So lässt sich etwa nur dadurch feststellen, woher genau die so gefürchteten Antibiotika-Resistenzen kommen." Durch die Kombination einer Vielzahl von Daten zu den Resistenzen könnten etwa die Verursacher eher erkannt werden."

Investitionsstau aus Geldmangel gefährdet Patienten

Die meisten Kliniken sperren sich einem Wandel nicht - und doch passiert wenig. Die Häuser können es sich schlicht nicht leisten. Schon so bringt der Geldmangel Ärzte und Pfleger zu oft an ihre Grenzen, weil sie mit knappem Personal arbeiten müssen. Nun gefährdet der Sparkurs Patienten noch stärker, wenn die Digitalisierung künftig verstärkt wird, aber zu wenig in die Sicherheit investiert wird.

"Auch aufgrund des Investitionsstaus durch die fehlende Investitionsfinanzierung der Länder sind nicht alle Kliniken so gut vorbereitet, wie sie es sein könnten", sagt Jan Neuhaus, Geschäftsführer IT, Datenaustausch und eHealth bei der Deutschen Krankenhausgesellschaft. Mehrere Milliarden Euro müssten die Bundesländer aus ihren Töpfen mehr an ihre Kliniken zahlen, als sie es tun. Es ist ein Gesetzanspruch, den die Krankenhäuser haben. Und doch passiert nichts. Tatsächlich sparen viele Länder sogar immer stärker.

"Es kommen relativ wenig Mittel dort an, wo sie dringend erforderlich wären", stellt auch Krankenhausexperte Zun-Gon Kim fest, der als Berater der Boston Consulting Group viele Kliniken kennt. Es sei ein ausgeprägter Investitionsstau erkennbar und die Vernachlässigung der nötigen Investitionen in die IT-Systeme von Krankenhäusern.

Klinikbau und Medizintechnik dominieren bei den Investitionen, die IT bildet das Schlusslicht. Experten macht Sorgen, dass selbst Medizingeräte immer mehr vernetzt werden und ohne ausreichenden IT-Schutz dort zunehmend neue Schlupflöcher für Angreifer entstehen.

Streit über Geldmittel und das IT-Sicherheitsgesetz

Der Marburger Bund fordert ein staatliches Sonderprogramm für die Modernisierung der Krankenhaus-IT. Zehn Milliarden Euro seien in den nächsten sechs Jahren nötig. Auch die Deutsche Krankenhausgesellschaft will einen Digitalisierungszuschlag für die Kliniken durchsetzen.

Bundeskriminalamt und Bundesamt für Sicherheit in der Informationstechnologie (BSI) sind längst alarmiert, was Angriffe auf Kliniken angeht. "Krankenhäuser sind allgemein als High-Value-Targets für Cybercrime anzusehen, da hier die Zahlungsbereitschaft von den Kriminellen als hoch eingeschätzt werden kann", sagt ein BSI-Sprecher. Es gehe hier um sensible Patientendaten, und selbst die Versorgung der Patienten könne direkt gefährdet werden. Noch sei allerdings keine Klinik bekannt, die tatsächlich Lösegeld gezahlt habe. Meist werden die IT-Systeme umgestellt.

Fotostrecke

15  Bilder
Von Equifax über LinkedIn bis Yahoo: Das sind die größten Hackerangriffe

Um das Risiko einzudämmen, wurde das Gesundheitswesen ebenfalls in das neue IT-Sicherheitsgesetz aufgenommen. Es soll künftig Betreiber kritischer Infrastrukturen zur Absicherung ihrer IT-Systeme nach dem Stand der Technik verpflichten - dazu gehören nun auch Kliniken. Allerdings werden aus jetziger Sicht nur Krankenhäuser mit mindestens 30.000 vollstationären Patienten im Jahr einbezogen. Das dürften nur etwa 100 Häuser sein. Die restlichen Kliniken sollen sich möglichst am Standard orientieren, heißt es.

IT-Leiter Ries sieht das mit Sorge. "Etwa 1900 Krankenhäuser fallen durch das Raster. Dabei habe ich Bauchschmerzen", sagt er. Fraglich sei, ob diese genügend Finanzmittel erhalten würden, um sich ebenfalls an höhere IT-Sicherheitsstandards anzupassen. Auch DKG-Mann Neuhaus kritisiert, "aus Sicht der Patienten ist jedes Krankenhaus kritisch." Die neuen IT-Standards sollten daher in jedem Haus als Leitlinie eingesetzt werden können. Dafür brauche es aber eine ausreichende Finanzierung.

