Die Urologische Klinik in Planegg bei München macht kein Geheimnis daraus: Im Januar 2021 drangen Cyber-Kriminelle in das Computersystem des Spezialkrankenhauses ein und verschlüsselten die Daten. Die Erpresser verlangten Lösegeld. Klinik-Direktor Prof. Dr. Martin Kriegmair war in Alarmstimmung. Der Arzt machte sich auch Sorgen, dass Patienten zu Schaden kommen könnten, weil Informationen nicht verfügbar waren - etwa Daten über Allergien, die bei früheren Behandlungen gesammelt wurden.
Kriegmair und die Führungsmannschaft des Spezialkrankenhauses, das 75 Betten umfasst, entschieden deshalb schnell, das Lösegeld zu zahlen. Die Verhandlungen mit den Erpressern und die Abwicklung übernahm eine Firma, die sich auf solche Aufträge spezialisiert hat. Der Klinik-Direktor selbst hätte nicht gewusst, wie er das Lösegeld in der Kryptowährung Bitcoin übermitteln soll.
Das Krankenhaus schaltete auch die Polizei ein. Doch obwohl die Sicherheitsbehörden in den vergangenen Jahren ihre Kapazitäten zur Bekämpfung von Cyber-Kriminalität deutlich ausgebaut haben, können sie Erpresser meist nicht dingfest machen oder blockierte Computersysteme wieder freibekommen.
Erpresser gaben Rabatt für Kliniken
Kriegmair berichtet über die Einzelheiten der Verhandlungen mit den Cyber-Kriminellen. Er habe ihnen übermitteln lassen, "Hoppla, ihr habt hier eine soziale Einrichtung getroffen, ein Krankenhaus", erzählt er. Daraufhin seien die Erpresser mit ihrer Forderung deutlich nach unten gegangen. Er habe in dieser Zeit gelernt, so Kriegmair, dass es "offenbar einen Ehrenkodex" bei den Kriminellen gibt. Gezahlt habe das Krankenhaus am Ende eine Summe "im niedrigen sechsstelligen Bereich", sagt er, ohne eine genaue Zahl zu nennen.
Zahlen oder nicht?
Der Geschäftsführer der Bayerischen Krankenhausgesellschaft (BKG), Roland Engehausen, findet es gut, wenn Kliniken offen über Probleme reden, die sie mit Cyber-Attacken haben. Denn auf diese Weise könnten die Häuser voneinander lernen, hofft er. Allerdings hält er es für problematisch, wenn Kliniken Lösegeld zahlen und damit das Geschäftsmodell der Cyber-Kriminellen ungewollt unterstützen: "Nicht erpressen lassen ist schon wichtig," sagt Engehausen ergänzt aber, dass es immer die eigene Entscheidung des Krankenhauses sei, ob es zahle oder nicht.
Für Kriegmair war es dagegen nur "eine schöne theoretische Frage", als sein Haus vor zweieinhalb Jahren zu entscheiden hatte, ob es Lösegeld zahlt oder nicht. Der Betrieb habe weiterlaufen müssen, sagt er. "Der Schaden wäre ungleich höher gewesen, wenn wir das nicht bezahlt hätten."
Inzwischen habe sein Krankenhaus bestmögliche Vorkehrungen getroffen, um nicht noch einmal Opfer einer solchen Attacke zu werden. Kriegmair betont jedoch auch: Vor zweieinhalb Jahren habe sich sein Haus auf einen externen Online-Dienstleister verlassen, der mit einer Firewall Schutz gegen Cyber-Angriffe garantieren sollte. Doch in der Firewall sei eine Lücke gewesen.
Kein hundertprozentiger Schutz möglich
Norbert Butz, der bei der Bundesärztekammer das Dezernat Digitalisierung in der Gesundheitsversorgung leitet, betont dabei: Absolute Sicherheit vor Cyber-Attacken gebe es nicht: "Es gehört zur Redlichkeit, das nicht zu versprechen." Gleichzeitig ermahnt er alle Beteiligten, die Cyber-Sicherheit im Gesundheitswesen ernst zu nehmen. Die Gesundheitsversorgung gerate "immer mehr in den Fokus, Ziel einer Cyber-Attacke zu werden". Denn die digitale Vernetzung zwischen Kliniken, Arztpraxen, Versicherungen und anderen Gesundheitseinrichtungen werde immer enger - damit stiegen auch die Risiken.
