Online-Terminvergabe für Patienten, KI zur Tumorerkennung, Medikamentenpläne anhand von Online-Datenbanken, kommunizierende Herzschrittmacher, Cloud-Speicher für Patientenakten oder digitales Entlassmanagement: Die Digitalisierung ist aus der medizinischen Disziplin nicht mehr wegzudenken. Doch bei allen Vorteilen, die eine Digitalisierung bietet, steigt damit auch das Risiko von Angriffen aus dem Cyberraum. Dabei ist die Anzahl der Cyberangriffe in den letzten Jahren gestiegen: Cyberattacken auf Gesundheitseinrichtungen nehmen bedrohlich zu. Cyberkriminelle legen IT-Systeme lahm und fordern Schutz- und Lösegelder.

Im ersten Halbjahr 2021 haben sich Hacker-Angriffe weltweit mehr als verdoppelt, so die Bilanz der Organisation Cyber Investigations (CIFR). Deutschland zählte bereits im Jahr 2020 offiziell 14,8 Mio. „Infektionen“ mit kriminellen Schadprogrammen, die den Netzbetreibern übermittelt wurden. Diese sind ebenso alarmiert wie Versicherungsunternehmen, Softwarehersteller oder das Bundesamt für Sicherheit in der Informationstechnik (BSI). Nordrhein-Westfalen registrierte einen besonders dramatischen Angriff: In der Nacht auf den 10. September 2020 fingen die Computer der Universitätsklinik Düsseldorf an zu rebellieren.

Der morgendliche Dienst begann mit Irritationen und zunehmender Hilflosigkeit. Die gesamte IT funktionierte nicht mehr. Kein Mail-Empfang, kein Austausch von Patientenbefunden, keine Kommunikation. Cyberkriminelle hatten alle 30 Server der Klinik verschlüsselt und lahmgelegt. Über Botendienste wurden die Stationen informiert. Doch der Klinikbetrieb musste weiterlaufen. 500 Ärzte luden auf ihren Smartphones eine Notfall-Kommunikations-App hoch, um wenigstens Informationen und Befunde auszutauschen. So konnte die Uniklinik 13 Tage lang keine Notfallpatienten aufnehmen, Behandlungen und OPs wurden abgesagt. Der Rettungsdienst musste entfernte Kliniken anfahren, eine Notfallpatientin starb.

Schäden nicht immer vermeidbar

Wenn unsere Sicherheit durch Cyberattacken außer Kraft gesetzt wird, werden nicht nur Daten missbraucht. Es besteht auch die Gefahr, dass Gesundheitseinrichtungen unter der Last der Angriffe zusammenbrechen, weil die digitale Infrastruktur kollabiert. Cyberangriffe führen zu sofort sichtbaren Schäden, wie Rechnerausfall, Produktionsschäden, Lösegeldforderungen usw. Oft noch gravierender sind die Folgeschäden. Dazu gehören Schadenersatzforderungen, Bußgelder wegen DSGVO-Verstößen und die Kosten im Zusammenhang mit der Wiederherstellung oder Wiederbeschaffung der Daten.

Der Gesetzgeber hat dieses Risiko vor allem bei größeren Krankenhäusern gesehen und entsprechend geregelt. Nach Maßgabe der BSI-Kritisverordnung (BSI-KritisV) zählen Krankenhäuser zu Betreibern kritischer Infrastruktur (KRITIS), sofern sie einen Schwellenwert von 30.000 vollstationären Fällen pro Jahr überschreiten. Im BSI-Gesetz (BSIG) wird den KRITIS-Betreibern die Pflicht auferlegt, ihr IT-System durch angemessene organisatorische und technische Vorkehrungen vollumfänglich zu schützen und dabei den Stand der Technik einzuhalten.

Bei einem Pflichtverstoß drohen empfindliche Geldbußen von bis zu 20 Mio. €. Diese Verpflichtungen galten bisher nur für als KRITIS-Betreiber eingestufte Krankenhäuser. Dies wird sich durch das im Oktober 2020 erlassene Patientendatenschutzgesetz (PDSG) und den neu eingeführten § 75c SGB V zukünftig allerdings ändern. Demnach sind seit dem 1. Januar 2022 ausnahmslos alle Krankenhäuser verpflichtet, Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Kurzgefasst bedeutet das: Auch kleinere Krankenhäuser sind nun verpflichtet, ihre IT-Systeme nach dem Stand der Technik durch angemessene Vorkehrungen zu schützen.

