Cyberangriffe auf Krankenhäuser nehmen weltweit zu

Gleich mehrere Krankenhäuser sind in der vergangenen Woche Opfer von Cyberattacken geworden.
Gleich mehrere Krankenhäuser sind in der vergangenen Woche Opfer von Cyberattacken geworden.
Foto: dpa
Die Bedrohung durch Schadsoftware steigt: Internetkriminelle nehmen inzwischen den Gesundheitssektor ins Visier. Meist geht es um Geld.

Berlin. Gleich mehrere Krankenhäuser in Nordrhein-Westfalen sind in der vergangenen Woche Opfer von Cyberattacken geworden. Die Deutsche Krankenhausgesellschaft (DKG) spricht von sechs. Unbekannte hatten Daten mit dem Ziel verschlüsselt, Lösegeld zu erpressen. Der Klinikbetrieb wurde dabei empfindlich gestört. Unter anderem mussten Mediziner Termine für Operationen verschieben.

Auch aus den USA sind Angriffe auf medizinische Einrichtungen bekannt. Der letzte ereignete sich Medienberichten zufolge am 5. Februar. Hacker übernahmen die Kontrolle über die Informationstechnologie einer Klinik in Los Angeles. Als Gegenleistung für ihren Rückzug zahlte das Krankenhaus umgerechnet 15.000 Euro.

„Alles, was digitalisiert werden kann, wird digitalisiert.“ Das hat Telekom-Chef Timotheus Höttges vor einer Weile gesagt. Die Umstellung von analog auf digital, das Anschließen von Unternehmen, Maschinen oder Geräten an das weltweite Datennetz, wird als vierte industrielle Revolution bezeichnet. Diese umwälzende Entwicklung betrifft alle, auch das Gesundheitswesen.

„In hohem Maße abhängig von der eingesetzten Technik“

Wie sehr die Informationstechnologie schon heute die deutschen Kliniken prägt, berichtete das Bundesamt für Sicherheit in der Informationstechnologie (BSI) in einer „Risikoanalyse Krankenhaus IT“ aus dem Jahr 2013. „Die Krankenhäuser sind in hohem Maße von der vor Ort eingesetzten Technik abhängig“, so das BSI. Dies gelte sowohl für die administrativen Abläufe, als auch für die Kernaufgabe – „die medizinische Versorgung und Pflege der Patienten“.

Kliniken zählen in Deutschland genauso zu den sogenannten Kritischen Infrastrukturen wie Energie- oder Wasserversorger. Per Definition sind sie Einrichtungen, „deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen“ nach sich ziehen würde.

Die Leistungsfähigkeit der Technik ist dabei schon heute beeindruckend: Angenommen, die Patientendatenbank eines Arztes oder einer Klinikabteilung benötigt 50 Gigabyte Speicherplatz. Dann passt sie auf einen Chip, der so groß ist wie ein Daumennagel und im Handel 17,89 Euro kostet. Mithilfe des Mobilfunkstandards LTE lässt sich die Datenmenge innerhalb von gut einer Stunde ans andere Ende der Welt übertragen; im künftigen 5G-Netz reduziert sich diese Zeit auf 40 Sekunden. Genauso leistungsfähig lassen sich Datenmengen durchforsten: Der IT-Konzern Hewlett Packard sagt, dass sich 160 Petabyte, eine Datenmenge so groß wie ein Gebirge, in 250 Nanosekunden durchsuchen ließen. Licht legt in diesem Zeitraum 75 Meter zurück.

Angreifer können Terroristen sein

Angreifer auf Patientendaten oder Krankenhaus-IT können Terroristen sein, politisch motiviert. Oder Kriminelle, die Profit machen wollen. Sie nutzen dabei menschliche und technische Schwächen mithilfe leistungsfähiger Software aus. Das Potenzial scheint riesig zu sein. Laut der zentralen Sicherheitsbehörde der USA, dem FBI, zahlten Unbekannte im Frühjahr 2014 für eine einzige gestohlene digitale Krankenakte 50 Dollar, umgerechnet 45 Euro.