Chancen und Risiken abwägen
Butz ist sich jedoch auch sicher, dass die Chancen, die die immer engere digitale Vernetzung bietet, weit größer sind als die Risiken. Das glaubt auch Kriegmair - sich abschotten zu wollen, sei keine Option, betont er. "Da gibt es unendlich viele Gründe, warum man die Digitalisierung nach vorne treiben muss," sagt Kriegmair. Als Beispiel nennt er den schnellen Zugriff auf Patientendaten.
Zusammenarbeit bei Cyber-Sicherheit
Um die Risiken beim Datenaustausch so gering wie möglich zu halten, sei aber eines nötig, stellt Engehausen fest: "Wenn Profis angreifen, dann braucht es auch in der Klinik Profis." Und er empfiehlt den Häusern seines Verbandes, sich nicht auf ein oder zwei Fachleute in der eigenen Belegschaft zu verlassen: "In den allermeisten Kliniken ist es klüger, sich diese Profis auch von außen zu holen."
Auch um die Zusammenarbeit in der Cyber-Sicherheit zu verbessern, gründeten bayerische Kliniken im Mai eine Genossenschaft, die Lösungen für IT-Probleme entwickeln soll. Die Genossenschaft hat rund 30 Gründungsmitglieder, das ist etwa ein Zehntel der Kliniken in Bayern. Die "Klinik-IT-Genossenschaft" hofft aber auf weiteren Zuwachs.
Hygiene auch im Cyber-Raum
Butz warnt aber davor, sich beim Thema Cyber-Sicherheit nur darauf zu verlassen, dass andere etwas tun: "Da braucht es bei allen Beteiligten, also bei Ärztinnen und Ärzten und Patientinnen und Patienten, mehr Digitalkompetenz."
Sprich: So wie es für Krankenhauspersonal, ebenso wie für Besucher, selbstverständlich sein sollte, auf Hygiene zu achten, um die Ausbreitung von Infektionen einzudämmen, sollte es auch selbstverständlich sein, auf "Digital-Hygiene" zu achten. Patienten, die E-Mails an Praxen oder Krankenhäuser schicken, oder digitale Patientenakten teilen, sollten sicherstellen, dass ihre Computer oder Smartphones bestmöglich geschützt sind.
💬 Mitdiskutieren lohnt sich: Die folgende Passage hat die Redaktion aufgrund der Kommentare der Nutzer/innen "Der_Tatortbeschmutzer" und "darfich" im Rahmen des BR24 Projekts "Dein Argument" ergänzt.
Laut dem Landeslagebild Cybercrime Bayern 2022 des Bayerischen Landeskriminalamts gab es im vergangenen Jahr 2.270 Straftaten, bei denen Täter sogenannte informationstechnische Zugangssicherungen überwinden konnten. Es handelt sich dabei zum Beispiel um Datendiebstahl oder IT-Sabotage. Dem gegenüber stehen 3.611 Fälle, in denen Täter personenbezogene Daten, zum Beispiel Zugangsdaten, erlangten und so in geschützte Bereiche eindringen konnten.
Die Techniken zur direkten Manipulation von Menschen, um an vertrauliche Informationen zu kommen, werden als "Social Engineering" bezeichnet. Die bekannteste und meistgenutzte Variante ist das "Phishing". Hier werden authentisch wirkende Mails, Textnachrichten oder Websites genutzt, um Nutzerinnen und Nutzer dazu zu verleiten, ihre Zugangsdaten preiszugeben. 2022 registrierte das Bayerische Landeskriminalamt 1.720 dieser Straftaten. Neben der fortschreitenden IT-Sicherung gehört zur Präventionsberatung der Polizei auch, Personen beim Thema Datenschutz zu sensibilisieren. 💬
Vor allem sollte in Kliniken und Praxen die Cyber-Sicherheit tatsächlich Chefsache sein, findet Butz. Denn, so wie die Gesellschaft gelernt habe, mit Bakterien und Viren zu leben, die Menschen krank machen können, so müsse sie auch lernen, sich vor Computerviren zu schützen, auch im Gesundheitswesen.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!