Die Situation ist teilweise desaströs

„Zehn kriminelle Organisationen nutzen die Schwachstellen gegenwärtig für ihre Angriffe aus“, so Michael Dwucet vom BSI. Das BSI stufte die Bedrohungslage immer wieder als extrem kritisch ein. Hacker hätten die Möglichkeit, Daten abzugreifen oder weitere Schadsoftware zu installieren. In Deutschland sind nach der Ansicht des BSI Zehntausende Exchange-Server über das Internet angreifbar „und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert“. Das Bundesamt hatte deshalb die Unternehmen direkt angeschrieben, deren Exchange-Server nach ihrer Kenntnis betroffen sind, und Empfehlungen für Gegenmaßnahmen gegeben. Es seien mehr als 9.000 Unternehmen kontaktiert worden. Die tatsächliche Anzahl verwundbarer Systeme in Deutschland dürfte noch deutlich höher liegen.

Die genauen Ursachen für Sicherheitsversagen sind unterschiedlich: „Wegen der Pandemie haben viele Unternehmen ihre Exchange-Server direkt verfügbar gemacht“, erläutert Robert Formanek vom BSI. Dabei wurde dann auf die eine oder andere im Unternehmen selbst vorgesehene Absicherung verzichtet. Und so wurden z. B. die Exchange-Server zum Angriffsziel. Sensible Patientendaten laufen Gefahr, im Darknet zu landen und von Cyber-Kriminellen missbraucht zu werden. Die Empfehlung für Systemadministratoren: Schwachstellen schließen, Updates aufspielen, die Systeme auf dem aktuellen Stand halten. Das kostet Geld, aber es gibt inzwischen Ansporn dafür.

Druck auf Software-Hersteller fehlt

Krankenhäuser sind angehalten, noch mehr auf die IT-Sicherheit zu achten. Die zunehmende Digitalisierung ist sowohl für Patienten als auch für Ärzte, Pflegende und Krankenhausbetreiber gut, jedoch nur unter Einhaltung der Sicherheitsstandards. So sollten Krankenhausbetreiber die bestehenden IT-Sicherheitsstrukturen mit Blick auf die steigenden Anforderungen noch einmal überprüfen und Schutzlücken schließen. Bei Bedarf sollte Unterstützung durch Rechts- und Technikexperten eingeholt werden. Diese Verpflichtungen können Krankenhausbetreiber insbesondere dann erfüllen, wenn sie die branchenspezifischen Sicherheitsstandards (B3S) in der jeweils gültigen Fassung umsetzen. Der B3S beschreibt informationssicherheitstechnische Prozesse und Maßnahmen, anhand derer ein angemessenes Schutzniveau erreicht werden kann. Die Einhaltung der B3S ist in § 75c Absatz 2 SGB V als Empfehlung normiert.

Allerdings hat auch die Aufsicht der Behörden immer wieder versagt. Neben dem BSI sind nämlich auch weitere Behörden zuständig: Nationales Cyber-Abwehrzentrum, Nationaler Cyberrat, BKA, 16 LKAs, Bundesamt und Landesämter für Verfassungsschutz, Kommando Cyber- und Informationsraum der Bundeswehr und Bundesnachrichtendienst. Diese Behörden arbeiten oft in Konkurrenz zueinander. Diese „vernetzte Unsicherheit“ sorgt dafür, dass die Software-Hersteller nicht ausreichend in die Pflicht genommen werden.

Meldepflicht als Konsequenz

Nicht nur aus den vorgenannten Gründen bedarf es angemessener IT-Sicherheitsmaßnahmen. Eher ist in den Fokus zu nehmen, dass nahezu jeder IT-Sicherheitsvorfall auch eine (meldepflichtige) Datenschutzverletzung nach sich zieht. Hierbei ist nicht nur an Cyberattacken zu denken, sondern auch an den Umgang mit personenbezogenen Daten im Rahmen des operativen Klinikbetriebs. Eine der häufigsten Datenschutzverletzungen, die ein Bußgeld nach sich zog, war ein nicht vorhandenes oder unzureichendes Rollen- und Berechtigungssystem für die Patientendaten. So war es allen Beschäftigten eines Krankenhauses in Den Haag möglich, auch ohne entsprechende Veranlassung jederzeit auf Patientenakten zuzugreifen.

Für diesen eklatanten Sicherheitsmangel verhängte die zuständige Aufsichtsbehörde ein Bußgeld von 460.000 €. Sie folgt damit dem Beispiel einer portugiesischen Aufsichtsbehörde, die aus demselben Grund im Jahr 2018 bereits ein Bußgeld von 400.000 € gegen ein Krankenhaus verhängte. Auch die Datenschutzbehörde in Rheinland-Pfalz belangte ein Krankenhaus aufgrund mehrerer Datenschutzverletzungen im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme. Sie verhängte ein Bußgeld in Höhe von 105.000 €.

Autor: Hans-Otto von Wietersheim, Bretten