Die Kantone müssen die Verantwortung für die IT-Sicherheit in ihren Spitälern übernehmen
Der jüngste erfolgreiche Cyberangriff auf die Hirslanden-Gruppe zeigt die Verletzlichkeit des Gesundheitswesens. Die Gefahr ist schon lange erkannt, doch der Ausbau der IT-Sicherheit geht zu langsam voran.
Spitäler zählen zu den sogenannten kritischen Infrastrukturen. Entsprechend hoch muss deshalb auch die Cybersicherheit gewichtet werden.
Am Schluss wunderten sich alle, wie es so weit kommen konnte. Die Pandemie war als Risiko erkannt, der Bedarf war eruiert und die Verantwortung den Spitälern zugewiesen. Doch als das Coronavirus dann kam, gab es dennoch zu wenig Masken – trotz allen Warnungen. Dasselbe Versagen droht im Gesundheitswesen bei der Cybersicherheit.
Das Risiko eines Cyberangriffs auf Spitäler ist längst erkannt, Warnungen gibt es seit Jahren – und doch geschieht zu wenig. Die Schweizer Spitäler sind nicht alle genügend vorbereitet auf einen schwerwiegenden Angriff. Die gute Nachricht ist: Im Unterschied zu den fehlenden Hygienemasken ist es beim Schutz vor Cyberangriffen noch nicht zu spät. Aber die Zeit drängt.
Ruf nach dem Bund alleine hilft nicht
Der erfolgreiche Angriff auf die Hirslanden-Gruppe, den die NZZ publik gemacht hat, erscheint wie eine letzte Warnung. Mit der Ausbreitung der Pandemie hat sich die Verletzlichkeit der Spitäler erhöht, was Cyberkriminelle auszunutzen versuchen. Dass der Bund deshalb seine Anstrengungen zum Schutz des Gesundheitswesens verstärkt hat, ist richtig. Doch Bern allein kann das Problem nicht lösen.
Der Ruf nach zentralen Vorgaben des Bundes hilft nicht, aus mehreren Gründen. Sicherheit lässt sich ganz allgemein nicht von oben verordnen, die Zuständigkeiten im Gesundheitswesen sind föderalistisch verteilt, und in der Medizin gibt es technische Besonderheiten. Die Lösung kann deshalb nicht eine einzelne Massnahme sein.
Weil Spitäler und das Gesundheitswesen insgesamt eine vitale Funktion für das Land haben, zählen sie zu den sogenannten kritischen Infrastrukturen. Entsprechend hoch muss deshalb auch die Cybersicherheit gewichtet werden – denn ein erfolgreicher Angriff kann tödliche Folgen haben. Investitionen in die IT-Sicherheit sind möglicherweise genauso lebensrettend wie in ein Röntgengerät.
Viele, insbesondere die grösseren Spitäler haben dies erkannt und die IT-Sicherheit ihrer Systeme in den letzten Jahren erhöht. Wo dies nicht geschehen ist, kann das an der Spitalleitung liegen, welche die Wichtigkeit des Themas noch nicht erkannt hat. Oder es gibt finanzielle Hürden bei der konkreten Umsetzung: Im Unterschied zur IT-Sicherheit lässt sich der Nutzen eines neuen Röntgengeräts klar beziffern, medizinisch und finanziell.
Hier stehen auch die Kantone in der Verantwortung: Gerade kleinere Spitäler stehen unter einem grossen finanziellen Druck, sind womöglich gar von einer Schliessung bedroht. Ein Ausbau der Cybersicherheit steht in so einem Fall kaum im Vordergrund. Diese Kosten müssen die Kantone in ihrer Spitalplanung ebenfalls berücksichtigen.
Kantone sind für Finanzierung und Kontrolle zuständig
Die Kantone nehmen dabei eine problematische Doppelrolle ein: Als Verantwortliche für das Gesundheitswesen liegt es an ihnen, die Einhaltung von Sicherheitsstandards zu überwachen. Gleichzeitig finanzieren sie die öffentlichen Spitäler aber auch. Kein Wunder, wird die Kontrollfunktion vernachlässigt – auch weil bis anhin spezifische Vorgaben für die Spitäler fehlen.
Als technische Besonderheit kommt die starke Regulierung der Medizinaltechnik hinzu. Nur der Hersteller darf die Software auf einem zertifizierten Gerät aktualisieren, um etwa eine Sicherheitslücke zu schliessen. Das kann zu Verzögerungen oder Mehrkosten führen. Im schlimmsten Fall bietet der Hersteller für ältere Geräte gar kein Update mehr an. Das Spital steht dann vor der Wahl, für mehrere zehntausend Franken ein neues Röntgengerät zu beschaffen – oder das alte trotz Sicherheitslücken noch einige Jahre weiterzubetreiben.
Die Pandemie hat die Gefahr eines Cyberangriffs auf die Spitäler erhöht. Sie hat aber auch das Thema auf der Agenda nach oben rücken lassen. Es ist zu hoffen, dass nun die letzten Spitaldirektoren die Wichtigkeit von IT-Sicherheit erkennen. Und dass die kantonalen Gesundheitsdirektoren sich rasch auf verbindliche Vorgaben für die Spitäler einigen können – und sie auch umsetzen. Der Bund soll ein wachsames Auge darauf haben und auf die Mängel hinweisen. In der Verantwortung stehen aber die Spitäler und die Kantone.
Wer denn sonst, wenn nicht die Kantone, welche die Verantwortung für deren Spitälern (natürlich inklusive IT-Sicherheit) zu übernehmen haben. Und das nicht nur wegen der besagten Verletzlichkeit des Gesundheitswesen. Dem Ausbau der IT-Sicherheit muss oberste Priorität zukommen. Eine Selbstverständlichkeit, wer sich im Klaren ist, was das für operationelle Risiken beinhaltet. Erfolgreiche Cyber-Angriffe sind veritable Gründe, weshalb auf solche Spitäler allzu gerne verzichtet wird, sobald sich solches herum spricht. Damit will niemand etwas zu tun haben. Geschweige ein Opfer deswegen zu werden. Der Ausbau gilt es zu beschleunigen. Denn der Zeilauf, während welchem die Cyberunsicherheit um sich greift, ist bereits so kurz, dass jegliches Zuwarten zur Katatstrophe werden kann. Die Zeit / Gefahr drängt!