Zusammengefasst: Die Cybergefahr für Kliniken in Deutschland steigt schnell. Von den "WannaCry"-Hackern wurden sie verschont. Doch längst waren deutsche Krankenhäuser Ziel von Cyberkriminellen, die 2016 rund 100 Kliniken lahmlegten. Noch sind nur wenige Häuser digitalisiert und damit angreifbar - das aber wird sich bald ändern. Digitalisierte Kliniken sparen dem Gesundheitswesen Milliarden Euro. Experten und Mediziner feilen nun an Konzepten, wie zugleich die IT gesichert werden kann. Wieder einmal fehlt es am nötigen Geld.

insgesamt 18 Beiträge
Alle Kommentare öffnen
Seite 1
ramuz 23.05.2017
1.
"Jährlich rund 39 Milliarden Euro ließen sich deutschlandweit im Gesundheitswesen einsparen, würden elektronische Lösungen vollständig genutzt, hat der Bundesverband Gesundheits-IT (bvitg) zusammen mit der Strategieberatung von PricewaterhouseCoopers (PWC) hochgerechnet" Ja... und jährlich 120 laufende Meter Maschendrahtzaun pro Hühnerhof liessen sich sparen, wenn man die Hühner nur frei laufen liesse, hat der BdHHF (Bundesverband der HühnerHolenden Füchse) zusammen mit der Strategieberatung von Habicht,Bussard&Marder (HB&M) hochgerechnet. Hat schon mal wer die Hühner nach ihrem Inverstmentinteresse gefragt?
ruzorma 23.05.2017
2. Wer die Geräte
und Netzwerktopologie von Innen kennt und sich damit beschäftigt, der findet stets erfolgversprechende Ansätze und Lücken. Das liegt allerdings nicht an der Natur der Dinge, sondern daran, daß die Eigenschaft "Sicherheit" nicht so einfach gesehen werden kann wie das "Funktionieren" einer Anwendung.
FrankHemer 23.05.2017
3. Niveau an IT-Sicherheit wie im Gesundheitssektor
Hauptberuflich bin ich in der IT-Sicherheit- und Forensik tätig und bei keiner anderen Kundenklientel existiert ein so niedriges Niveau an IT-Sicherheit wie im Gesundheitssektor. Was ich bislang in allen Kliniken gesehen habe, bei denen ich Manipulationen und Hacking untersucht habe: - uralte Betriebssysteme und Frameworks (hier vor allem Java) - alte und ausfallanfällige Hardware - fehlende Basics der IT-Sicherheit (Inventarisierung, aktueller Virenschutz, zeitnahes Patchen....) - und ganz ehrlich: minderqualifiziertes Personal. Sehr viele Level1-Supporter, die nun als Administratoren ganze Netze mit tausenden Nodes verwalten und sicher halten sollen. Dazu fehlende Schulungen (die kosten nun einmal 500 Euro am Tag) und eine Bezahlung, die auch keine Motivation fördert. Mich wundert es sehr, dass nicht noch mehr passiert. Gleichzeitig ist aber auch die Bereitschaft zur Veröffentlichung sehr, sehr niedrig und IT-Sicherheitsverstösse in Krankenhäusern werden nur veröffentlicht, wenn es nicht zu verheimlichen ist. Die Öffentlichkeit kennt nicht einmal die Spitze des Eisberges!!! Ich könnte Ihnen hier Beispiele aus Kliniken nennen, bei denen mir an den Gedanken daran noch heute Tränen vor Lachen kommen. Als ich aber selbst mal als Notfallpatient in eine Klinik kam, verging mir das Lachen.
docmillerlulu 23.05.2017
4. Bei der Ignoranz unserer Verantwortlichen im Gesundheitswesen ...
... mit Blick auf die Fallzahlen bei Multiresistenten Keimen - dagegen gibt es erfolgreiche Konzepte - kann es gut sein daß eine lahmgelegte Klinik zu niedrigeren Todeszahlen führt.
nils1966 23.05.2017
5. Man fragt sich schon...,
Was der Sinn allzudichter Vernetzung ist! Nun gut, in Krankenhäudern kann man bspw. Bilder und Befunden schneller an den Ort des Bedarfs schicken, was extrem hilft, sprich u.U. Leben retten hilft. Aber was ist,wenn durch eine IT-Attacke ein oder mehrer Krankenhäuser effektiv ausfallen. Dann gefährtde IT efrfektiv Lebensrettung. Es sollte eine Begrenzung von Vernetzung geben. Nicht jeder Motor/Antrieb/Lichtschalter muß einer digitalen Steuerung unterliegen, die extern beeinflußt werde kann. Der Schaden von sowas wird immer größer sein, als jedwede Art von Nutzen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.