Gesundheitssystem unter Beschuss

Es war ein Kampf auf Leben und Tod. Nach einem Unfall sollte eine Frau mit dem Rettungswagen in die Notaufnahme der Uniklinik Düsseldorf gebracht werden. Doch dort hatten Hacker die IT lahmgelegt, um Lösegeld zu erpressen. Und so wurden die Retter in ein Krankenhaus im mehr als 30 Kilometer entfernten Wuppertal umgeleitet, was wertvolle Zeit kostete. Die Frau starb. Zwar wahrscheinlich nicht aufgrund des Hackerangriffs – doch zeigt dieser Fall trotzdem, welches Gefahrenpotenzial in Hackerangriffen auf Krankenhäuser liegen kann. Der Cyberangriff dauerte mehrere Tage und hatte weitreichende Auswirkungen: In der Düsseldorfer Klinik halbierte sich die Zahl der Patienten in stationärer Behandlung, statt bis zu 120 Operationen fanden pro Tag nur noch maximal 15 statt.

Der Vorfall ereignete sich letzten Herbst, mitten in der Corona-Krise, die weltweite Gesundheitswesen an ihre Belastungsgrenze brachte. Ausgerechnet da schlugen die Angreifer zu. Ein Zufall? „Nein“, meint Christian Dameff, Direktor für Cybersicherheit an der University of California in San Diego, „die Attacken auf Einrichtungen im Gesundheitswesen haben dramatisch zugenommen.“ Allein durch die Pandemie um fast 30 Prozent. Die Kriminellen hätten sich schnell angepasst und nutzten die größere Angriffsfläche etwa durch vermehrtes Home-Office oder in Folge der hohen Arbeitsbelastung in den Kliniken und Arztpraxen aus. „Die Akteure im Gesundheitswesen sind überlastet und unterbesetzt – da haben sie die Cybersicherheit erstmal zurückgestellt“, sagt Dameff.

Wobei von Zurückstellen eigentlich keine Rede sein kann, denn auch vor der Corona-Krise war Cybersicherheit kein großes Thema beim medizinischen Personal. Dameff spricht hier aus eigener Erfahrung, denn er ist auch Notfallmediziner an der Klinik der Universität und kennt somit beide Seiten. Er hat unter Kollegen anderer Kliniken herumgefragt, welchen Stellenwert Cybersicherheit bei ihnen habe. Laut Dameff reichten die Antworten von „Cybersecurity? Was ist das?“ bis zu „Ja, davon habe ich schon mal gehört. Dazu habe ich im Schrank einen Ordner mit ein paar Anweisungen, die ich aber noch nie durchgelesen habe“. In vielen Kliniken gebe es maximal ein bis zwei Mitarbeiter, die sich einigermaßen mit Cybersicherheit auskennten, an manchen Kliniken fühle sich auch niemand zuständig.

„Das ist katastrophal“, warnt Christian Dameff, „aber auch nicht verwunderlich.“ Die Entwicklung von medizintechnischen Geräten dauere oft fünf bis zehn Jahre, wovon die Zertifizierung einen großen Teil beanspruche. In dieser Zeit frieren manche Hersteller die Entwicklung der Software ein, oder sie liefern nach der Markteinführung keine Sicherheitspatches mehr. Hinzukommt, dass diese Geräte immer häufiger vernetzt sind, und ohne Sicherungsmaßnahmen für Cyberkriminelle wie eine Tür ohne Schloss zur gesamten IT der Klinik sind. Dameff hält das Gesundheitswesen sogar für „übervernetzt“. Nicht weil er die Digitalisierung und Vernetzung ablehne, sondern weil viele Einrichtungen und die medizintechnische Industrie gar nicht darauf vorbereitet seien. Doch Dameff hat auch Verständnis für die Hersteller. Eine Änderung an einem Medizinprodukt, auch an der Software, kann unter Umständen eine umfangreiche Änderung der gesamten Architektur und aufwändige Rezertifizierungen erforderlich machen. Und die versuchen einige Hersteller zu vermeiden, weil solche Aufwände nicht immer an die Anwender weitergegeben werden können.

