Bei der Präsentation ihres Jahresberichts bemängelte die Berliner Datenschutzbeauftragte Maja Smoltczyk die Sicherheitsstandards des Berliner Charité Klinikums. Dass derartige Bedenken nicht unbegründet sind, zeigten mehrere Hackerangriffe auf Kliniken im Feburar.
Auf einmal wird der Bildschirm zur Überwachung der Vitalfunktionen einfach schwarz. Das Beatmungsgerät hört auf den Patienten zu beatmen, langsam breitet sich Nervosität unter den Anwesenden aus. Was passiert hier? Im ganzen Krankenhaus starren Ärzte auf schwarz gewordene Tablets, Patientenakten sind nicht mehr abrufbar. Auf dem schwarzen Bildschirm im OP Saal tauchen Buchstaben auf: „Wenn Sie die Kontrolle über ihre Maschinen zurück wollen überweisen Sie 50 Bitcoins auf folgendes Konto…“
Ein fiktives Beispiel, aber dennoch Szenen, die man so oder so ähnlich künftig auch in der Realität finden könnte. Hacker, die lebenserhaltende Maschinen aus der Ferne kontrollieren, kaum nachvollziehbar von wo. Millionen sensibler Daten, die abgegriffen werden können. Leider werden solche Szenarien immer wahrscheinlicher. Im Sommer des vergangenen Jahres ließ ein süddeutsches Krankenhaus einen Hacker testen, ob er sich in lebenswichtige Geräte, einhacken und diese steuern könnte. Das Ergebnis war erschreckend. Der Sicherheits-Spezialist erklärte, jeder Mensch mit mittelmäßigen Fähigkeiten hätte die Möglichkeit Geräte zu übernehmen. Vor allem Kliniken werden durch die wachsende Abhängigkeit von Technologien zur Kommunikation und Behandlung immer angreifbarer.
Vom Tablet zurück zum Klemmbrett
Erst im Februar erfolge eine regelrechte Serie von Hackerangriffen auf Kliniken in Deutschland und den USA. Besonders bekannt ist der Fall des Lukaskrankenhauses in Neuss. Die Schadsoftware kam auf dem denkbar einfachsten Weg in die Klinik: In einem E-Mail Anhang. Oftmals sind Firewalls nicht in der Lage, diese E-Mails als gefährlich zu identifizieren. In Neuss wurde die Schadsoftware erst erkannt, als sie bereits ins System gelangt war. Anschließend musste das komplette System heruntergefahren werden. Für die Angestellten bedeutete dies, dass Prozesse, die seit Jahren elektronisch ablaufen, wieder von Hand durchgeführt werden mussten. Auch konnten deutlich weniger Operationen durchgeführt werden und viele Patienten wurden in andere Krankenhäuser verlegt. Nun kam die Klinik in Neuss noch mit einem Schrecken davon. Der Erpressungsversuch, der mit der Lahmlegung einherging, blieb erfolglos, denn die IT-Spezialisten konnten die Verschlüsselung knacken. Anders erging es einer Klinik in Kalifornien, hier zahlten die Betreiber die geforderte Summe von 40 Bitcoins, ca. 15.000 Euro.
Die Folgen, die ein solcher Hackerangriff haben kann, möchte man sich lieber nicht vorstellen. Nicht nur können streng vertrauliche Daten abgegriffen und der Klinikalltag nachhaltig gestört werden. Schon seit längerem warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, dass besonders kritische Infrastrukturen, zu denen neben Kliniken auch die Wasser- und Stromversorgung zählt, sich besser vor Hackerangriffen schützen müssen. Das IT- Sicherheitsgesetz von 2015 gibt allerdings eher vage Hinweise, als klare Anweisungen zur Herstellung des Schutzes. Demnach sollen Träger kritischer Infrastrukturen den „Stand der Technik“ umsetzen. Störungen, die möglicherweise Auswirkungen auf andere kritische Infrastrukturen haben könnten, seien dem BSI zu melden. Außerdem behält sich das BSI das Recht vor, IT Produkte auf ihre Sicherheit zu untersuchen und die Hersteller dieser Produkte im Zweifelsfall zur Mitwirkung zu verpflichten. Worin genau diese Mitwirkung besteht, bleibt allerdings offen. Bis Ende des Jahres 2016 sollen nun klarere Vorgaben für den Gesundheitssektor verabschiedet werden.
Kein unbekanntes Problem
Bereits 2013 machte das Bundesamt auf Sicherheitsrisiken aufmerksam und forderte die Krankenhäuser auf, eine IT- Risikoanalyse durchzuführen. Die Kliniken sollten mögliche Szenarien identifizieren und bewerten, vor allem aber Lösungen finden, bevor der Ernstfall tatsächlich eintritt. Genau vor jenem Szenario einer Schadsoftware, die durch einen E-Mail Anhang ins System gelangt, warnte das Bundesamt bereits damals. In dem Beispiel wurden zwei mögliche Maßnahmen zur Vermeidung genannt. Zum einen, den Server abzuschalten, wie es auch in Neuss geschehen ist, um weitere Verbreitung und möglichen Datenklau zu verhindern. Zum anderen eine Risikoreduktion durch Absicherung. Vorgeschlagen wurde eine Schnittstellenreduktion, Geräte sollten wenn möglich nicht mit dem Internet verbunden sein und auch die Vernetzung von Geräten untereinander sollte auf ein Minimalmaß reduziert werden. Wo das nicht möglich sei, müsse in eine gute (zertifizierte) Sicherheitssoftware investiert werden. Und genau hier drückt der Schuh: Oftmals scheinen Kliniken nicht bereit oder in der Lage, ausreichend Geld in die Sicherheit ihrer IT-Systeme zu investieren. Um in Zukunft aber solchen Angriffen zu entgehen oder zumindest das Risiko zu vermindern, müsste aber genau das geschehen.