Für Sie gelesen

Sehr geehrte Mandantin, sehr geehrter Mandant,
hier ist der vollständige Text für Sie:

MySecur® Nachrichten - Business:

Wissen & Tipps | Bran­chen­fo­kus Gesund­heit

Kost­bare Beute Pati­en­ten­da­ten

Kaum ein Wirtschaftssektor hantiert mit so sensiblen Informationen wie die Medizinbranche. Da die Daten zunehmend digitalisiert genutzt werden, wächst der Druck auf Ärzte und Kliniken, sie ausreichend vor Hackerangriffen zu schützen.

Viele sensible Daten: Gerade Patienteninformationen sind wertvolle Beute für Kriminelle.

Am Aschermittwoch 2016 ist für das Neusser Lukaskrankenhaus schlagartig alles anders. Ein unbedachter Klick auf einen E-Mail-Anhang, und schon beginnt ein Virus mit seinem unheilvollen Werk. Eine Datei nach der anderen verschlüsselt er, am Ende liegt das gesamte Computersystem der Klinik lahm. Hacker melden sich und versprechen, das Problem zu lösen – gegen einen Obolus. Doch statt sich erpressen zu lassen, fährt das Krankenhaus alle Systeme herunter und schaltet um auf händischen Betrieb. Die Modellklinik für digitale Vernetzung wird ausgebremst. Ein Krankenhaus im Schneckentempo.

Die Folgen sind gravierend: Diagnosegeräte stehen still, Operationen fallen aus, Patienten müssen in andere Kliniken verlegt werden. Vier Tage dauert es, das System zu säubern; insgesamt zehn Tage, bis es wieder hochgefahren ist. Auf rund 1 Mio. Euro beziffert Nicolas Krämer, kaufmännischer Direktor des kommunalen Krankenhauses, den Schaden. Der größte Teil dieser Summe sei an „an sündhaft teure IT-Sicherheitsexperten“ geflossen. Viel Geld für das Lukaskrankenhaus.

Zwei Drittel aller Kliniken bereits Opfer von Cyberattacken

Die Attacke auf das Lukaskrankenhaus ist kein Einzelfall in der Gesundheitsbranche: Rund zwei Drittel der deutschen Kliniken sind schon Opfer von Hackerangriffen geworden. Das geht aus der Roland Berger Krankenhausstudie hervor. Erhebungen zur Zahl der Angriffe auf die landesweit rund 102.000 Arztpraxen und 20.000 Apotheken gibt es zwar nicht. Wer jedoch die Lokalzeitungen durchkämmt, stößt immer wieder auf Schlagzeilen von Betroffenen, die aufgrund von Cyberangriffen zeitweise ihre Praxis schließen mussten: im rheinischen Kevelaer, in Bonn, in Herbolzheim im Breisgau oder in Wolfsburg. Die Fälle machen deutlich, welche Folgen ein Ausfall der IT haben kann: Im schlimmsten Fall geht gar nichts mehr.

Denn auch die Medizin nutzt verstärkt die Möglichkeiten der Digitalisierung. Patientenakten werden auf dem Computer abgelegt; Bestellungen und Abrechnungen elektronisch abgewickelt. Immer mehr Krankenhäuser, Arztpraxen sowie Apotheken vernetzen sich und tauschen Befunde oder Rezepte über das Internet aus. „Jeder Arzt und jede Klinik ist heute in hohem Maße von einer funktionierenden Informationstechnik abhängig“, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Neben den hochsensiblen medizinischen Geräten gelte dies auch für die Buchhaltung, die Material- und Medikamenten-Disposition oder das Terminwesen. „Wenn die Daten zur Rechnungsstellung fehlen, ist der Schaden für jeden Betrieb enorm“, so das BSI.

Diebstahl von Patientendaten ist die größte Gefahr

So langsam realisieren die Ärzte, wie verletzlich sie geworden sind. „Vielen ist die Relevanz von Cybersecurity im Gesundheitswesen erst mit dem Fall des Lukaskrankenhaus bewusst geworden”, sagt Carsten Ahrens, Chef des Sicherheitsdienstleisters Giesecke & Devrient Mobile. Das Neusser Klinikum ging sehr transparent mit dem Angriff um und gilt auch für andere Branchen als Vorbild für den Umgang mit IT-Sicherheitsvorfällen. Dabei hatte das Lukaskrankenhaus noch Glück im Unglück: Die Daten konnten widerhergestellt werden. Einen Abfluss von sensiblen Informationen stellten die Ermittler nicht fest.

Denn das wäre der Super-Gau: der Klau von Patientendaten. Sie gehören zu den sensibelsten Daten überhaupt, nicht umsonst stuft sie der Gesetzgeber als besonders schützenswert ein. Das Strafgesetzbuch sieht sogar Freiheitsstrafen vor, wenn vertrauliche Angaben von Patienten ohne deren Einwilligung öffentlich gemacht werden. Gerade deshalb bräuchten Ärzte und Kliniken besonders sichere Computersysteme. Der Alltag sieht jedoch gerade in kleineren Praxen anders aus. „Die Lage ist schon sehr heterogen im Gesundheitswesen, das ist kein Geheimnis”, sagt BSI-Chef Arne Schönbohm.