Die Frage lautet also: Wie bekommt man die langen Lebenszyklen der Medizintechnik mit der Cybersicherheit unter einen Hut? Siemens Healthineers verfolgt dazu konsequent den Ansatz „Security by Design and Default“. Cybersecurity ist hier somit keine Funktion, die nachträglich übers fertige Produkt gestülpt wird, sondern eine Eigenschaft, die schon ab dem allerersten Konzept mitgedacht wird. Es ist ein wichtiges Qualitätsmerkmal. Und was ist mit den vielen Alt-Geräten in Kliniken, Praxen und Rettungswagen? „Den Zustand der Software einfach einzufrieren, ist keine Option, denn Vernetzung und Weiterentwicklung schreiten laufend voran“, sagt Carlos Arglebe, Chief Cybersecurity Officer bei Siemens Healthineers. Siemens Healthineers setze daher auf kontrollierte Veränderung. Das bedeutet: Auch die installierte Basis mit vielen älteren Geräten erhalten Patches und Updates. die sorgfältig getestet werden. Dazu bietet das Unternehmen seinen Kunden umfassende Servicepakte für das Sicherheitsmanagement ganzer Geräteparks in Klinken oder einzelner Geräte in Praxen an – über den Lebenszyklus der Geräte hinweg. Geändert habe sich auch die Denkweise der Entwickler: „Wir lösen uns bei der Cybersicherheit vermehrt von der Technikorientierung und legen den Fokus auf die Menschen, auf die Patienten und das Personal“, so Arglebe. „Denn Cybersicherheit ist die Brandmauer für die Patientensicherheit und den Datenschutz.“

Aber auch die Cyberkriminellen haben in den letzten Monaten neu orientiert. Üblicherweise geht es ihnen ums schnelle Geld. Durch Verschlüsseln und Blockieren der IT etwa einer Klinik versuchen sie Lösegeld zu erpressen, was vermutlich häufiger gelingt, als in der Öffentlichkeit bekannt ist. Mit Covid-19 ist im Gesundheitswesen noch eine neue Bedrohung dazu gekommen: der Diebstahl von geistigem Eigentum, besonders von Informationen, die bei der Herstellung von Impfstoff helfen könnten. Eine Gefahr wird dabei zu wenig bedacht: Angreifer könnten versuchen, Daten von wissenschaftlichen Studien zu manipulieren. Würde so etwas bekannt, könnte es das Vertrauen der Bevölkerung in Impfungen oder in die Entscheidungen der Politik erschüttern. Mehr noch: „Wissenschaftler würden vielleicht sogar ihren eigenen Daten nicht mehr vertrauen“, befürchtet Christian Dameff.

Die Impfungen gegen Covid-19 sind in vollem Gang und es besteht die berechtigte Hoffnung, dass die Pandemie im Lauf des Jahres ihren Schrecken verliert. Verlieren dann auch Cyberkriminelle das Interesse? Wohl kaum, denn auch ohne Pandemie bleibt das Gesundheitswesen ein lukratives Ziel, wo Angreifer gute Erfolgschancen haben und wo hohe Lösegeldzahlungen winken. Und es gibt ja nicht nur Covid-19. Immer wieder kommt es zu Krisen, etwa wenn die Infrastruktur bei einem Erdbeben oder einem Tsunami zusammenbricht. Oder wenn wie in Deutschland gelegentlich neben einem Krankenhaus eine Blindgänger-Bombe aus dem zweiten Weltkrieg ausgegraben wird und das Gebäude evakuiert werden muss. Dameff: „Wir müssen im Gesundheitswesen lernen, besser mit Krisen umzugehen, und da ist Cybersecurity ein elementarer Bestandteil.“