Cybersicherheit

NEUSS/GIEßEN. Am Morgen des 10. Februar 2016 ist die Stimmung im Lukaskrankenhaus gereizt. Die Systeme arbeiten ungewöhnlich langsam, Fehlermeldungen laufen ein, an den meisten Rechnern geht bald gar nichts mehr. Schließlich ploppt auf einigen Bildschirmen eine Botschaft auf: Sämtliche Dateien, heißt es da, seien verschlüsselt, wolle man sie wiederhaben, werde ein Lösegeld fällig.

Die Cyberattacke auf das Lukaskrankenhaus in Neuss hat einer staunenden Öffentlichkeit erstmals vor Augen geführt, wie angreifbar inzwischen Institutionen sind, deren lebensrettender und lebenserhaltender Dienst am Menschen abhängig von digitaler Infrastruktur ist.

Haben deutsche Kliniken aus dem Angriff damals gelernt? Wie sicher sind ihre Patientendaten? Können Hacker auch medizinische Geräte manipulieren? Diesen Fragen geht der Hessische Rundfunk in einer Serie im Informationsradio HR-Info nach.

Dazu dokumentiert der Sender zunächst den am Aschermittwoch 2016 erfolgten Angriff auf das Lukaskrankenhaus in Neuss. Später geht es um einen Testangriff von IT-Sicherheitsprofis auf das Evangelische Krankenhaus Mittelhessen in Gießen.

28 Kliniken in NRW betroffen

Im Frühjahr 2016 meldeten 28 Krankenhäuser in NRW Cyberangriffe an das Gesundheitsministerium des Landes, die alle nach demselben Muster verliefen: Im Anhang einer E-Mail hatten Erpresser einen Trojaner versteckt, der sich beim Öffnen im Krankenhausinformationssystem verbreitete und der Firewalls wie Antivirenprogramme austrickste, indem er ständig seine Signatur änderte.

Wer auf die Erpressung mit der Ransomware (englisch ransom für Lösegeld) wie reagierte, ob und welche Kliniken für die Entschlüsselung ihrer Daten zahlten, ist nicht bekannt. Die meisten Krankenhäuser hielten den Vorfall – wie nahezu alle Unternehmen, die Opfer solcher Attacken werden – aus Angst vor einem Imageverlust geheim.

Das Lukaskrankenhaus dagegen wählte den umgekehrten Weg und informierte neben dem Gesundheitsministerium, dem Landeskriminalamt (LKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auch die Öffentlichkeit – im Rückblick ein Glücksfall.

"Das war wirklich besonders", sagt Henning Steiner, der mit seinem Kollegen Oliver Günther die HR-Podcast-Serie zum Cybercrime verantwortet. "Dadurch wurde zum ersten Mal deutlich, wie abhängig die moderne Medizin mittlerweile von funktionierender digitaler Technik ist."

Zurück in die 90-er nach Angriff

Tatsächlich katapultierte der Hacker-Angriff die Neusser Klinik zurück in die 1990-er Jahre: Nachdem man alle Systeme heruntergefahren hatte, mussten die Ärzte ihre Befunde wie früher per Hand schreiben, Röntgenbilder wurden vom Boten in die Abteilungen gebracht, Briefe mit Durchschlägen getippt.

"Bis die ersten Systeme wieder hochgefahren werden konnten, verging fast eine Woche", so Steiner. "Bis dahin blieb den Klinikmitarbeitern jeder Zugriff auf digitale Patientenakten verwehrt, mussten Operationen verschoben und das Krankenhaus zeitweise von der Notfallversorgung abgemeldet werden."

Auf Anraten des LKA hat das Lukaskrankenhaus weder das Lösegeld gezahlt noch Kontakt zu den Erpressern aufgenommen. Dennoch entstand ihm ein immenser Schaden, den Dr. Nicolas Krämer, Kaufmännischer Geschäftsführer der Einrichtung, später auf eine Million Euro bezifferte.

