Katapultiert sich das Krankenhaus Agatharied gerade ins Aus? Scheibchenweise Infos zum Hack und Presse-Einladungen nur für Auserwählte? Ein Überblick über eine klinische Krise, die kleingeredet werden soll.
Seit knapp zwei Jahren ist Benjamin Bartholdt Klinik-Chef. Übernommen hat der 42-Jährige damit eine herausragende Führungsrolle im Landkreis Miesbach und ein hoch verschuldetes Haus.
Kein leichter Job, aber eine bewusste Entscheidung. Bartholdt war neun Jahre als Prokurist im Krankenhaus beschäftigt und kannte die Herausforderungen. Er folgt auf Michael Kelbel, der zehn Jahre das Krankenhaus leitete und aus gesundheitlichen Gründen den Vorstandsposten frühzeitig abgab.
Jetzt steht der Diplomkaufmann inmitten einer der größten Krisen des Krankenhauses. Das Kommunalunternehmen wurde Opfer einer Cyber-Attacke und ist seitdem in der Steinzeit. “Der gesamte Betrieb ist vom IT-Ausfall betroffen. Alle Medizingeräte sind jedoch voll funktionsfähig. Untersuchungen und Operationen können durchgeführt werden”, schreibt die Pressestelle des Lehrkrankenhauses Agatharied. Alles wird analogisiert, lässt sich der Koordinierungsstab in der Presse zitieren. Kassetten-Diktiergeräte kommen zum Einsatz. Ein Alptraum für die über 1200 Mitarbeitenden in Agatharied.
IT-Security: Ein fortlaufender Prozess
“IT-Security ist messbar”, sagt Florian Laumer, Cyber-Security-Berater. Er unterstützt Unternehmen als externer Informationssicherheitsbeauftragter (ISB) dabei, sich gegen die Risiken der Netzwelt zu wappnen. Sein Grundsatz: “Nur zu sagen, man habe eine super Cyber-Security-Architektur, reicht nicht. Man kann das heute alles mit sogenannten Kennzahlen messen, die basieren auf internationalen Standards.”
Hintergrund: Was hackt denn da im Krankenhaus Agatharied?
Über den Hackerangriff und warum Krankenhäuser zunehmen in das Visier der Cyberkriminalität geraten, haben wir hier geschrieben.
Standards in der IT kann man mit dem TÜV vergleichen: Wenn die Bremslichter nicht funktionieren, fliegt das Auto aus dem Verkehr. Wer seine Daten nicht gut absichert und auf Improvisation statt auf Notfallpläne setzt, erhält kein Zertifikat. Besonders wichtig in der heutigen Wirtschaft: Das Tagesgeschäft muss weitergehen, auch wenn eine handvoll Daten verschlüsselt wurden. Menschen mit lebensbedrohlichen Krankheiten müssen behandelt werden. Fachleute nennen das “Business Continuity”. Das bedeutet: Man kann auch im Notfall weiterarbeiten.
Banken führen ständig Risikobewertungen durch; sie sind dazu auch gesetzlich verpflichtet: Was passiert bei einer Naturkatastrophe? Was bei Systemausfällen? Da hängt ein ganzer Rattenschwanz an To-dos dran: In der IT gehören dazu regelmäßige Datensicherungen oder die Sicherstellung von Back-Ups.
Spricht man mit hiesigen Geldinstituten, gehören kontinuierlichen Prüfungen der IT zum Alltag. Da werden ominöse Test-Mails verschickt, um zu sehen, ob der Mitarbeiter bei der Fortbildung aufgepasst hat. Ziel: Bewusstsein für das Risiko schaffen. Cyber-Attacken gehört zu einem der größten Herausforderungen aus Sicht der Bankenaufsicht. Geldströme dürfen nicht attackiert werden. Und was ist mit den Daten von Patientinnen und Patienten?
Drei klassische Cyber-Angriffe
Über drei klassische Methoden wie Hacker vorgehen, haben wir hier geschrieben.
Zeige mir deine Dokumentationen
Wir fragen das Krankenhaus, ob sie ihre Cyber-Sicherheits-Architektur präzisieren können: Etwa mit Audits (das sind Bewertungen der IT-Sicherheit), Zertifikaten oder anderen Dokumentationen. Ja, sie lassen sich regelmäßig bewerten. Erst vor acht Wochen fand ein IT-Sicherheitsaudit von einem externen Datenschutzpartner statt, so das Krankenhaus und weiter, “das Ziel regelmäßiger Audits ist es, sich auf die neuesten Methoden der Cyberkriminalität einzustellen und reagieren zu können. Gerade deshalb arbeiten wir permanent an der Weiterentwicklung unserer IT-Sicherheit”.
Saugroboter aus China, E-Mails aus dem Nirgendwo
Wenn die Schranken des Krankenhauses betroffen waren, wie es der Merkur berichtet, handelt es sich allerdings nicht um einen kleinen Hack. So bewertet es zumindest Laumer. Er fragt sich, was der Hack mit der Zufahrt zur Tiefgarage zu tun habe. “Am besten noch den Saugroboter aus China ins Netzwerk hängen, das muss segmentiert sein”, kommentiert Laumer, also von der kritischen, “lebenswichtigen” IT-Struktur ferngehalten werden. Der Rasenroboter oder die Schranke kann ausfallen, der Zugriff auf Patientendaten besser nicht.
