Arzt und Gehilfin schauen auf einen Monitor während einer Computertomograhie
Je vernetzter medizinische Geräte werden, desto anfälliger werden Krankenhäuser für Cyberattacken. Bild © picture-alliance/dpa

Kriminelle Hacker greifen immer wieder Krankenhäuser an. Die Kliniken müssten bei ihrer IT-Sicherheit nachrüsten. Doch das kostet viele Millionen - Geld, das viele Kommunen nicht haben. Der hessische Klinikverband sieht daher auch das Land in der Pflicht.

Audiobeitrag
Zwei Krankenhaus-Schwestern mit einem Computer mit Patientendaten

Audio

Loca-tag 'teaser_more_audio_sr' not found Klinkverbandsdirektor Greunke: In Hessen gibt es Investionsbedarf im mittleren zweistelligen Millionenbereich

Ende des Audiobeitrags

Ende Mai 2018 wird das evangelische Agaplesion-Krankenhaus Mittelhessen in Gießen von zwei Hackern angegriffen. Ihr Ziel: Die digitalen Außenmauern der Klinik überwinden, tief ins Netzwerk der Klinik eindringen, Passwörter erspähen, vertrauliche Dokumente erbeuten. Und tatsächlich: Die Hacker finden Schwachstellen im System, die sie ausnutzen könnten - es aber am Ende nicht tun.

Die beiden Angreifer, Dominik Oepen und Jörg Schneider, sind keine kriminellen Hacker, die illegal in Systeme eindringen. Sie arbeiten für die gute Seite: als legale Hacker in Diensten von Cybersicherheitsunternehmen.

Klinikchef: "Wir haben noch einige Hausaufgaben"

Oepens und Schneiders Berliner Firma HiSolutions AG arbeitet im Auftrag der Gießener Klinik. Sie soll das IT-Netzwerk testweise angreifen, um mögliche Schwachstellen zu finden. "Das ist eine der effizientesten Präventionsmaßnahmen gegen Cyberangriffe", sagt Timo Kob aus dem Vorstand von HiSolutions: "Dabei werden reale Angriffsszenarien und -techniken genutzt, um Lücken zu finden."

Weitere Informationen

Podcast Cybercrime am Krankenbett

Die Rechercheergebnisse der hr-iNFO-Storyredaktion zu Cybercrime in Krankenhäusern finden Sie in deren Podcast.

Ende der weiteren Informationen

Lücken, die ein Unternehmen wie die Agaplesion-Klinik dann möglichst schnell schließen kann. Der Chef der Gießener Klinik, Sebastian Polag, bewertet den zweitägigen Testangriff denn auch positiv. Zum einen habe der Test gezeigt, dass die Klinik schon weit sei mit ihren Sicherheitsvorkehrungen. Zum anderen wurden auch Schwachstellen deutlich, wie Polag sagt: "Da haben wir noch einige Hausaufgaben."

Jede vierte Klinik in Hessen von Attacken betroffen

Kliniken werden immer wieder Opfer von Internetkriminalität. Erst vergangene Woche traf es drei Krankenhäuser in und um Bremerhaven. Die Notaufnahme musste schließen. Auch hessische Kliniken hat es schon erwischt. Nach einer Kleinen Anfrage der SPD-Fraktion im Landtag zur IT-Sicherheit in Kliniken befragte die Landesregierung im Sommer alle Krankenhäuser im Land nach entsprechenden Vorfällen.

Ergebnis: Von den Kliniken, die geantwortet haben, hatte jedes vierte in den vergangenen zwei Jahren einen Cybervorfall - sofern sie ihn selbst bemerkten. Insgesamt gab es zwölf solcher Fälle, in denen es meistens um digitale Erpressung geht. Die Täter waren also an Geld und weniger an IT-Daten interessiert.