Das Geld sei fast ausschließlich für die Honorarzahlungen an externe Berater und IT-Sicherheitsexperten geflossen. Langfristig habe man insofern von diesen Investitionen profitiert, dass die digitale Sicherheitsarchitektur auf den neuesten Stand gebracht werden konnte.

Von einem Imageverlust könne dagegen keine Rede sein, habe man doch schon einen Monat nach dem Angriff mehr Patienten gezählt als im selben Vorjahresmonat.

Haben die Ereignisse von Neuss die IT-Sicherheit deutscher Kliniken flächendeckend verbessert? Das glaubt HR-Redakteur Steiner nicht. "Der Vorfall hat viele aufgeschreckt, das schon, doch nach wie vor haben viele Kliniken in punkto IT-Sicherheit großen Nachholbedarf."

Angreifbar seien ja nicht nur die internen Systeme, sondern vor allem auch die medizinischen Geräte. "Wenn ein Hacker eines dieser Geräte manipuliert und dieses dadurch ausfällt, ist im schlimmsten Fall selbst der Tod eines Patienten nicht auszuschließen."

Worst-Case-Szenario

Um dieses Worst-Case-Szenario ging es unter anderem auch bei einem Testangriff der Berliner IT-Sicherheitsfirma HiSolution auf das Agaplesion Evangelische Krankenhaus Mittelhessen in Gießen, über den die HR-Info-Redaktion ebenfalls in ihrer Serie berichtet. Die Simulation hatte das Krankenhaus selbst in Auftrag gegeben.

"Je weiter wir in der Digitalisierung voranschreiten, je mehr wir Medizintechnik und IT vernetzen, desto höher ist die Gefahr", sagt Sebastian Polag, Geschäftsführer des Gießener Krankenhauses. "Wenn ein Arzt beispielsweise aufgrund der von einem Hacker manipulierten Werte eines Patienten Therapieentscheidungen trifft, kann das in der Praxis fatale Folgen haben."

Filter für E-Mail-Anhänge

Das Evangelische Krankenhaus bestand den Praxistest mit Bravour, nicht zuletzt weil man 2016 die IT-Sicherheit konzernweit auf den Prüfstand gestellt hat. Seither werden etwa E-Mail-Anhänge von vornherein ausgefiltert, um sie in einer digitalen Quarantäne auf Viren zu untersuchen. Endgeräte werden ausnahmslos auf Richtlinienkonformität geprüft.

Zwei Tage hätten die Berliner IT-Experten vergeblich versucht, sich von außen Zugriff auf das klinikeigene System zu verschaffen, sagt Polag. Erst als man ihnen durch Bekanntgabe der entsprechenden Passwörter den Zugriff gewährt habe, hätten die Fachleute die ein oder andere Schwachstellen erkannt, die man dann habe beseitigen können.

"Eine Schwachstelle, die wir gar nicht auf dem Schirm hatten, betraf die zugekaufte Software für Medizinprodukte, die wir selbst nicht administrieren", berichtet Polag. "Theoretisch hätte man darüber sogar Zugang zu Patientendaten bekommen können. Wir haben das unmittelbar an den Hersteller gemeldet, der den Fehler dann auch schnell behoben hat."

Seither habe man sich auferlegt, jede zugekaufte Software einem Penetrationstest zu unterziehen. "Eigentlich wäre das natürlich Aufgabe des Herstellers". Polag fordert, die Firmen gesetzlich zu diesen Tests zu verpflichten.

"Leider müssen Krankenhäuser in Deutschland derzeit sämtliche Kosten für ihre IT-Sicherheit selbst tragen – da gibt es aktuell keine finanzielle Unterstützung vom Bund." Auch HR-Redakteur Steiner sieht den Kostendruck als eine der Ursachen, dass viele Kliniken ihre IT-Sicherheit vernachlässigen: "Wenn sich ein Krankenhaus zwischen einem neuen CT-Gerät und einem Gerät zur Datensicherung entscheiden muss, wählt es im Zweifelsfall das CT."