Nur so können Patienten die bestmögliche Versorgung erhalten. Digitale Systeme können zudem die Arbeit in Kliniken und Praxen erleichtern. Aber der Einsatz komplexer IT birgt auch Gefahren, da die Daten auf Servern liegen. Weil Cyberkriminalität auch zunehmend Krankenhäuser bedroht, stehen Kliniken und große Gesundheitszentren vor der Herausforderung, ihre IT-Infrastruktur vor Cyberattacken zu sichern. Das Beispiel einer Klinik aus Mittelhessen zeigt, wie das funktionieren kann.

Für die Kommunikation in Kliniken – auch fach- und sektorenübergreifend – spielen digitale Anwendungen eine zunehmend wichtige Rolle. Sie sorgen u.a. dafür, Patienten optimal zu behandeln und Prozesse in der Klinik so effektiv wie möglich zu gestalten. In sämtlichen Abläufen können Software und auch künstliche Intelligenz (KI) die Arbeit erleichtern und effizienter gestalten. Und nicht nur die Kommunikation zwischen Krankenhäusern und Ärzten wird vereinfacht. Auch Leitstellen von Rettungsdiensten oder mit WLAN-Schnittstellen ausgestattete Rettungswagen nutzen die Vorteile der Digitalisierung. Doch genau diese Vorteile bieten Einfallstore für Cyberkriminelle. Denn das ganze Gesundheitssystem ist darauf ausgerichtet, elektronische Daten effizient auszuwerten – von Test- oder Untersuchungsergebnissen über Krankengeschichten bis hin zur Erfassung umfangreicher Datensätze. All diese Daten sind angreifbar: Systeme können gehackt werden.

Zunehmend Angriffe auf deutsche Gesundheitseinrichtungen

Die Zahl der Hackerangriffe auf Einrichtungen des Gesundheitswesens ist in den vergangenen Jahren stark gestiegen. Die Bundesregierung registrierte in den Monaten Januar bis November 2020 insgesamt 43 erfolgreiche Angriffe, wie die „Frankfurter Allgemeine Sonntagszeitung“ berichtete. Das waren doppelt so viele wie im gesamten Jahr 2019, wie aus einer Antwort der Bundesregierung auf eine Anfrage der FDP-Fraktion hervorgeht, aus der die Zeitung zitierte.

„Cyberkriminelle passen sich schnell gesellschaftlichen Notlagen an und nutzen diese gekonnt für ihre Zwecke aus”, heißt es dazu im aktuellen Bundeslagebild des Bundeskriminalamts (BKA) aus dem Mai 2021. Seit dem dritten Quartal 2020 stellten die Beamten des BKA vermehrt Angriffe auf Unternehmen und öffentliche Einrichtungen fest, die relevant sind für die Bekämpfung der Corona-Pandemie. Der Digitalisierungsschub durch die Pandemie hat zudem neue Möglichkeiten für kriminelle Angriffe geschaffen.

Das jüngste Opfer einer Hackerattacke waren im Januar 2022 die Kliniken des Medizin Campus Bodensee (MCB). Die Behörden ermitteln noch gegen Unbekannt wegen des Verdachts der versuchten Erpressung. Meist geht es den Hackern darum, Daten der Einrichtungen zu verschlüsseln und für deren Freigabe ein Lösegeld zu verlangen.

„Je weiter wir in der Digitalisierung voranschreiten, je mehr wir Medizintechnik und IT vernetzen, desto höher ist die Gefahr“, sagt auch Sebastian Polag, Geschäftsführer des Gießener Agaplesion Evangelisches Krankenhaus Mittelhessen gegenüber der Ärztezeitung.

Die Liste der Cyber-Opfer in Deutschland ist lang: Im September 2020 traf ein Hackerangriff die IT der Düsseldorfer Uniklinik. In der Folge war die Notfallversorgung des Krankenhauses lahmgelegt. Ärzte konnten nicht richtig auf Röntgenbilder und Computertomogramme zugreifen. Daten mussten schriftlich oder per USB-Stick übergeben werden. Wegen einer Patientin, die aufgrund der ausgefallenen Notfallambulanz bis ins 25 Kilometer entfernte Wuppertal gebracht werden musste, erst verspätet behandelt werden konnte und verstarb, ermittelte die Staatsanwaltschaft gegen die Hacker. Erst nach einem Monat versorgte die Uniklinik wieder so viele Patienten wie zuvor.

