IT-Sicherheit in Krankenhäusern Hacker nehmen Kliniken ins Visier
Mainz · Krankenhäuser müssen den Schutz ihrer Computernetze künftig massiv verstärken, erklären IT-Experten.
Eine Cyber-Attacke der Erpressungssoftware „WannaCry“ hat im Jahr 2017 gleich mehrere britische Krankenhäuser lahmgelegt. Ein Jahr davor trifft eine über einen E-Mail-Anhang eingeschleuste Schadsoftware eine Klinik in Neuss. Die Computer-Systeme müssen heruntergefahren werden, Erpresser fordern Geld und zeitweise muss der Betrieb mit handschriftlichen Notizen aufrecht erhalten werden – ein echter Ausnahmezustand.
Der Schutz gegen solche Attacken ist nicht einfach. Sie zu vereiteln ist Wolfgang Barths Job. Er leitet die Stabsstelle IT-Sicherheit und Risikomanagement der Marienhaus-Gruppe, die zahlreiche Kliniken und Pflegeeinrichtungen in Deutschland betreibt. „Die Gefährdung von außen durch Würmer und Trojaner ist in den vergangenen drei Jahren massiv gestiegen“, sagt er. Auch die europäische Polizeibehörde Europol warne, die Bedrohung durch das organisierte Verbrechen über das Internet habe in den vergangenen zwölf Monaten ein beispielloses Ausmaß angenommen.
Das wiege in der heutigen Zeit besonders schwer, denn viele technische Geräte seien in Netzwerken miteinander verbunden, erklärt Barth. In Kliniken reiche das von Kühlschränken bis zu Klimaanlagen, Infusionspumpen und Spülgeräten für steriles Besteck im Operationssaal. Potenzielle Angriffsflächen müssten reduziert werden. Barth nennt dieses Vorgehen „Schwachstellen-Management“. Probleme könnten beispielsweise veraltete Betriebssysteme bereiten, für die es keine Sicherheitsaktualisierungen mehr gebe.
Früher hätten sich Krankenhäuser IT-technisch schlicht abgeschottet und so einen relativ guten Schutz erreicht. Das sei nicht mehr möglich, erklärt der Informatiker Jan Neuhaus, der das für IT zuständige Dezernat bei der Deutschen Krankenhausgesellschaft in Berlin leitet. Die Telemedizin mache es notwendig, geschlossene Systeme zu öffnen. Patienten verlangten zudem immer öfter WLAN in der Klinik.
Die Folge? „Krankenhäuser müssen, wie alle anderen IT-Nutzer, kontinuierlich aufrüsten“, sagt Neuhaus. Die Anforderungen an deren IT-Abteilungen seien viel größer als früher – sowohl hinsichtlich der Soft- und Hardware, aber auch bezogen auf das Personal. Große Kliniken hätten sich früh darauf eingestellt, auch weil sie über größere Ressourcen verfügten. In vielen kleineren Krankenhäusern beginne der Prozess erst jetzt.
IT-Spezialisten seien jedoch nicht einfach zu finden, erklärt Neuhaus. Dennoch brauche jedes Krankenhaus ein IT-Sicherheitsmanagement. „Es entsteht eine kontinuierliche Mehrlast, die die die Krankenhäuser tragen müssen.“ Das treffe auf einen ohnehin vorhandenen „Riesenstau an Investitionen“ in Kliniken. Den hätten die für die Krankenhausfinanzierung zuständigen Bundesländer zu verantworten, sagt Neuhaus.
