Berlin, Düsseldorf Anfang April erreichte das Postfach von Bundesgesundheitsminister Jens Spahn eine unmissverständliche E-Mail. Das Drohschreiben mit dem Betreff „Angriff auf deutsche Krankenhäuser“, das Handelsblatt Inside vorliegt, sollte den CDU-Politiker zwingen, 25 Millionen Euro auf ein Bitcoin-Konto zu überweisen. Gehe das Geld nicht bis zum 17. April ein, wolle man die IT-Infrastruktur deutscher Krankenhäuser mit Schadsoftware lahmlegen.

Das Gesundheitsministerium äußerte sich auf Anfrage nicht dazu. Das Schreiben hatte wohl einen politischen Hintergrund. Es lässt sich der rechtsextremen Gruppe „Staatsstreichorchester“ zuordnen, die schon in der Vergangenheit Politiker mit Anschlägen drohte. Inwiefern die Gefahr ernst zu nehmen ist, ist fraglich. Doch das Schreiben zeigt, wie Krankenhäuser in der Coronakrise verstärkt ins Visier von Betrügern, Erpressern und Hackern geraten. Das bestätigen interne Papiere von Sicherheitsbehörden, die Handelsblatt Inside vorliegen.

Die Ausnahmesituation durch die Pandemie macht die Kliniken verwundbar, gestresste Mitarbeiter bedienen die Krankenhaus-IT unvorsichtig, und schlecht gesicherte Homeoffice-Zugänge werden zu digitalen Einfallstoren auf die Systeme. Hinzu kommt: Viele Krankenhäuser sind schlecht auf Cyberattacken vorbereitet, was Politiker parteiübergreifend alarmiert.

So beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit einigen Tagen eine Zunahme von Cyberangriffen mit Bezug auf das Coronavirus. Ende März berichtete die Behörde von Angriffen der chinesischen Hackergruppe APT41, die es seit Ausbruch der Corona-Pandemie vermehrt auf ausländische Ziele abgesehen habe, darunter auch Gesundheitseinrichtungen. Diese würden Schwachstellen in Software von Herstellern wie Citrix, Cisco und Zoho ausnutzen.

„APT41 wird eine Verbindung zur chinesischen Regierung unterstellt, sodass Informationsdiebstahl das wahrscheinlichste Tatmotiv ist“, heißt es in dem BSI-Bericht, der Handelsblatt Inside vorliegt. Viele Einrichtungen seien in der derzeitigen Ausnahmesituation besonders verwundbar, da deren digitale Infrastruktur und Arbeitsprozesse nicht auf zahlreich improvisierte Homeoffice-Arbeitsplätze ausgelegt sei.

Anfang April warnte das BSI in einem weiteren Bericht vor der Schadsoftware „Coronavirus“. Die Verbreitung erfolge über E-Mail-Anhänge oder Downloads. Nach einer Infektion starte der Computer neu und melde sich mit zwei Optionen: „Virus löschen“ oder „Hilfe“.

Bei der ersten Option gebe es keine Reaktion, bei „Hilfe“ werde das auf der Festplatte installierte Betriebssystem unbrauchbar. Das Opfer erhalte dann einen grauen Bildschirm mit der Nachricht: „Your Computer Has Been Trashed“, also „Ihr Computer wurde zerstört.“ Zur Verbreitung könne das BSI keine Aussage treffen, heißt es in dem Bericht.

Interpol setzt Sonderteam ein

Die erhöhte Gefährdungslage ruft auch Verfassungsschützer auf den Plan. In Hessen beobachtete die Behörde „verstärkte Betrugsversuche und Versuche zur Verbreitung von Schadsoftware im Kontext der Corona-Pandemie“. Erfolgreiche Angriffe mit Schadsoftware könnten zu „erheblichen Störungen des medizinischen Betriebs führen“, heißt es in einem entsprechenden Papier, das Handelsblatt Inside vorliegt.

Die internationale kriminalpolizeiliche Organisation Interpol gab eine Warnung an medizinische Einrichtungen heraus. Die Organisation habe „einen deutlichen Anstieg der Zahl der versuchten Lösegeldangriffe gegen wichtige Organisationen und Infrastrukturen festgestellt, die an der Virenbekämpfung beteiligt sind“, heißt es in einer Mitteilung.

„Cyberkriminelle setzen Lösegeldforderungen ein, um Krankenhäuser digital als Geiseln zu halten.“ Interpol hat deshalb ein Beobachtungsteam auf Cyberbedrohungen im Zusammenhang mit Covid-19 angesetzt.

Hacker hatten bereits Mitte März im Netzwerk der tschechischen Universitätsklinik Brno einen Erpressungstrojaner platziert und nahezu den kompletten Krankenhausbetrieb lahmgelegt, sodass Operationen nicht planmäßig durchgeführt werden konnten. Die Klinik betreibt eines der größten Covid-19-Testlabors des Landes.

