Kliniken werden zu Zielen von Cyberkriminellen. Das ist fatal, aber nicht ungewöhnlich.
Im Krankenhaus ruckelt es in der IT: Seit Montag ist das Kommunalunternehmen nur noch telefonisch erreichbar. Mitarbeiterinnen sagen uns, dass sie nicht am Rechner arbeiten können. Admin-Passwörter würden nicht mehr funktionieren.
Überprüfen lassen sich diese Aussagen nicht. Das Krankenhaus antwortet nicht auf unsere Fragen. Spielt Schildkröte. Einziehen und abwarten. Patienten werden auf der Webseite informiert, anzurufen, falls sie einen Termin haben. Das lässt digital Begabte aufhorchen.
Eine Ärztin erzählt uns, dass sie auf Papierakten ihre Patienten zurückgreife und dass es eigentlich schön sei, für die Menschen mehr Zeit zu haben. Sie dokumentiere jetzt eben schriftlich und nicht mehr digital.
Auch der Landrat, Olaf von Löwis (CSU), versichert in der gestrigen Kreistagssitzung in Rottach-Egern, es sei gelungen, “Daten auf andere Weise herzustellen” und jetzt würde analog gearbeitet. Und weiter: Das Krankenhaus Agatharied sei gerade nicht digital erreichbar, betont aber, dass es “eine extrem hohe IT-Sicherheitsstruktur habe und das ist nicht durch Nachlässigkeit entstanden”.
Mehr sagt er nicht. Von Löwis dürfe nicht viel preisgeben, das könne die Ermittlungen gefährden. Das Landeskriminalamt sei eingeschaltet. Dann sagt er noch, dass in 14 Tagen das sicher gelöst sei … was “das” ist, sagt er nicht.
Die Pressestelle des Krankenhauses Agatharied spricht von einem “Hackerangriff auf das Krankenhaus Agatharied”. Ein Koordinationsstab tage und eine sichere Patientenversorgung sei gewährleistet sowie “alle relevanten Untersuchungen (können) weiterhin durchgeführt werden”.
Das Umstellen auf analoge Abläufe, also das schlichte Anlegen oder Wiedernutzen von Akten, kann Zeit kosten. Unter Umständen auch zu Fehlern führen (was hat der Kollege da an den Rand gekritzelt?). Und Zeit entscheidet im Klinik-Ablauf auch über Leben und Tod.
Krankenhäuser sind Ziel im Ransomware-Business
Krankenhäuser und Pflegeeinrichtungen sind verstärkt Ziel von Cyber-Attacken. Besser: Erpressungstrojanern. Dahinter können Scripts stecken, die ständig unterwegs sind und nach Schlupflöchern in einem IT-System suchen.
Das kann man sich vorstellen, wie das Auschecken einer wertigen Nachbarschaft: Da läuft jemand an jedem Haus vorbei, schaut, ob das Gartentürchen offen ist oder vielleicht die Haus- oder Terrassentür?
Dann findet sich eine Kellertür, die sich mit etwas Geschick aufmachen lässt. Hineinspaziert und hinter sich abgeschlossen – soll ja nicht noch ein zweiter Räuber davon profitieren. Schloss und Schlüssel auswechseln; die Erpressung kann beginnen.
Für die Entschlüsselung möge man bitte zahlen, solange kriegt niemand den neuen Haustürschlüssel. Manchmal wird gedroht, persönliche Daten zu veröffentlichen; kostet dann extra.
Wenn Gesundheitseinrichtungen irgendwo eine noch so kleine Tür haben, die vielleicht simpel mit dem Dietrich aufgeht (Stichwort: Passwort-Sicherheit, VPN-Sicherheit, E-Mail Awareness der Mitarbeitenden), dann kann das für Patientinnen und Patienten durchaus risikoreich sein.
