Eine sichere IT-Abteilung kann Leben retten

Der IT-Ausfall an der Uniklinik Düsseldorf, der auf einen Hacker-Angriff zurückzuführen ist, hebt die Relevanz der IT-Sicherheit nicht nur an Kliniken, sondern generell im Gesundheitswesen hervor. Weiterhin gibt die Attacke Anlass dazu, zu überdenken, warum eine sichere IT-Abteilung im Gesundheitswesen notwendig ist und warum dort dringender Handlungsbedarf besteht. Zumal dies nicht der erste vermeintliche Hacker-Angriff auf eine Institution des Gesundheitswesens ist.

Angriff auf die IT-Sicherheit kann weitreichende Auswirkungen haben

Welche Folgen ein Hacker-Angriff auf die IT-Sicherheit im Gesundheitswesen haben kann, zeigt sich bei dem aktuellen Fall an der Uniklinik Düsseldorf. In der Nacht zum 12. September sollte eine Patientin mit lebensbedrohlicher Erkrankung in die Uniklinik eingewiesen werden. Aufgrund der Attacke auf das IT-System, war die Klinik jedoch lahmgelegt. Somit musste die Frau zu einem Wuppertaler Krankenhaus umgeleitet werden. Doch das dauerte noch einmal 30 Minuten und leider zu lange. Die Patientin verstarb kurz nach der Einlieferung. Es lässt sich somit absehen: Ein Cyberangriff auf ein Krankenhaus kann weitreichende Folgen haben. Diese reichen vom Ausfall der eigenen Homepage bis hin zum vollständigen Stillliegen des Betriebs. Und, wie der Fall des Uniklinikums in Düsseldorf zeigt, kann solch ein Angriff auch tödliche Folgen für Patient*innen haben.

Angriffe auf die IT-Abteilung sind kein neues Phänomen für das Gesundheitswesen

Dass es in den letzten Jahren vermehrt zu Cyberangriffen auf das Gesundheitswesen kommt, bestätigt auch der Report „Cybercrime Tactics and Techniques: the 2019 state of healthcare“ des Unternehmens Malwarebytes. Demnach sind die Hacker-Angriffe auf Institutionen des Gesundheitswesens (in den USA) um 60 Prozent angestiegen (im Vergleich zum Jahr 2018). Doch auch hier in Deutschland scheint das Gesundheitswesen immer attraktiver für solche Angriffe zu werden. Besonders während der Corona-Pandemie. Anfang April 2020 wandte sich jemand per Drohschreiben an den Bundesgesundheitsminister Jens Spahn und forderte diesen auf, 25 Millionen Euro auf ein Bitcoin Konto zu überweisen. Wenn dies nicht geschehe, wäre der mutmaßliche Täter dazu bereit die IT-Infrastruktur deutscher Krankenhäuser mit Hilfe von Schadsoftware zu blockieren. Doch auch vor der Pandemie gerieten deutsche Krankenhäuser in das Visier der Angreifer. Im Dezember 2019 erst wurde das Klinikum in Fürth zum Opfer. Die Folge: Das Krankenhaus konnte wegen einer Schadsoftware über Tage hinweg keine neuen Patient*innen aufnehmen. Dies gibt Grund zur Sorge, denn besonders während der Corona-Pandemie und insbesondere auf den Intensivstationen, könnten solche Angriffe Auswirkungen mit gravierenden Folgen haben.

Handlungsbedarf für mehr IT-Sicherheit im Gesundheitswesen

Bereits im Vorfeld des Hacker-Angriffs auf das Uniklinikum Düsseldorf wurde die Landesregierung in NRW immer wieder auf das Thema der IT-Sicherheit in Krankenhäusern aufmerksam gemacht. Diesbezüglich habe das Bundesamt für Sicherheit in der Informationstechnik (BSI) dem Gesundheitsministerium in NRW bereits Oktober 2019 ein Gespräch angeboten. Anlass für dieses Gespräch war ein zuvor erfolgter Angriff durch Hacker auf ein Krankenhaus in Neuss gewesen. Zudem sollte die Entscheidung des NRW-Gesundheitsministers Laumann (CDU) hinterfragt werden, warum aus dem Krankenhausstrukturfond kein Geld für Investitionen in IT-Sicherheit abgerufen werden sollte. Die SPD des Landtags in NRW wirft der Landesregierung nun vor, die vorherrschenden Probleme in der IT-Sicherheit unterschätzt zu haben und fordert Aufklärung. Hinzukommt, dass auch die Krankenhausgesellschaft Nordrhein-Westfalen (KGNW) mehrmals für mehr Investitionen in die IT-Sicherheit der Kliniken plädierte. Pfeiffer-Poensgen ist parteilos und Wirtschaftsministerin in Düsseldorf. Die Uni-Kliniken liegen in ihrer Verantwortung. Nun kündigte sie an, dass mindestens 15% der 900 Millionen Euro des Krankenhauszukunftgesetzes in die IT-Sicherheit einfließen müssten.

Die IT-Sicherheit ist im Gesundheitswesen von sehr großer Bedeutung. Es geht darum Daten von Patient*innen und Mitarbeiter*innen zu schützen und den Betrieb aufrecht zu erhalten. Die Folgen, die durch einen Angriff wie den an der Uniklinik Düsseldorf entstehen können, können weitreichende und auch lebensgefährliche Auswirkungen haben. Daher sollte in diesem Bereich wahrscheinlich nicht gespart werden.

 

Quellen:

Aerzteblatt: https://www.aerzteblatt.de/nachrichten/116655/Landesregierung-auf-IT-Sicherheit-von-Krankenhaeusern-mehrfach-hingewiesen

Borncity: https://www.borncity.com/blog/2019/11/17/bericht-60-mehr-angriffe-auf-das-gesundheitswesen/

Cyberattacken auf die Krnakenhaus-IT. Gegenwehr mit den richtigen Lösungen. In: Krankenhaus-IT Journal. Fakten und Perspektiven der IT im Gesundheitswesen. 2016 (2). Hg. v. Hartmut Wehrs, Kim Wehrs. Dietzenbach: Antares Computerverlag GmbH.
http://www.medizin-edv.de/ARCHIV/Titelstory.pdf

Handelsblatt: https://www.handelsblatt.com/technik/medizin/cyberkriminalitaet-erpresserschreiben-auch-an-spahn-hacker-greifen-in-coronakrise-verstaerkt-krankenhaeuser-an/25726550.html?ticket=ST-2258303-VCLbrPXGiAQniurKKdf4-ap1

Malwarebytes (2019): Cybercrime tactics and techniques: the 2019 state of healthcare. Hg. v. Malwarebytes.
https://resources.malwarebytes.com/files/2019/11/191028-MWB-CTNT_2019_Healthcare_FINAL.pdf

WDR: https://www1.wdr.de/nachrichten/rheinland/uniklinik-duesseldorf-erpressung-hacker-100.html