In Deutschland hatte es vor der Coronakrise immer wieder Cyberattacken auf Krankenhäuser gegeben. Zuletzt hatten Hacker im Dezember 2019 den Trojaner Emotet per E-Mail in das System des Klinikums Fürth eingeschleust. Durch die Schadstoffsoftware konnte das Krankenhaus mehrere Tage keine neuen Patienten aufnehmen. Die Coronakrise macht die Krankenhäuser nun noch angreifbarer.

Auch die Spitzenorganisation der deutschen Kliniken, die Deutsche Krankenhausgesellschaft (DKG), ist alarmiert. Es besteht die Gefahr, dass die teilweise prekäre Situation der Krankenhäuser auf betrügerische Weise ausgenutzt werden könnte, sagte Markus Holzbrecher-Morys, DKG-IT-Geschäftsführer, Handelsblatt Inside. Die Auswirkungen eines Ausfalls der IT-Infrastruktur auf den allgemeinen Krankenhausbetrieb – vor allem auf den Intensivstationen – würden im Moment noch gravierender sein als unter normalen Umständen.

Zwar würden bestehende Sicherheitsmaßnahmen im Bereich der IT-Sicherheit durch die Pandemie in der Regel nicht ausgesetzt. „Jedoch kann es infolge des Aufbaus neuer Behandlungskapazitäten im Bereich der Intensivmedizin zu ungeplanten Mehrbelastungen der IT-Mitarbeiter in den Kliniken kommen. Die Personalressourcen fehlen dann unter Umständen an anderer Stelle“, sagt Holzbrecher-Morys.

Die deutschen Krankenhäuser bereiten sich bereits auf die erhöhte Gefährdungslage vor. Man müsse die Belegschaft jetzt erneut sensibilisieren, sagt Henning Schneider, CIO des zweitgrößten deutschen Klinikkonzerns Asklepios. „Wir haben die Schlagzahl unserer Informationen zur IT-Sicherheit deutlich erhöht und arbeiten stark daran, dass das Thema nicht trotz, sondern gerade wegen Corona umso prominenter bei den Mitarbeitern ankommt“, sagte Schneider.

So zeige auch das erhöhte Aufkommen an Nachfragen beim IT-Service, dass die Mitarbeiter sich der besonderen aktuellen Gefahr bewusst sind und „lieber einmal mehr nachfragen“. Auch die Berliner Charité erklärte, zusätzlich zu ergänzenden technischen Überprüfungen und kürzeren Updatezyklen der IT-Systeme würden die Beschäftigten im Umgang mit E-Mails sensibilisiert.

Neuer Standard ist nicht bindend

Man hätte meinen können, die deutschen Krankenhäuser seien trotz Krise gut auf Hackerangriffe vorbereitet. Erst Ende vergangenen Jahres hatten BSI und DKG einen IT-Sicherheitsstandard für die Branche mit 168 Maßnahmen festgelegt. Doch der Standard ist nicht bindend, sondern nur die Grundlage für Überprüfungen nach dem IT-Sicherheitsgesetz, die alle drei Jahre in Krankenhäusern stattfinden.

Und vor allem gilt der Standard nur für Kliniken mit mindestens 30.000 vollstationären Fällen pro Jahr, denn erst dann gelten sie als kritische Infrastruktur. Nur für rund jedes zehnte Krankenhaus ist der Standard damit von Belang. „Ich verstehe nicht, wie man bei der IT-Sicherheit so eine Abgrenzung machen kann“, kritisiert Asklepios-CIO Schneider: „Viele kleinere Krankenhäuser waren nicht vorbereitet. Hier fehlen oftmals Mittel, um Sicherheit auf höchstem Niveau umzusetzen.“

In vielen deutschen Krankenhäusern fehlen seit Jahren die Investitionen durch die zuständigen Länder. Fallpauschalen, die die gesetzliche Krankenversicherung an die Kliniken eigentlich für den laufenden Betrieb zahlen, werden zunehmend für Investitionen zweckentfremdet. Daran leidet auch die IT-Sicherheit.

Nun werden Rufe laut, den Krankenhäusern finanziell zu helfen und die Vorgaben zu straffen, um Cyberattacken abwehren zu können. „Der Bund sollte dafür einen IT-Sicherheitsfonds auflegen, aus dem dann nur Geld geschöpft werden kann, wenn damit nachweislich die IT-Sicherheit in der entsprechenden Klinik verbessert wird“, sagt Schneider.

Der Fraktionsvize der Grünen, Konstantin von Notz, fordert die Bundesregierung auf, die „äußerst knappen Ressourcen voll und ganz in die Härtung der digitalen Infrastruktur zu stecken“. Dass es bis heute kein unabhängiges BSI und eine Neufassung des IT-Sicherheitsgesetzes gebe, seien massive Versäumnisse.

