Nach dem Hack auf eine Schweizer Schönheitsklinik zeigt sich: Jedes zweite Unternehmen in der Gesundheitsbranche befürchtet eine Cyberattacke

Das Gesundheitswesen hinkt in Sachen Digitalisierung anderen Branchen hinterher. Wenn Kriminelle Gesundheitsdaten stehlen, werden Patientinnen und Patienten unter Umständen erpressbar.

Gioia da Silva
Drucken
Eine Ärztin auf Nachtschicht dokumentiert an einem Computer Therapieansätze.

Eine Ärztin auf Nachtschicht dokumentiert an einem Computer Therapieansätze.

Philipp Von Ditfurth / Keystone

Als die Angestellten der Pallas-Kliniken am Morgen des 12. August ihre Computer hochfahren wollten, ging nichts mehr. Die Privatklinik wurde Opfer einer Cyberattacke, ihre Systeme blieben blockiert. Wer dahintersteckt, ist bis heute nicht bekannt. Die Klinik spricht in einer Medienmitteilung von einer «sehr aggressiven Ransomware einer unbekannten Gruppe».

Inzwischen ist die Krise überwunden, die Ärztinnen und Ärzte haben wieder Zugriff auf ihre Systeme. Nun können Brüste wieder vergrössert, Gesichter wieder gestrafft und Augen wieder gelasert werden. Pallas verweigert derweil die Auskunft darüber, ob eine Lösegeldsumme bezahlt wurde. Bekannt ist aber, dass die Klinik-Gruppe die Polizei über den Hack informierte und auch von ihr beraten wurde. Nun laufen Ermittlungen gegen Unbekannt.

Im Vergleich zu dem, was bei einem Hack auf Gesundheitseinrichtungen schiefgehen könnte, ist die Pallas-Gruppe nach heutigem Wissensstand mit einem blauen Auge davongekommen. So befand sich keine Patientin unter dem Messer, als die Systeme ausstiegen. Trotzdem wirft der Hack auf die Klinik die Frage auf, wie gut das Schweizer Gesundheitswesen gegen Cyberattacken geschützt ist, schliesslich wurde erst vor kurzem auch die Hirslanden-Gruppe angegriffen.

Schweizer Kliniken sind attraktive Ziele

Der Cyberschutz des Schweizer Gesundheitssystems sei lückenhaft, findet die Beratungsfirma Kaspersky. Sie publizierte am Mittwoch einen Bericht mit dem Titel «Patient Krankenhaus». Darin zeigt sich, dass das Schweizer Gesundheitswesen deutlich mehr von Ransomware-Attacken betroffen ist als das deutsche oder das österreichische. Fast 40 Prozent der befragten Schweizer Firmen gaben an, während der Pandemie eine Attacke erlebt zu haben. In Deutschland waren es 25, in Österreich 26 Prozent.

Weiter gab jedes zweite Schweizer Gesundheitsunternehmen an, dass es sich nicht ausreichend vorbereitet fühlt, um Cyberattacken abzuwehren. Zwei von drei Befragten glauben, dass ihnen die interne IT-Expertise fehlt, um das eigene Unternehmen vollumfänglich zu schützen. Einer von drei gab an, das Budget für die IT-Sicherheit für die nächsten zwei Jahre reiche nicht aus.

Diese Erkenntnisse passen zu einer Studie aus dem Jahr 2020. Darin kam das Beratungsunternehmen Synpulse zum Schluss: Das Schweizer Gesundheitswesen hinkt bei der Digitalisierung anderen Branchen hinterher.

Wer soll über eine Abtreibung Bescheid wissen dürfen?

Die grösste Bedrohung sieht die Schweizer Gesundheitsbranche laut der Kaspersky-Studie im Verlust von Patienten- und Unternehmensdaten. Pallas, die gehackte Klinik-Gruppe, sagt auf Anfrage, sie habe keine Indizien dafür, dass die Angreifer Daten von Patientinnen und Patienten kopiert hätten. Mit Sicherheit ausschliessen lässt sich dies bei Hacks allerdings nie.

Werden Daten gestohlen, können sich Kriminelle damit Vorteile verschaffen. Kommen sie an Telefonnummern oder E-Mail-Adressen von Patienten und deren Notfallkontakten, können sie unter Umständen deren Umfeld um Geld für einen vorgespielten Notfall bitten: einen erfundenen Überfall im Ausland beispielsweise, mit der Bitte, ein paar hundert Franken für einen Rückflug oder ein Hotel zu schicken. Vor solchen Fällen warnt das Sicherheitsdepartement der Stadt Zürich auf einer Website. Persönliche Daten werden aber auch gehandelt. Denkbar wäre, dass Kriminelle damit unter falschen Identitäten leben.

Im Gesundheitsbereich gehen die Risiken aber weiter: Möchte jemand eine Abtreibung, eine psychische Behandlung oder eine Schönheitsoperation verschleiern, ist die Person mit gestohlenen Gesundheitsdaten unter Umständen erpressbar. Das mag zwar nur auf wenige Personen tatsächlich zutreffen, doch das Beispiel soll illustrieren: Gesundheitsdaten sind privat und gehören nicht in die Hände von Kriminellen.

Spitäler, Kliniken und Gesundheitsdienstleister sind daher verpflichtet, Daten ihrer Patientinnen und Patienten besonders gut zu schützen. Dass sich nur jedes zweite Unternehmen ausreichend gegen Gefahren aus dem digitalen Raum geschützt fühlt, spricht nicht für die Branche.