Aus forensischen Gründen kann das nachträgliche Stilllegen von IT-Systemen sinnvoll sein, so der Berater weiter, “wahrscheinlich waren diese Server in der gleichen IT-Infrastruktur, die es erwischt hat. Es werden ja gerade 200 Server wiederhergestellt.”
Was Segmentierung konkret bedeutet, verdeutlicht dieses Bild: Ein Einbrecher, der in ein Großraum-Office die Schreibtische durchsucht, hat es einfacher als in einem Bürogebäude mit mehreren Zimmern. Besonders, wenn alle abgeschlossen sind und in einige Zimmer nur autorisiertes Personal reinkommt.
In der IT versucht man – auch angesichts der zunehmenden technischen Bedrohungslage – ein Netzwerk in kleinere Einheiten aufzuteilen. Die kann man dann; wenn man einen Datenangriff rechtzeitig mitbekommt, individuell kontrollieren, also zum Beispiel einen Part offline nehmen.
Auch das Faxgerät deutet auf Improvisationstalent als auf einen ausgefeilten Ausfallplan hin. Und was genau mit den 150 Terabyte passiert ist und um welche Daten es sich handelt, ist unklar. Zur Einordnung: Vor kurzem wurden mehrere Londoner Krankenhäuser Ziel eines Hackerangriffs. Die russische Hackergruppe Qilin veröffentlichte 400 Gigabyte an gestohlenen Daten im Darknet. Auch in Bad Kissingen gelangten Daten von Patienten nach einem Angriff ins Netz.
Zur Größeneinordnung: Wenn 400 Gigabyte ein kleines Bücherregal sind, dann sind 150 Terabyte die ganze Bibliothek dazu.
Krankenhaus Agatharied
Das Krankenhaus Agatharied fliegt knapp unter dem KRITIS-Radar. Der steht für kritische Infrastruktur. Darunter fallen auch Energieversorger, Banken oder die Deutsche Bahn. Vereinfacht: Alles, was es braucht, damit Staat und Gesellschaft funktioniert. Krankenhäuser gelten ab einer bestimmten Anzahl an Behandlungsfälle (mehr als 30.000 vollstationären Behandlungsfällen pro Jahr) zur kritischen Infrastruktur. Agatharied gehört mit um die 20.000 Behandlungsfälle nicht dazu.
Dafür greift das Patientendaten-Schutz-Gesetz (PDSG): Seit 2022 sind Krankenhäuser – unabhängig von ihrer Größe – dazu verpflichtet, ihre IT-Sicherheit auf dem aktuellsten “Stand der Technik” zu halten. So steht es im Sozialgesetzbuch (SGB). Der “Stand der Technik” ist ein Platzhalter, der die Organisationen auffordert, die aktuell besten und anerkannten technischen Maßnahmen zu nutzen. Damit ist gewährleistet, “dass die Sicherheitsmaßnahmen immer auf dem neuesten Stand bleiben, ohne dass jedes Mal das Gesetz geändert werden muss”, erklärt Laumer.
Umstrukturierungen im IT-Sektor
Das Krankenhaus hat seine IT in den letzten Jahren umgebaut und eine neue Leitung eingesetzt: Hubert Friedl soll die Abteilung mit harter Hand führen. Er ist weniger als Technik-Nerd bekannt, sondern soll sich einen Namen gemacht haben, Prozesse und Kosten zu optimieren. Denn Defizite sind das Problem des Landkreis-Krankenhauses. Noch 2021 lag das Defizit bei über zwölf Millionen Euro, aktuell kämpft das Kommunalunternehmen noch immer mit einem hohen einstelligen Defizitbetrag. Sparen, wo immer es geht? Ging diese Strategie zu Lasten der IT-Sicherheit?
Ab in die Cloud
Die IT soll ausgelagert worden sein, raus aus dem Haus in die Cloud. Das ist ein völlig normaler Prozess, erklärt Laumer. Wichtig sind dann die genauen SLA (Service Level Agreements), eine solide Cyber Security Strategie und entsprechende Versicherungskonditionen, die auch Security-Vorfälle abdeckt. Die Frage hat uns das Krankenhaus auf die Schnelle nicht beantworten können, da sie mit „Hochdruck an der Wiederherstellung der Daten“ arbeiten und nur wenig Ressourcen zur Verfügung hätten.
„Unser absoluter Fokus liegt immer auf der Patientensicherheit, deshalb nehmen wir uns für entsprechende Sicherheits-Checks noch mehr Zeit als wir es ohnehin schon tun.” Das dürfte auch die Verantwortlichen im Aufsichtsrats interessieren. Auch sie hatten in der Vergangenheit die Chance, nach dem Stand der IT-Sicherheit zu fragen. Unter ihnen befinden sich unter anderem Bürgermeister des Landkreises. Sie stehen genauso in der Verantwortung.
Zum Pressetermin im Koordinierungsstab waren wir übrigens nicht eingeladen – aus Platzgründen, wie es jüngst aus der Pressestelle heißt.
SOCIAL MEDIA SEITEN