Audiobeitrag
Ein Monitor zeigt die Werte eines Patienten

Audio

Loca-tag 'teaser_more_audio_sr' not found Cybercrime am Krankenbett: hr-iNFO "Netzwelt" mit den Podcast-Machern Oliver Günther und Henning Steiner

Ende des Audiobeitrags

Zu größeren Störungen oder zu einem Zugriff auf Patientendaten des Klinikbetriebs kam es dabei zwar nie. Aber das Risiko ist real. Das zeigt der Fall des Lukaskrankenhauses in Neuss. Im Februar 2016 wurde die Klinik Ofer von Internetkriminellen. Alle IT-Systeme mussten fast eine Woche lang abgeschaltet bleiben. Die Folgen: kein Zugriff mehr auf digitale Patientenakten, die Notfallversorgung geschlossen, die Strahlentherapie für Krebspatienten ausgesetzt, Operationen verschoben.

Hard- und Software allein helfen nicht auf Dauer

Vor allem die zunehmende Digitalisierung macht die Kliniken verletzbar. "Je vernetzter Krankenhäuser sind, je mehr auch Medizingeräte in die IT-Systeme eingebunden sind, umso mehr stört so ein Angriff auch die Abläufe im Krankenhaus", sagt Rainer Greunke, Direktor der hessischen Krankenhausgesellschaft, im Gespräch mit hr-iNFO.

Viele Kliniken haben Investitionen in die IT-Sicherheit lange Zeit vernachlässigt. Greunke verortet den Investitionsbedarf bei der Hard- und Softwareausstattung allein für Hessen im mittleren zweistelligen Millionenbereich, "um die Krankenhäuser auf den wirklich aktuellsten Stand zu bringen". Jedoch ist die Finanzlage der Kliniken oft angespannt, zumal wenn ihre Träger Kommunen sind. SPD-Gesundheitsexpertin Daniela Sommer fordert deshalb einen zweckgebundenen Zuschuss des Landes, der ausschließlich für Investitionen in IT-Sicherheit der Krankenhäuser verwendet werden soll.

Ein Arzt sieht sich Computertomographie-Aufnahmen an
Ein Arzt sieht sich Computertomographie-Aufnahmen an: Alles wird gespeichert. Bild © picture-alliance/dpa

Die bloße Anschaffung von Hard- und Software sei allerdings zu wenig, ergänzt Klinik-Vertreter Greunke: "Das muss dann auch ständig gepflegt werden." Das heißt: Die Häuser müssen dafür Personal finden und bezahlen. Auch das kostet Geld. Greunke sieht daher neben dem Land die Krankenkassen in der Pflicht.

Bund und Länder verhandeln über Milliardenpaket

Das Land immerhin erkennt den Bedarf. Es bestehe Einigkeit, "dass bei vielen Krankenhäusern erhebliche Investitionen in die IT-Sicherheit erforderlich sind", schrieb das für die Kliniken zuständige Sozialministerium in der Antwort auf die Kleine Anfrage der SPD-Fraktion: "Die Hessische Landesregierung wird sich dafür einsetzen, dass Maßnahmen zur Verbesserung der IT-Sicherheit gefördert werden."

Tatsächlich verhandeln Bund und Länder derzeit über ein milliardenschweres Finanzierungskonzept für Kliniken, das künftig unter anderem deren IT-Sicherheit zugute kommen soll. Viele Details sind allerdings noch unklar: zum Beispiel, ob die Förderung nur für große Kliniken vorgesehen ist und wie viel Geld es konkret dafür geben soll.

Sorge vor erzwungener Schließung der Notaufnahme

Die Pläne des Landes könnten dazu führen, dass sich die IT-Sicherheit in den Kliniken verbessert. Absolute Sicherheit können natürlich auch sie nicht versprechen. Und so bleibt die Sorge beim Gießener Klinikchef Sebastian Polag, "dass man irgendwann nachts oder am Wochenende angerufen wird, und es dann heißt: Es geht gar nichts mehr. Wir müssen unsere Patientenversorgung einstellen, wir müssen die Notaufnahme zu machen, weil wir nicht mehr an die Systeme rankommen und irgendwie unsere Back-up-Strategien oder unsere Ausfallkonzepte nicht mehr greifen."