Berlin/ Düsseldorf/ Köln Fallen im Krankenhaus die Server aus, sind Menschenleben gefährdet. Diese abstrakte Gefahr ist vor einem Jahr in der Uniklinik Düsseldorf Wirklichkeit geworden: Hacker aus Russland hatten 30 zentrale Server verschlüsselt. CT- oder Röntgengeräte ließen sich nicht mehr bedienen. Dokumente konnten nicht mehr per Mail verschickt werden. Eine Patientin starb, nachdem ihr Rettungswagen ins dreißig Minuten entfernte Wuppertal umgeleitet werden musste. 

Cyberangriffe auf Krankenhäuser nehmen weltweit zu. Die Cybersecurity-Firma Emsisoft gab bekannt, dass in den USA im vergangenen Jahr 500 Krankenhäuser und Gesundheitszentren angegriffen wurden. Auch wenn es keinen hundertprozentigen Schutz gibt, können Menschenleben gerettet und Millionenschäden verhindert werden.

Die folgenden fünf Maßnahmen führen zu mehr Sicherheit.

1. Sicherheitslücken finden

Ähnlich wie bei einem Haus, das vor Einbrechern gesichert werden soll, müssen mögliche Schwachstellen ausfindig gemacht werden. Der erste Schritt hin zu einer sicheren Cyberabwehr ist also eine Bestandsaufnahme des aktuellen IT-Systems. In großen Unikliniken kann diese Aufgabe qualifiziertes Personal übernehmen. In kleinen Krankenhäusern werden externe IT-Dienstleister hinzugezogen.

Bei einem sogenannten „Cybersicherheits-Check“ wird die Klinik einschließlich ihrer Netzwerkverbindungen zu Partnern, Dienstleistern und Kunden analysiert, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt. Zudem kann sich ein sogenannter Penetrationstest lohnen. Dabei simulieren IT-Experten einen Hackerangriff und versuchen, über verschiedene Kanäle an eine bestimmte Information zu kommen.

Das Problem an den Tests: Sie sind nur Stichproben. „Angenommen, der IT-Sicherheitsdienstleister testet das System für ein paar tausend Euro drei Tage, dann heißt das nicht, dass es keine Sicherheitslücke im System gibt, sondern nur, dass er in drei Tagen keine oder wenige Sicherheitslücken gefunden hat“, erklärt Manuel Atug, IT-Sicherheitsfachmann bei der Beratungsfirma Hi Solitions.

2. Passwortsystem hinterfragen

Eine große Gefahr für die Cybersicherheit geht von Passwörtern aus. Entscheidend ist also, welcher Mitarbeiter über welchen Zugang auf welches System zugreifen kann. Kevin Switala von der IT-Firma Auth0 ist auf Log-ins spezialisiert und empfiehlt, die Zwei-Faktor-Authentifizierung zu nutzen, bei dem die Anmeldung auf einem zweiten Gerät bestätigt werden muss.

Sich doppelt einzuloggen, kostet aber Zeit und ist nicht für alle Abteilungen einer Klinik praktikabel. „Je nach Situation muss man sich fragen, wann eine Zwei-Faktor-Authentifizierung sinnvoll ist“, sagt Kevin Switala. Er rät deshalb zu einer adaptiven Lösung, bei der ein Nutzer zum Beispiel nur dann nach einem zweiten Faktor gefragt wird, wenn er sich von einem dem System unbekannten Ort einloggt.

Berater Atug empfiehlt ein Remotesystem, das zentral gesteuert und überwacht wird. Eine Logdaten-Überwachung könne zum Beispiel eingebaut werden, um zu sehen, woher die Einwahlversuche kommen. Auch die Nutzungsdauer enthalte Hinweise auf Hackerangriffe, etwa wenn viele Patientendatensätze nur kurz betrachtet werden.

3. Mitarbeiter schulen

Die größte Schwachstelle eines IT-Systems ist der Faktor Mensch. Deshalb müssen die Mitarbeiter auf mögliche Gefahrenquellen wie auffällige E-Mails hingewiesen werden. Schulungen allein würden aber nicht ausreichen, ergänzt der IT-Sicherheitsberater Atug: „Wichtig ist, dass Mitarbeiter wissen, dass sie bei Auffälligkeiten ihre IT-Abteilung informieren können, ohne sich blöd zu fühlen.“ Die zuständigen Informatiker müssten eine verständliche Rückmeldung geben, damit Klinikangestellte das Wissen in ihre Abteilungen tragen.

Im Rahmen des Krankenhauszukunftsgesetzes erhalten Kliniken Geld, um digitaler zu werden. 15 Prozent des Geldes sind für die IT-Sicherheit vorgesehen. „Damit kann keine Stelle für einen IT-Sicherheitsberater im Krankenhaus geschaffen werden“, sagt Atug. Denn die Mittel würden nur für die Bezahlung einer Fachkraft über einen Zeitraum von zwei Jahren ausreichen. „Ich habe die Befürchtung, dass das Geld deswegen nur in Blech und nicht in echte IT-Sicherheit investiert wird“, sagt der Informatiker.

4. Sicherungskopien erstellen

Back-ups, also Sicherungskopien der vorhandenen Daten, können gerade bei einem Angriff mit der Erpressungssoftware „Ransomware“ eine wichtige Waffe gegen die Masche der Hacker sein. Bei solchen Attacken werden Daten elektronisch verschlüsselt und erst gegen Zahlung eines Lösegeldes freigegeben.

„Wichtig ist, das Back-up physisch von der IT-Infrastruktur des Unternehmens zu trennen“, erklärt Hauke Hansen, Fachanwalt für IT-Recht der Kanzlei FPS. Je besser die Datensicherungen gesichert sind und je öfter sie erstellt werden, desto mehr schützen sie davor, sich auf die Forderungen der Hacker einlassen zu müssen. Manche IT-Dienstleister bieten Kliniken inzwischen an, das Back-up automatisch auf einem Cloud-Server zu speichern. So reduziert sich der Aufwand für den Klinikmitarbeiter.

5. Cyberversicherung abschließen

Um im Falle eines Angriffs finanziell abgesichert zu sein, können Cyberversicherungen gegen Hackerschäden helfen. Der Markt boomt enorm: Laut einer Schätzung des Rückversicherers Munich Re könnte der Cyberversicherungsmarkt bis 2025 umgerechnet mehr als 19 Milliarden Euro umfassen.

Wegen des hohen Risikos eines Hackerangriffs ist der Abschluss einer Versicherung für Kliniken inzwischen aber nicht mehr selbstverständlich. „Bei Kliniken kommt es inzwischen durchaus vor, dass sie nach einem Vorfall die Deckung durch ihre Cyberversicherung verlieren, weil der Versicherer das Risiko nicht mehr tragen möchte – oder erst gar nicht aufgenommen werden“, sagt Tilman Frosch, Geschäftsführer von G DATA Advanced Analytics.

Mehr: Oft kommt die Diagnose einer seltenen Krankheit zu spät. Pharmaunternehmen setzen Künstliche Intelligenz ein, um Krankheitsverläufe zu erforschen.