Sicherheitslücken in Kliniken
Klinken in Hessen werden immer öfter von Hackern angegriffen. Die SPD und ein IT-Experte fordern deshalb mehr Investitionen in den Schutz sensibler Daten.
Hessens Kliniken müssen vermehrt Angriffe von Hackern oder Schadstoffsoftware abwehren. Das geht aus einer Umfrage der Landesregierung hervor. „Von 46 Krankenhäusern, die eine Rückmeldung gegeben haben, meldeten elf einen Vorfall“, sagt SPD-Landtagsabgeordnete Daniela Sommer (SPD), auf deren Anfrage das hessische Sozialministerium tätig geworden war. Beim Schutz sensibler Daten müsse das Land Krankenhäuser finanziell besser unterstützen: „Angriffe auf die IT-Sicherheit sind keine Ausnahmeerscheinungen mehr und schon gar keine Bagatelle.“
Die Umfrage zeigt lediglich einen Ausschnitt. Insgesamt gibt es in Hessen 127 Plankrankenhäuser. Von den 46, die antworteten, war das Gesundheitszentrum Odenwaldkreis am härtesten betroffen. Vor zwei Jahrenmussten im Kreiskrankenhaus Erbach 18 Stunden lang Aufträge für Labor, Röntgen oder Ultrallschalluntersuchungen per Hand geschrieben werden, weil der Computer nicht funktionierte, berichtet Geschäftsführer Andreas Schwab. Stationäre Aufnahmen wurden ebenfalls nur auf Zetteln registriert. Auslöser war ein Mail-Anhang, den einer der 1000 Mitarbeiter unbedarft geöffnet hatte. Als Reaktion hat das Gesundheitszentrum 30 000 Euro in die IT Security investiert.
Risiko auch für Arztpraxen
Daten von Patienten seien nicht abgeflossen, teilten die Odenwälder dem Sozialministerium mit. Das gilt auch für die anderen zehn Häuser, die sich als Opfer outeten. Bei den Vitos-Kliniken etwa war die IT einmal vier Stunden lahmgelegt, einmal eine Stunde. Das Gesundheitszentrum Wetterau konnte noch rechtzeitig den Trojaner „Locky“ eliminieren. Auch die Kerckhoff-Klinik Bad Nauheim erreichten Mails mit ominösen Anhängen. Bei Scivias Caritas in Kiedrich wurden Terminalserver beschädigt. Das Klinikum Hanau berichtet von einem „Angriff durch Ransomware“, das Dateien verschlüsselte, die eineinhalb Stunden lang nicht nutzbar waren.
„Die IT der Krankenhäuser ist regelmäßigen Bedrohungen ausgesetzt“, bilanziert Sozialminister Stefan Grüttner (CDU) in seiner Antwort auf die SPD-Anfrage. Vereinzelt sei es zu „vorübergehenden Beeinträchtigungen“ des Betriebs bis hin zu Beschädigungen gekommen. Die größte Bedrohung gehe wohl von Schadstoffsoftware aus. Sie könne den Krankenhausbetrieb wesentlich stören, wie der Vorfall im Lukas-Krankenhaus Neuss im Februar 2016 gezeigt habe.
Mehr als zehn Tage hatte dort eine Schadsoftware die Computersysteme lahmgelegt. Rettungswagen konnten schwere Notfälle nicht bringen, Operationen wurden verschoben. In den Tagen danach erfolgten bundesweit weitere Attacken auf Kliniken. Die Nachricht hatte die Branche aufgeschreckt. Viele Kliniken investierten zusätzlich in Sicherheit und würden mehr Unterstützung von Bund wie Land begrüßen, sagt Hans-Christian Vatteroth, Referatsleiter der Hessischen Krankenhausgesellschaft: „Wir brauchen aber nicht nur zusätzliche Mittel, sondern auch das Fachpersonal für die IT.“
Die fehlende Manpower sei der Knackpunkt, sagt Thomas Friedl, Informatiker und Professor am Fachbereich Gesundheit der Technischen Hochschule Mittelhessen. „Es ist nicht die Frage ob, sondern wann und wo Krankenhäuser erfolgreich gekapert werden.“ Der Handel mit Patientendaten sei lukrativ, mit verschlüsselten Daten könne man Geschäftsführungen erpressen. Das Risiko betreffe auch andere Bereiche im Gesundheitswesen wie niedergelassene Ärzte oder Psychotherapeuten. Was die Finanzierung betrifft, sieht Friedl weniger die Politik in der Pflicht als die Krankenkassen, sprich die Allgemeinheit. „Sicherheit kostet nun mal Geld.“