Angriffe auf die IT-Systeme eines Krankenhauses können für Menschen lebensgefährlich sein. Hierzulande sind wir bis jetzt glimpflich davongekommen und haben keine Todesopfer durch einen Angriff aus dem Internet zu beklagen. Zumindest noch nicht.
Anfang der Woche berichtete das Nachrichtenmagazin "Der Spiegel", dass 2019 in einem US-amerikanischen Krankenhaus möglicherweise ein Säugling durch die Auswirkungen eines Malware-Angriffs auf die Krankenhaus-IT verstorben ist. Die Untersuchungen laufen noch. Es stellt sich die Frage: Warum sind Krankenhäuser scheinbar ein beliebtes Ziel krimineller Akteure?
In Krankenhäusern geht es oft um Leben und Tod. Computergestützte Systeme sind sowohl in der Diagnostik als auch bei der Behandlung oftmals entscheidend. Denn wo medizinisches Personal in kürzester Zeit Informationen über den Zustand eines Patienten benötigt oder medizinische Maßnahmen einleiten muss, kann jede Verzögerung oder Unterbrechung lebensbedrohend sein. Angriffe auf Krankenhäuser in den letzten Jahren dramatisch zugenommen. Zugleich sind etwa die Ausgaben für die Absicherung von Netzwerken insgesamt um mehr als 12 Prozent zurückgegangen . Gerade in der IT-Sicherheit hat der Gesundheitssektor akuten Nachholbedarf. Das gilt für die Anschaffung, Support und Wartung medizinischer Großgeräte ebenso wie für die Abläufe im Klinik-Alltag.
Störungen auf heiligem Boden
Ein Ereignis wie etwa ein Ransomware-Befall kann die Abläufe empfindlich stören oder völlig zum Erliegen bringen. Davon können auch in Deutschland einige Krankenhäuser in Lied singen. Doch wer meint, hier greift jemand gezielt Krankenhäuser an, der irrt: Vielfach sind Krankenhäuser und deren Netzwerke bloße „Kollateralschäden“ oder Zufallstreffer.
In diese Richtung deutet auch der Fall des Angriffs auf das Düsseldorfer Uniklinikum mit Hilfe der Shitrix-Sicherheitslücke im September 2020. Das eigentliche Ziel der Täter war die Heinrich-Heine-Universität – dass sie das Krankenhaus-Netzwerk erwischt hatten, war wohl gar nicht beabsichtigt. Als ein Kontakt zu den Tätern hergestellt war und sie erfuhren, dass sie ein Krankenhaus angegriffen hatten, stellten sie den Angriff sofort ein und entschlüsselten bereits verschlüsselte Daten. Doch das macht sie noch lange nicht zu Heiligen, auch wenn das Handeln der Täter den Schluss zulässt, dass Krankenhäuser zumindest für einige Kriminelle noch „heiliger Boden“ sind. Am Anfang der Pandemie hatten diverse Tätergruppen explizit erklärt, dass sie Krankenhäuser nicht angreifen wollen, um keine Menschenleben zu gefährden - viel ist davon jedoch nicht mehr zu spüren. Auch im Nachgang des Düsseldorfer Vorfalls gab es Berichte, nach denen eine Patientin verstorben war, nachdem sie nicht aufgenommen werden konnte und in ein anderes Krankenhaus transportiert werden musste. Diese bewahrheiteten sich jedoch am Ende nicht.
Ein alter Zwiespalt
Die Schwierigkeit ist, dass die Sicherheit im Klinik-Alltag teilweise im direkten Kontrast zu medizinischen Notwendigkeiten steht. Sicherheit muss fast immer mit einem zeitlichen Invest erkauft werden, wie etwa der Eingabe eines Passwortes oder das Auslesen einer Schlüsselkarte. Doch Zeit ist in der Gesundheitsbranche ein extrem kostbares Gut. Ein zeitlicher Mehraufwand von wenigen Minuten pro Patient läppert sich schnell. Eine zusätzliche Sicherheitsmaßnahme kann bedeuten, dass zu wenig medizinisches Personal zur Verfügung steht, um die adäquate Patientenversorgung aufrecht zu erhalten.
Abgesehen davon, dass die Personalpolitik im Gesundheitswesen insgesamt ein systemisches Problem ist, legt diese Tatsache den Finger in eine offene Wunde: IT-Sicherheit ist vielfach von ärztlich-medizinischer Seite nicht gefragt. Das klingt nach einem Vorwurf, ist aber keiner. Im Fokus von Medizinerinnen und Medizinern steht das Wohl des Patienten. Alle anderen Ziele sind dem untergeordnet. Hier unterscheidet sich der Arzt oder die Ärztin nicht von Angehörige anderer Berufszweige: Der Schwerpunkt der Konzentration liegt auf dem eigenen Kernbereich. Und IT-Sicherheit gehört nicht mit dazu. Was zu viel Zeit kostet, ist nicht unbedingt von Interesse und wird auch bei Herstellern nicht nachgefragt. Auch Sicherheitskomponenten, die ab Werk vorhanden wären, kommen in manchen Fällen nicht zum Einsatz, da sie entweder zeitliche Verzögerungen mit sich bringen oder die Interoperabilität mit anderen Systemen behindern.
Zwar findet seit einiger Zeit ein Umdenken statt, aber der Fortschritt ist schleppend. Fehlende oder unklare gesetzliche Vorgaben, Risikomanagement und IT-Sicherheit geben sich gegenseitig die Schuld an der Misere. Dass Krankenhäuser zu den komplexesten überhaupt denkbaren IT-Umgebungen gehören, tut hier ein Übriges. Auch der in Teilen hastig anmutende Entwurf zum „IT-Sicherheitsgesetz 2.0“ hat bei vielen Betroffenen mehr Fragen aufgeworfen als Antworten geliefert. Fakt ist jedoch, dass klarere gesetzliche Vorgaben an die Sicherheit auf den Wunschlisten von IT-Verantwortlichen weit oben sind. Wo es klare Vorgaben gibt, lässt sich eine Sicherheitsmaßnahme auch nicht unter wirtschaftlichen Gesichtspunkten wegdiskutieren.
Fazit: Sicherheit am seidenen Faden
Zugleich hängt die Sicherheit momentan oftmals an der Initiative und Entschlossenheit einzelner Mitarbeitender. „Dass wir in Deutschland nicht mehr und dramatischere Vorfälle oder gar Todesopfer zu beklagen haben, ist das Resultat der Anstrengungen und der Motivation Einzelner. Und ein bisschen Glück gehört ebenfalls mit dazu.“, so Dr. Frosch weiter.
Am Schluss bleibt nur zu hoffen, dass gerade die Gesundheitsbranche schnell aufholt und die Sicherheit in allen Bereichen auf einen aktuellen Stand bringt. Mittel dafür stehen zur Verfügung. Allein in Nordrhein-Westfalen stehen für die Verbesserung der IT-Sicherheit in Krankenhäusern Fördermittel in Höhe von 900 Millionen Euro zur Verfügung. Auf Bundesebene sind es drei Milliarden Euro, die auf Abruf warten und genutzt werden wollen. Denn wer bisher immer – wenn auch relatives – Glück hatte, der verlässt sich irgendwann auf ebendieses Glück.
Bis das böse Erwachen kommt.
Tim Berghoff
Security Evangelist