Beispiel: Soest und Düsseldorf
Etwa, wenn Rettungswagen das regionale Krankenhaus nicht mehr anfahren können. Passiert ist das in Nordrhein-Westfalen. Da waren Anfang des Jahres die Computersysteme in den Krankenhäuser Soest dran. Die Klinik schrieb von “einem kompletten EDV-Ausfall”, sie verzichtete darauf, den Reporterinnen des WDR zu erzählen, dass die Krankenwagen nicht mehr zum Klinikum fuhren; das erfuhren die Journalisten von der Rettungsleitstelle. Die Klinikleitung hüllte sich in Schweigen.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erkannt, dass Krankenhäuser eine äußerst verletzbare Branche seien. 2020 kam es im Universitätsklinikum Düsseldorf zu einem weitreichenden Ausfall der IT-Infrastruktur nach einem Ransomware-Angriff. Die Klinik musste die Notaufnahme abmelden und Operationen verschieben. Erst zwei Wochen später konnte das Krankenhaus Notfälle versorgen (Quelle: BSI / Bedrohungslage Ransomware).
Auch die wirtschaftlichen Auswirkungen können erheblich sein. So musste das amerikanische Krankenhaus St. Margaret’s Health zwei Jahre nach einer Cyber-Attacke schließen. Die finanzielle Belastung für die Wiederherstellung der Systeme und liegen gebliebene Versicherungsansprüche zogen dem Traditionskrankenhaus den Stecker.
Cyber-Kriminalität – wer profitiert?
Im Zuge des Angriffs der Russen auf die Ukraine sollen vor allem russlandfreundliche Hacker, Krankenhäuser oder Pflegeeinrichtungen ausgecheckt haben. Neben Russen, sind vor allem China und Nordkorea interessiert an Schwachstellen in der IT-Architektur von Großunternehmen und anderen.
Alles Staaten, die Deutschland eigentlich sanktioniert. Eine BBC-Studie deckte auf, dass 74 Prozent aller Ransomware-Lösegelder 2021 an Banden in Russland gezahlt wurden. Nordkorea stehle zudem Kryptowährungen, um ihr Atomraketenprogramms zu finanzieren. Doch auch demokratisch gesinnte Staaten mischen im Business mit: In den USA wurde etwa die Hackergruppe Hive bekannt, die Krankenhäusern und auch Schulen erpresste. Sie sackte 100 Millionen US-Dollar ein bis zu ihrer Aufdeckung 2022.
Zahlen oder nicht?
Ermittlungsbehörden raten in der Regel niemals auf Forderungen einzugehen. Das locke Nachahmer, so IT-Experten der Polizei. Laut einer Studie des Sicherheitsdienstleisters Sophos ignorieren rund 42 Prozent aller deutschen Unternehmen die Empfehlungen von BSI und Bundeskriminalamt (BKA): Sie zahlen das geforderte Lösegeld; im Schnitt über 250.000 Euro. Auch die Aufklärungsquote ist bescheiden. Laut polizeilicher Kriminalstatistik lag die vor zwei Jahren bei 29,3 Prozent.
Einige Versicherungen haben sich auf die Netz-Schurken spezialisiert und decken dann Lösegeld-Zahlungen ab. Auch das Krankenhaus soll eine haben. Die moralische Frage bleibt: Will man demokratieferne Staaten unterstützen? Die Kompetenz-Frage lautet: Haben wir eine andere Wahl?
Auf Wirken der Deutschen Krankenhausgesellschaft hat das BSI 2019 branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser anerkannt.
Nebenbei; das BSI ist nicht unumstritten: Ziemlich in Vergessenheit geraten ist, ob und wann der Staat seine Bürgerinnen und Bürger ausspionieren darf: Stichwort: Staatstrojaner-Affäre. Und auch, wie er das macht und sicherstellt, dass Sicherheitslücken nicht von Kriminellen ausgenutzt werden.
