Mitte Juni wurde das Krankenhaus Agatharied Opfer einer Cyberattacke. Nun äußert sich das Unternehmen in einer offiziellen, recht selbstverliebten Meldung:
Am 16. Juni sahen die Mitarbeiter des Krankenhauses plötzlich nur noch schwarz. An den Computern funktionierte nichts mehr. Die IT bestätigte, dass das Krankenhaus Opfer eines Cyberangriffs war. Sieben Wochen später seien die Herausforderungen gemeistert, behauptet die Klinikführung in einer Pressemeldung:
“Hausham, 01.08.2024 – Am 16.06.2024 startete die Ausnahmephase an unserem Krankenhaus. Mitarbeiter saßen vor schwarzen Bildschirmen und unsere IT bestätigte rasch, dass wir Opfer eines Cyberangriffs wurden. Sieben Wochen später haben wir die Herausforderungen gemeistert und blicken zurück.
Phase 1: Umstellung auf Ausfallkonzept
Wie berichtet haben uns die Auswirkungen des Cyberangriffs auf unser Krankenhaus die letzten sechs Wochen in allen gewohnten Abläufen massiv beeinträchtigt. Zeitgleich hat diese besondere Zeit aber auch Beachtliches gezeigt. Bei so einem schwerwiegenden Vorfall gibt es am Anfang erstmal eine Phase, in der sich alle sortieren. Diese Phase war bei uns sehr kurz, da wir ein gutes Ausfallsystem hatten, sofort einen Koordinierungsstab gegründet haben, der noch am gleichen Tag und anschließend drei Mal täglich getagt hat und weil alle Mitarbeiter engagiert an einem Strang zogen.
Trotz eines Totalausfalls des kompletten Systems war das Krankenhaus innerhalb von nur 36 Stunden wieder sehr gut handlungsfähig, nach 48 Stunden sogar voll handlungsfähig, da alle relevanten Abläufe analog auf Papier umgestellt wurden.
Die internen Systeme wurden sofort vom Internet getrennt. Der eingerichtete Koordinationsstab tagte drei Mal täglich, um gemeinsam mit internen und externen IT-Spezialisten die vollständige Kommunikation rasch wiederherzustellen. Eine ständige enge Zusammenarbeit mit den zuständigen Behörden brachte permanente Unterstützung bei der Lösung dieser großen Herausforderung.
Phase 2: Stabilisierung des Betriebes
Durch eine sehr kluge Datensicherungsstrategie besaß das Krankenhaus Offline Back Ups mit einem Datenstand vom Sonntag vor dem Vorfall. Dadurch konnte schon nach kurzer Zeit mit der Wiederherstellung der Systeme begonnen werden. Da die Datenmenge sehr groß war, dauerte es natürlich einige Zeit, diese aufzuspielen. Parallel folgte die Wiederherstellung einer bestimmten, komplexen Prozedur. Zudem wurde jedes System einzeln geprüft und gegebenenfalls bereinigt. Dazu gehörten auch alle einzelnen PCs und Notebooks in unserem Haus.
Nach 48 Stunden Fleiß und Engagement aller Mitarbeiter konnten wir bereits wieder vollumfänglich handlungsfähig bei der Rettungsleitstelle gemeldet werden. Im gesamten Betrieb der Medizin und der Pflege hatten wir durch viel zusätzliche Arbeit keine Einschränkungen. Wir konnten die wichtigsten Abläufe rasch so anpassen, dass durchgängig eine sichere Patientenversorgung gewährleistet war.
Alle relevanten Untersuchungen konnten somit weiterhin durchgeführt werden. Durch eine Vielzahl neu angeschaffter Laptops konnten wir nahezu alle Bereiche und Stationen zumindest mit einem Gerät ausstatten.
Phase 3: Analyse, Forensik
Die Teams der Forensiker arbeiteten Tag und Nacht an dem Fall. Schnell war klar, dass es sich nicht um einen willkürlichen, sondern um einen gezielten Angriff handelte, für den viel Know-How und aufwendige maschinelle Unterstützung sowie viel kriminelle Energie erforderlich waren. Die Kriminellen haben sich sehr aktiv Zutritt zu unseren Systemen verschafft. Ein unglücklicher Fehler eines Mitarbeiters, z.B. durch das versehentliche Öffnen einer schädlichen E-Mail, also ein Unfall, schied als Ursache schnell aus. Die Daten des Krankenhauses wurden verschlüsselt, Schadsoftware wurde nicht eingeschleust. Wie schon berichtet, waren wir durch unsere kluge Back-Up Strategie unmittelbar in der Lage, mit der Wiederherstellung unserer Systeme zu beginnen.