Ältere Medizintechnik bietet Angriffsmöglichkeiten

Dabei gibt es von den Kassenärztlichen Vereinigungen klare Vorgaben, wie eine sichere IT-Infrastruktur auszusehen hat. So soll zum Beispiel der Praxisserver in einem abgeschlossenen Raum stehen, E-Mail- und Internetdienste nicht zusammen mit dem Patientenverwaltungssystem auf einem Computer installiert sein. „Der E-Mail-Zugang sollte über einen Stand-alone-Rechner erfolgen“, sagt Christoph Goetz. Er ist Leiter der Arbeitsgruppe Gesundheitstelematik beim IT-Sicherheitsverband TeleTrusT. Ob das auch in allen Praxen der Fall sei, könne er aber nicht sagen. Ältere Betriebssysteme seien ebenfalls ein Sicherheitsrisiko, auch wenn das Problem abnehme, so Goetz. Trotzdem warnt zum Beispiel die Kassenärztliche Vereinigung Nordost Ärzte noch davor, Windows XP zu nutzen – ein Betriebssystem, für das ein letztes Sicherheitsupdate im Jahr 2014 veröffentlicht wurde.

Auch ältere Medizintechnik bietet Hackern Angriffsmöglichkeiten. Kaum ein EKG-Gerät wird schon nach fünf Jahren ausgetauscht, von einem millionenteuren MRT-Gerät ganz zu schweigen. Das BSI warnt davor, dass sich gerade über Sicherheitslücken in älteren Modellen und deren veralteten Betriebssystemen Schadprogramme ausbreiten können. „In den IT-Systemen der Krankenhäuser und auch in der Medizintechnik spielen diese Betriebssysteme häufig noch eine entscheidende Rolle, weil sie unter Umständen Teil der Gerätezulassung sind“, sagt ein BSI-Sprecher. Solange solche Geräte nicht mit dem Internet verbunden seien, sei die Gefahr zwar überschaubar. Doch mittlerweile würden immer mehr in die Netzwerke eingebunden. „Und dann werden sie zu einem Sicherheitsrisiko“, sagt der Sprecher.

Vernetzung im Medizinbereich schreitet weiter voran

Und die Vernetzung im Gesundheitssystem schreitet immer weiter voran. Ab 2019 müssen Praxen und Kliniken über die notwendige Technik wie zum Beispiel Kartenlesegeräte verfügen, um die Versichertenstammdaten der Gesundheitskarte mit der Krankenkasse abgleichen zu können. Gleichzeitig werden alle Akteure über ein eigenes Netzwerk miteinander verbunden. Der Stammdatenabgleich ist nur der Anfang, Goetz vom TeleTrusT-Verband geht davon aus, dass sich schnell Zusatzdienste etablieren, die über das Branchen-Netzwerk abgewickelt werden. Als Beispiel nennt er den elektronischen Arztbrief, der Fax und Post ersetzen könnte. „Die elektronische Arztkommunikation ist sicherlich noch ausbaufähig“, sagt Goetz.

Mit zunehmender Vernetzung steigt die Abhängigkeit von einer funktionierenden IT-Infrastruktur. Welche Folge ein Ausfall haben kann, zeigte sich im Mai 2017 in Großbritannien, als der WannaCry-Virus den nationalen Gesundheitsdienst NHS lahmlegte. Mindestens 6.900 Termine mussten abgesagt werden, der britische Rechnungshof geht gar von bis zu 19.500 ausgefallenen Terminen aus. Dabei hätte die Attacke mit „einfacher IT-Sicherheit“ verhindert werden können, monieren die Prüfer.

Hohe IT-Sicherheit liegt im Eigeninteresse der Ärzte

Hiesige Gesundheitsverbände sehen die deutsche Telematik-Infrastruktur besser gerüstet. Gern verweisen sie darauf, dass die eingesetzte Hardware vom BSI zertifiziert wird und damit höchste Sicherheitsansprüche erfüllt. Für die restlichen Komponenten in den Arztpraxen, beispielsweise die angeschlossenen Computer, gibt es allerdings nur Empfehlungen. Ob sich auch alle Ärzte daran halten, ist zweifelhaft.

abei sollten sich Arztpraxen, Apotheken und Kliniken schon aus Eigeninteresse um hohe IT-Sicherheitsstandards bemühen, schließlich können die wirtschaftlichen Folgen eines Hackerangriffs enorm sein. Für zusätzlichen Druck sorgt die Europäische Datenschutzgrundverordnung, die von Ende Mai 2018 wirkt. Sie enthält hohe Geldbußen für Unternehmen oder Freiberufler, deren Daten gestohlen oder missbraucht werden. Bis zu vier Prozent des Jahresumsatzes drohen als Strafe. Zudem muss der betroffene Arzt oder Apotheker die Datenschutzbehörden und gegebenenfalls auch die Patienten über die Datenpanne informieren. Wirkungsvoller als damit könnte man sie wohl kaum verprellen.

Zurück zur Übersicht