Rote Zahlen und jetzt ein Hack
Die Netz-Attacke kommt zu Unzeit für das Krankenhaus Agatharied. Die Landkreis-Einrichtung steckt in den roten Zahlen. Ein neun Millionen Euro Defizit (zuletzt in 2022) und die Auswirkung der aktuellen Krankenhaus-Reform belasten die Einrichtung.
Krisen üben – Reputation erhalten
Der Umgang mit der IT-Krise kann sich auf den Ruf des Kommunalunternehmens auswirken: intern und extern. Wie gut ist das Krankenhaus auf so eine Situation vorbereitet? Ehemaliger Mitarbeiter erzählen, dass durchaus in die IT-Security in den letzten Jahren investiert worden sei. IT-Experten sind keine darunter.
Ein Mitarbeiter im Krankenhaus bestätigt, dass man keinen USB-Stick an die Rechner stecken darf. Ein klassisches Einfallstor, weil der böse Code von zu Hause ein ganzes Netzwerk lahmlegen kann. Auch Passwortanforderungen soll es geben, wie sie genau ausschauen wissen wir nicht.
Bots lieben schlechte Passwörter: Bots sind gewitzte Programme. Sie probieren einfach alle Varianten durch: Geburtsdatum, Namen, Jahreszeiten und sonstiges.
Länge und Komplexität eines Passworts entscheiden unter Umständen über die Sicherheit eines ganzen Hauses. Wer im Unternehmen ein Passwort wie “Sommer 2024” zulässt und das Post-It am Rechner des Teamassistenten ignoriert, darf nicht klagen, wenn der Hacker klingelt.
Offene Fragen
Wie viel Geld ging in die IT-Sicherheit? Gab es Stresstests? Wurden Lösungen für die Datensicherheit, das Datenmanagement sowie die Datenwiederherstellung erarbeitet? Gibt es ein Back-up, das nicht mit dem Netzwerk verbunden ist und sich fix einspielen lässt. Sind Patientendaten gefährdet? Und, und, und …
Krisen kann man “üben”. Dann weiß jede und jeder, was zu tun ist. Wer redet mit der Presse? Wann machen wir eine Pressekonferenz? Es ist durchaus möglich, Menschen gut zu informieren und dennoch sensible Daten zurückzuhalten; nennt sich Sprachregelung. Kann man jeden Tag in der Bundespressekonferenz beobachten.
Am Montagabend plauderte der Landrat Olaf von Löwis den Hack am Rande einer Parteiveranstaltung aus. Klinikmitarbeiter sollen von dem EDV-Desaster seit Sonntagabend wissen. Die Nachtschicht will man sich nicht vorstellen.
Am Montag muss es erstmal ziemlich hektisch gewesen sein. Schließlich arbeiten in einer Klinik oft toller Leute, die tatsächlich in erster Linie am Wohle ihrer Patienten interessiert sind. Da sei das gar nicht so aufgefallen, dass von der Klinikleitung nichts kam, sagt uns eine Ärztin. Sie findet, dass alle an einem Strang gezogen haben und sie eigentlich immer nur am Arbeiten sei und für so eine Information ja gar keine Zeit gewesen sei.
Herausforderung Digitalität
Die Bedrohung im Cyberraum kann gerade für Kommunen zur Herausforderung werden: Denn während Großunternehmen in ihre IT-Sicherheit massiv investieren, hinken Kommunen und deren Einrichtungen hinterher. Es fehle ein Bewusstsein für die Risiken, auch Dienstleistungen für Bürger sind schnell lahmgelegt.
Dabei ist IT-Security kein Hexenwerk. Es in erster Linie eine Kompetenz. Eine, die Geld kostet. Und eine, die einem die unternehmerische Existenz retten kann.
Wer will von seinem Tripper im Netz lesen?
Denn: Neben Erpressungsgeldern können den “Opfer” auch rechtliche Folgen drohen: Etwa, wenn sie persönliche Daten ungenügend geschützt haben. Besonders sensibel? Medizinische Daten.
SOCIAL MEDIA SEITEN