„Diejenigen, die derzeit ohnehin an der absoluten Belastungsgrenze arbeiten und sich mit einem erhöhten Bedrohungspotenzial konfrontiert sehen, brauchen schnellstmöglich unabhängige Beratung und klare rechtliche Vorgaben“, sagte von Notz Handelsblatt Inside.

Zusätzliche Sicherheitsschulungen für das Personal hält hingegen der digitalpolitische Sprecher der FDP, Manuel Höferlin, für nötig. „Vor allem in der Verwaltung, die meist das Ziel von Hackern ist“, sagte er. Er fürchte allerdings, dass in der Krise nicht allerorts die Kapazitäten dafür da sind. „Deswegen ist es wichtig, dass wir nach der Coronalage endlich systematisch Krankenhäuser und auch Arztpraxen gegen Cyberangriffe absichern“, sagte Höferlin.

Der digitalpolitische Sprecher der Unions-Bundestagsfraktion, Tankred Schipanski, geht zwar davon aus, dass die Kliniken entsprechende Sicherheitsmaßnahmen ergriffen haben. Die Coronakrise erschwere aber die Umsetzung der neuen Sicherheitsstandards, sagte er. Die Forderung, Krankenhäuser finanziell gegen Cyberattacken besser auszustatten, wies der CDU-Politiker zurück: „Zusätzliche Mittel vonseiten des Bundes sind nicht vorgesehen.“

Krise weicht Standards auf

Während der Coronakrise hätten vor allem sogenannte „DDoS-Angriffe“ auf kritische Infrastrukturen wie Krankenhäuser stark zugenommen, berichtet Manuel Atug, Geschäftsführer des IT-Sicherheitsdienstleisters HiSolutions und Mitglied des Chaos-Computer-Clubs (CCC). Dabei werden Datennetze und Systeme durch viele verteilte Anfragen von Angreifern überlastet. Webseiten für Patienteninformationen oder Programme der Verwaltung könnten dadurch gezielt blockiert und der Krankenhausbetrieb lahmgelegt werden.

Auch medizinische Geräte sieht er als Einfallstor für Hacker, da sie immer häufiger digital sind und in Netzwerke integriert werden, damit Ärzte sie über das Internet steuern können. Sobald sie nach dem Medizinproduktegesetz zertifiziert sind, dürfen sie nicht mehr verändert werden. Auch Sicherheitsupdates für das MRT oder CT benötigen eine Zertifizierung, damit sie neu angeboten werden können.

„Diese werden teilweise gar nicht angeboten oder erst nach erheblicher Zeitverzögerung, in der diese Geräte verwundbar sind“, sagt Atug. „Die Gefährdung könnte zusätzlich verschärft werden, weil derzeit die Prüfung der Informationssicherheit bei der Anschaffung von Beatmungsgeräten nicht immer berücksichtigt werden kann“, sieht auch DKG-IT-Chef Holzbrecher-Morys.

Bei anderen netzbasierten Geräten wie Computern beugt man dieser Gefahr mit einem sogenannten Penetrationstest vor. Dabei werden alle Methoden und Mittel simuliert, die ein Angreifer einsetzen könnte, um unerlaubt in ein System einzudringen. Doch bei teuren medizinischen Geräten würden Penetrationstests oft ausgelassen, so Atug, „weil sie aufgrund der Haftung danach nicht mehr eingesetzt werden können und sie für diese Prüfungsmethode dann einfach zu teuer sind“.

Tilman Frosch, Geschäftsführer vom IT-Sicherheitsdienstleister G DATA Advanced Analytics, sieht noch ein ganz anderes Problem. Es sei nicht nur herausfordernd, sich vor einer Cyberattacke zu schützen, sondern diese überhaupt zu entdecken.

„Bei Organisationen ohne entsprechende technische und personelle Ausstattung kann selbst Schadsoftware von der Stange auch über mehrere Hundert Tage unentdeckt bleiben“, sagte er. In der Aufarbeitung von Cyberangriffen in Krankenhäusern finde er regelmäßig Spuren aus früheren Angriffen, die bis dato „vollkommen unentdeckt geblieben sind“.

Zudem könnten „auch ungerichtete Angriffe den Krankenhausbetrieb massiv in Mitleidenschaft ziehen“, sagte er, also Angriffe, die nicht auf die Einrichtung direkt, sondern auf Geräte von Mitarbeitern zielen. Seit wenigen Wochen beobachte er eine Vielzahl an Domain-Registrierungen unter dem Begriff „Covid-19“.

Da könne ein gestresster Krankenhausmitarbeiter schnell einmal auf einen Link zu gefälschten Internetseiten klicken, der bei sorgfältiger Betrachtung aufgefallen wäre. Dadurch können Identitäten und Passwörter geklaut werden, wodurch Hacker Zugriff auf Systeme erhalten. Frosch befürchtet: „In der Krise schlägt die Stunde der Phisher.“