Die Verbreitung und Entwicklung entsprechender Schadsoftware schreitet mit schnellen Schritten voran. Sogenannte Verschlüsselnde Ransomware kann automatisch ganze Systeme in Geiselhaft nehmen und Lösegeld fordern. „Sie bedroht Organisationen genauso wie Individuen“ sagt Jornt van der Wiel, Sicherheitsexperte des Antivirussoftwareherstellers Kaspersky Lab. Im vergangenen Jahr waren 179.209 Computer von Kaspersky-Kunden Ziel von Verschlüsselungsransomware geworden.

Abgesehen von dieser Software gebe es in vielen Krankenhäusern aber noch ein Problem grundsätzlicherer Natur, sagt van der Wiel: „Krankenhäuser benutzen moderne medizinische Geräte, die genau genommen voll funktionstüchtige Computer mit einem Betriebssystem und installierten Programmen enthalten. Und in vielen Fällen sind diese nicht ausreichend abgesichert.“ Ein Hacker könnte deshalb Zugriff auf diese Geräte erlangen und so etwa alle Daten über die Patienten und deren Behandlung erlangen, erläutert der Experte. „Oder schlimmer noch, die Hacker könnten versuchen, die Geräte umzuprogrammieren und so die Diagnose beeinflussen oder sogar dem Patienten schaden.“

Bedrohliches Szenario in den USA

Wie es um die Sicherheit der IT in deutschen Kliniken steht, könnte womöglich die Deutsche Krankenhausgesellschaft sagen: Die hatte im Jahr 2012 eine entsprechende Untersuchung in Auftrag gegeben. Die Studie aber ist bisher nicht veröffentlicht worden. Eine Anfrage dieser Zeitung bei der DKG blieb bis Redaktionsschluss unbeantwortet.

Nicht auszuschließen also, dass die Ergebnisse ähnlich sind wie die des amerikanischen Sicherheitsberaters Scott Erven. Der hatte freie Hand, um sämtliche Medizingeräte einer großen Krankenhauskette im mittleren Westen der USA zu begutachten. Einem Bericht des Internetmagazins „Wired“ zufolge bot sich Erven in seiner zweijährigen Untersuchung ein bedrohliches Szenario: Defibrillatoren mit Bluetooth-Anschluss ließen sich von Unberechtigten fernsteuern. Auch Infusionspumpen zur Abgabe von Medikamenten und Röntgengeräte konnten manipuliert werden.

Das National Institute of Standards and Technology (NIST) bestätigte Ervens Ergebnisse in einer weiteren, unabhängigen Studie. Damit nicht genug, sollen im September des vergangenen Jahres etwa 55.000 Zugänge zu medizinischer Ausrüstung – darunter Kernspintomografen, nuklearmedizinische Geräte und Herzschrittmacher – im Internet aufgetaucht sein, berichtet das IT-Portal „The Register“.

Rechtsverordnung soll erst Ende des Jahres kommen

Krankenhäuser, so viel ist auch dem Gesetzgeber klar, benötigen Sicherheits- und Notfallkonzepte, physikalischen Einbruchschutz, kryptografische Verschlüsselungen. Bisher aber gibt es für sie keine IT-spezifische, rechtliche Verpflichtung zur Absicherung. Eine entsprechende Rechtsverordnung als Anhang des IT-Sicherheitsgesetzes wird Angaben des BSI zufolge erst für Ende dieses Jahres erwartet. Dann würde „ein Mindestniveau an IT-Sicherheit“ vorgeschrieben. Bis dahin gelten weiterhin die Empfehlungen des Bundesamtes für IT-Risikoanalysen und Reaktionen darauf.

Für alle Dienstleister im Gesundheitswesen wird das aber nicht gelten. Nicht jeder Apotheker, nicht jede Arztpraxis und auch nicht die Hersteller medizinischer Geräte werden „die Kriterien für eine Kritische Infrastruktur im Sinne des Gesetzes“ erfüllen.