Phase 4: Wiederherstellung der internen Kommunikation
Die Wiederherstellung unserer Systeme verlief planmäßig. Unsere 200 Server wurden zunächst schrittweise und nach sechs Wochen wieder vollständig in Betrieb genommen. Ab diesem Zeitpunkt war unser Krankenhausinformationssystem (KIS) wieder verfügbar. Bei der Wiederherstellung lag die höchste Priorität immer auf der Herstellung aller medizinischen und pflegerischen Systeme. Die Mitarbeiter konnten nach vier Wochen wieder intern mit Outlook kommunizieren und hatten Zugriff auf die Daten auf den entsprechenden Laufwerken.
Phase 5: Öffnung nach außen
Am 31.7. war es soweit. Die Systeme „nach außen“ wurden wieder geöffnet und das Versenden der ersten E-Mail an einen externen Adressaten wurde gefeiert. Das Krankenhaus ist wieder wie gewohnt auf allen Kommunikationswegen erreichbar.
Schlusswort:
Nach dem Cyberangriff liegt eine komplexe, 7-wöchige Operation hinter uns, die unser gesamtes Team gut gemeistert hat. Wir sind nun soweit, dass wir am Ende der Operation “die Naht setzen” können und haben unser Haus unter Einsatz zusätzlicher Sicherheitsmaßnahmen wieder mit dem Internet verbunden. Die Genesungsphase im Anschluss an die OP wird aber noch einige Tage in Anspruch nehmen. Wir warten z.B. noch auf die Lieferung von zusätzlichen Arbeitsplätzen. Auch die Sorge vor postoperativen Komplikationen bewegt uns noch. Wir müssen also unsere Patienten gut nachüberwachen.
Nach allen Sicherheits-Scans beobachten wir nun engmaschig, ob weitere Angriffsversuche erfolgen und hoffen, dass wir alle schädlichen Bestandteile mit unserer OP wirklich vollständig entfernen konnten. Nach gemeinsamer Betrachtung unserer IT und der Abarbeitung der Checklisten unserer externen Experten sind wir aber guter Dinge. Zudem werden wir uns im Laufe der kommenden Wochen mit der Weiterentwicklung unseres bisher ohnehin schon guten Präventionsprogramms zu einem sehr guten Präventionsprogramm befassen.
Auch wenn wir Opfer einer schweren Straftat wurden, war die Patientenversorgung durchgängig gewährleistet und erfolgte nach 48 Stunden im Normalbetrieb. Was kann man mehr von einem Krankenhaus erwarten, als eine sichere und qualitativ hochwertige Patientenversorgung. Beeindruckend zu beobachten waren die Flexibilität und der Zusammenhalt unserer Mitarbeiter. Kollegen aus der Verwaltung, die ihre Tätigkeit nicht zeitfüllend ausüben konnten, unterstützten die Teams in der Pflege mit Hilfstätigkeiten mit einem absoluten Selbstverständnis. Die eingeschränkte Kommunikation und Erreichbarkeit unserer Klinik wurden von allen Patienten, Besuchern und Geschäftspartnern mit viel Verständnis und Geduld angenommen.
An dieser Stelle möchten wir uns ganz herzlich bedanken!”
Randnotiz
Pressemitteilungen haben es an sich, die eigenen Abläufe möglichst glatt und positiv darzustellen. Fragen bleiben, und das Krankenhaus ist mehr als bemüht, diese nicht im Mittelpunkt ihrer Pressemitteilung zu stellen. Generell verstörend wirken die Lobhudeleien auf die eigene Leistung.
Bis heute ist über den möglichen Täterkreis nichts bekannt. Ob ein Epressung stattfand, bleibt unklar. Das gilt auch für die Höhe eines Lösegelds. Da das KH Agatharied ein Kommunalunternehmen ist, hätte eine externe Beurteilung der IT-Arbeit und IT-Nachsorge sicher vertrauensbildend sein können. So bleibt Patienten nur die Hoffnung in die Kompetenz der Klinikleitung …
Zum Nachlesen
Geld gegen Daten? Drei klassische Cyberangriffe – Artikel vom 19. Juni;
#69 – Ich glaube, es hackt im Krankenhaus Agatharied – Podcast vom 19. Juni;
Was hackt denn da im Krankenhaus Agatharied? – Artikel vom 20. Juni;
Krankenhaus Agatharied: Am falschen Ende gespart? – Artikel vom 28. Juni;
Wir brauchen Agatharied – Kommentar von Martin Calsow vom 04. Juli;
Agatharied im Cyberangriff – Offizielle Meldung vom 25. Juni;
Wie sicher sind die Rathäuser im Tegernseer Tal? – Artikel vom 22. Juli;
SOCIAL MEDIA SEITEN