Cyber-Attacke

Klinik punktet mit offenem Krisenmanagement

Das Lukaskrankenhaus in Neuss hat den Hacker- Angriff vom Frühjahr unbeschadet überstanden. Die Patienten halten der Klinik die Treue – auch dank offener Kommunikation.

Von Ilse Schlingensiepen

MÖNCHENGLADBACH. Der Cyber-Angriff auf das Lukaskrankenhaus in Neuss, der im Februar bundesweit für Aufsehen gesorgt hatte, hat dem Ansehen der Klinik nicht geschadet. "Der Bekanntheitsgrad des Lukaskrankenhauses hat sich signifikant erhöht, ohne dass ein Imageverlust eingetreten ist", berichtete Dr. Nicolas Krämer vor Kurzem auf einer Veranstaltung des Instituts für patientenorientierte Versorgungsablaufforschung in Mönchengladbach.

Der offene Umgang des Hauses mit der kriminellen Attacke habe sich bewährt, sagte der kaufmännische Direktor der Klinik. "Wir sind der Meinung: Transparenz schafft Vertrauen."

Im kommunalen Lukaskrankenhaus mit 548 Betten werden pro Jahr rund 30.000 Patienten stationär und 80.000 ambulant behandelt. Es hat einen Jahresumsatz von 130 Millionen Euro. Die Klinik setzt mit dem Projekt "Visite 2.0" auf die Vorteile der Digitalisierung: Ärzte und Pflegekräfte sind mit iPads ausgestattet, sie ermöglichen den Datenabruf und die Dateneingabe direkt am Krankenbett. "Das Projekt hat großen Einfluss auf die Effektivität der Prozesse", sagte Krämer.

Mitarbeiter handelte unvorsichtig

In den vergangenen zwei Jahren hat die Klinik nach seinen Angaben 13 und 18 Prozent der Fördermittel für die IT-Sicherheit ausgegeben. Der Durchschnitt der deutschen Kliniken liege bei knapp 10 Prozent. "Trotzdem konnten wir Opfer einer Cyber-Attacke werden."

Das geschah am 10. Februar dieses Jahres, am Aschermittwoch. Offenbar hatte ein Mitarbeiter in der Mail eines unbekannten Absenders den Anhang geöffnet – obwohl die IT-Abteilung nur wenige Tage zuvor genau davor gewarnt hatte. Die Folge: "Ein Virus hat das Kliniknetzwerk befallen." Die Hacker versuchten, das Haus zu erpressen.

Krisenstab suchte Rat bei LKA und BSI

Ein Krisenstab beschloss, das gesamte IT-System sofort herunterzufahren. Das Lukaskrankenhaus schaltete das Landeskriminalamt ein und erstattete Anzeige. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde ins Boot geholt.

"Am 10. Februar begann unsere Reise in die Vergangenheit", berichtete Krämer. Alles, was bisher computerbasiert lief, musste wieder händisch gemacht werden. Dadurch wurden die Abläufe gestört. Alle unaufschiebbaren Operationen konnten aber durchgeführt werden. Die Klinik meldete sich vorübergehend – insgesamt 30 Stunden – von der Notfallversorgung ab. Das Krankenhaus informierte sowohl die Mitarbeiter als auch die Patienten über die Geschehnisse und wandte sich auch offensiv mit einer Pressemitteilung an die breite Öffentlichkeit.

Am 14. Februar kam die Entwarnung, in den Systemen konnte keine weitere Schadsoftware identifiziert werden. Einen Tag später begann die Klinik damit, die Systeme wieder hochzufahren.

Dabei arbeitete man mit einer Priorisierung, sagte der Geschäftsführer in Mönchengladbach. Als erstes kam das Labor dran, dann das SAP-System, das zur Medikamentenbestellung benötigt wird, es folgte die Strahlentherapie. Am 25. Februar war nach Angaben des Geschäftsführers der Krisenmodus beendet.

Nicht auf Erpressung eingegangen

Offenbar war die Cyber-Attacke nicht gezielt gegen das Lukaskrankenhaus gerichtet. Dem damit verbundenen Erpressungsversuch hat die Klinik nicht nachgegeben. "Auf Empfehlung des Landeskriminalamts und des BSI haben wir nicht gezahlt."

Krämer beziffert den durch die Cyber-Attacke entstandenen Schaden mit rund einer Million Euro. Das Geld floss vor allem an "sündhaft teure IT-Sicherheitsexperten".

Das Patientenaufkommen habe sich durch die kriminelle Attacke nicht verringert, berichtete er. "Uns ist kein Erlösausfall entstanden." Wichtig war aber vor allem eins: "Hochsensible Patientendaten sind zu keinem Zeitpunkt kompromittiert gewesen."

Krise erwies sich als Chance

Die Krise hat sich in den Augen Krämers für das Lukaskrankenhaus als Chance erwiesen. "Wir haben die Probe aufs Exempel gemacht und festgestellt, dass man auch als hochgradig automatisiertes Krankenhaus im Handbetrieb bestehen kann."

Durch die Geschehnisse seien die Mitarbeiter des Hauses zusammengerückt, es sei ein neues Gemeinschaftsgefühl entstanden. "Außerdem sind wir auf eindrucksvolle Weise auf unsere Schwachstellen aufmerksam gemacht worden", betonte er.

BSI-KritisV Mit einer Verordnung zu kritischen Infrastrukturen (BSI-KritisV) regelt das Bundesamt für Sicherheit in der Informationstechnik (BSI), welche Unternehmen aus einzelnen Sektoren unter das IT-Sicherheitsgesetz fallen. Die Vorgaben für den Gesundheitssektor und damit auch die Krankenhäuser sollen bis Frühjahr 2017 stehen. Dazu gehört die Einrichtung einer Stelle, die Cyber-Angriffe an das BSI meldet. Klar ist bereits, dass mit Blick auf die IT-Sicherheit nicht an alle Krankenhäuser die gleichen Maßstäbe angelegt werden.