Zu Beginn des Jahres 2021 erfolgten Attacken auf die Urologische Klinik in Planegg, im März 2021 war die Evangelische Klinik in Lippstadt das Ziel eines Hackerangriffs. Im September 2021 traf es den SRH Klinikverbund, bundesweit sollen knapp ein Dutzend Kliniken betroffen gewesen sein.

Um das Hackerproblem in den Griff zu bekommen, haben die Bundesländer eigene Cyberabwehr-Zentren, die dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bzw. dem Bundesinnenministerium zugeordnet sind. So hat auch das hessische Innenministerium eine Einheit für Cybersicherheit aufgebaut, um die Gesundheitseinrichtungen bei Abwehrmaßnahmen zu unterstützen.

Testangriff auf mittelhessisches Krankenhaus

Ein positives Beispiel ist das Agaplesion Evangelisches Krankenhaus im mittelhessischen Gießen: Im Jahr 2018 führte das Berliner IT-Sicherheitsunternehmen HiSolution dort im Auftrag des Krankenhauses einen Testangriff durch. Dank der zuvor eingeführten Sicherheitsmaßnahmen widerstanden das Krankenhaus bzw. seine IT und Netzwerke dem simulierten Angriff. Zwei Tage lang versuchten die IT-Experten vergeblich von außen auf das krankenhausinterne IT-System zuzugreifen. Erst nachdem ihnen der Zugang durch die Bekanntgabe der Passwörter gewährt wurde, konnten die Experten einige Schwachstellen identifizieren, die dann beseitigt wurden.

Der Test zeigt, dass es möglich ist, Cyberangriffe abzuwehren – Voraussetzung dafür sind allerdings die entsprechenden Sicherheitsmaßnahmen, die jede Einrichtung im Vorfeld treffen muss. Bei Systemen für die Angriffserkennung kommt mittlerweile auch häufig KI zum Einsatz. Sie könnte also auch im Bereich IT-Sicherheit einen wesentlichen Beitrag für die Medizin der Zukunft leisten. Erst wenn jedes Krankenhaus mit einem guten Sicherheitssystem ausgestattet ist und dieses auch regelmäßig an die „Qualität” der Hacker anpasst, bergen Cyberangriffe keine Gefahr mehr.

Doch soweit scheint es bundesweit noch nicht zu sein: Das Berliner Beratungsunternehmen Alpha Strike Labs hat in einer 2021 veröffentlichten Studie festgestellt, dass bei 566 von 1555 untersuchten Krankenhäusern mehr als 900 kritische von insgesamt 1931 Schwachstellen aufgezeigt wurden.

Demnach war bei mehr als der Hälfte der Kliniken bereits über die Server erkennbar, welche Software die Häuser verwenden. Das könnte Angreifern den Zugang zu den klinikinternen Systemen vereinfachen. Noch machen es die meisten Kliniken den Cyberkriminellen zu leicht. Mit den richtigen Schutzmaßnahmen und IT-Spezialisten können aber viele Risiken gebannt oder zumindest verringert werden.

Healthcare Mittelhessen

Die Initiative Healthcare Mittelhessen fördert: Netzwerk, Austausch und Recruiting und will Industrie und Forschung noch enger zusammenbringen, um weitere Kooperationen zu forcieren. Als digitales Schaufenster der Initiative dient das multimediale, zweisprachige B2B-Portal www.healthcare-mittelhessen.eu. Dort finden sich aktuelle Inhalte, Experteninterviews und Projekte zu Forschung, Medizin und Gesundheitswirtschaft in Mittelhessen. Initiator ist die Regionalmanagement Mittelhessen GmbH zusammen mit der Healthcare-Agentur transQUER GmbH.