Technisches Gerät im Kankenhaus
Ohne softwarebetriebe Geräte geht im modernen Klinikalltag gar nichts mehr. Fehler können Menschenleben kosten. Bild © Jens Naumann

Patientenakten, Röntgengeräte, Klinikorganisation: Ohne IT-Systeme geht im Krankenhaus gar nichts. Doch häufig hat neu gekaufte Software Fehler. Der Klinikkonzern Agaplesion lässt auf eigene Kosten Fehler finden, Experten sehen die Hersteller in der Pflicht.

Audiobeitrag
Arzt und Patient in Agaplesion Klinik Gießen

Audio

Loca-tag 'teaser_more_audio_sr' not found Sicherheitsrisiko Kliniksoftware

Ende des Audiobeitrags

Ohne IT geht in einer modernen Klinik nichts - auch nicht am evangelischen Agaplesion Krankenhaus Mittelhessen in Gießen. Ob Verwaltung der Patientendaten, Abrechnungen, das Mail-Programm oder der Einsatz von medizinischen Geräten wie Röntgenapparaten.  Überall ist Software im Spiel. Aber: Fehlerhafte Software ist nach Angaben des Klinikbetreibers zunehmend ein Sicherheitsrisiko. Angreifer könnten den Klinikbetrieb stören, Patientendaten stehlen oder - im schlimmsten Fall - medizinische Geräte manipulieren.

Für die Sicherheit muss die Klinik zusätzlich zahlen

Um sich zu schützen, hat der Klinik-Konzern Agaplesion schon vor längerem entschieden, zugekaufte Software-Programme vor dem Einsatz an Mensch und Maschine noch einmal einem Extra-Sicherheitstest zu unterziehen - also auf eigene Kosten ein neues Produkt auf mitgelieferte Fehler zu checken. Das wäre in etwa so, wie wenn der Käufer eines Neuwagens regelhaft mit Fehlern rechnen würde und daher mit dem Auto erst mal in eine Werkstatt führe, um eine teure Inspektion durchzuführen.

Das Ergebnis bei Agaplesion: Fast bei jedem Test fallen Schwachstellen auf. In einem Fall wäre es Angreifern theoretisch sogar möglich gewesen, an die Daten von Patienten zu gelangen. Nachdem die Klinik die Schwachstelle gefunden und dem Anbieter der Software gemeldet hatte, wurde der Schaden zwar behoben. Die Kosten für die Tests, die sich private Dienstleister gut bezahlen lassen, bleibt aber immer am Klinik-Konzern hängen. "Da gehen wir absolut in Vorleistung. Wichtig ist, dass die Systeme, die wir einsetzen, an den entscheidenden Stellen wirklich sicher sind", sagt Klinikchef Sebastian Polag.

Weitere Informationen

Agaplesion in Hessen

Agaplesion ist einer der großen Klinik-Betreiber in Deutschland. In Hessen betreibt Agaplesion fünf Krankenhäuser - zwei in Frankfurt, eine in Gießen, eine in Kassel und eine in Darmstadt. Der Konzern beschäftigt nach eigenen Angaben rund 4.200 Mitarbeiter, an den fünf hessischen Klinikstandorten wurden im vergangenen Jahr rund 183.000 Patienten behandelt.

Ende der weiteren Informationen

Simulierter Hackerangriff zeigte Sicherheitslücken

Wie viel die Tests kosten, dazu will sich der Konzern nicht äußern. Die Agaplesion-Gruppe zählt in Deutschland zu den großen Klinikbetreibern und operiert im Gegensatz zu kleineren Betreibern, die auch Software kaufen müssen, mit einem größeren Budget. Digitalisierung spielt in allen Krankenhäusern eine wichtige Rolle. Erst in den vergangenen zwei Jahren hat Agaplesion die "mobile digitale Patientenakte" eingeführt.

Aufmerksam geworden auf das Thema "Sicherheitsrisiko Software" ist der Gießener Klinikchef Polag im Frühjahr 2018. Damals hatte sich das Agaplesion Krankenhaus Mittelhessen von Hackern angreifen lassen - der Angriff war simuliert, die Klinik wollte wissen, wie gut sie gegen Cyberattacken geschützt ist und wo die Einfallstore für Cyberangreifer sind. Das Ergebnis: Nicht zuletzt zugekaufte Software-Komponenten erwiesen sich als Sicherheits-Risiko. "Damit haben wir nicht gerechnet, dass wir durch zugekaufe Software zusätzliche oder neue Risiken ins Haus holen", sagt der Klinikbetreiber.

BSI: Hersteller müssen verantwortung übernehmen

Bei Experten und der Politik stößt die Eigen-Initiative des Klinik-Konzerns auf unterschiedliche Reaktionen. Lob gibt es auf hr-Anfrage vom für Cybersicherheit zuständigen Bundesinnenministerium. "Die beschriebene Herangehensweise des Krankenhauses, die eigene Infrastruktur zu testen, wird vom BMI begrüßt." Andere finden es dagegen fragwürdig, dass ein Kunde eingekaufte Software nochmal auf eigene Kosten prüfen muss, um Risiken zu vermeiden. Constanze Kurz, Autorin und Sprecherin des "Chaos Computer Clubs" hält das schlicht für ein "Unding".

Und das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt in einer Stellungnahme, durch die Tests des Konzerns fände "eine Verlagerung der Verantwortung und der Kosten vom Hersteller auf den Kunden statt". Grundsätzlich ist das BSI der Ansicht, dass die Qualität in Softwareprodukten deutlich erhöht werden muss und Hersteller ein größeres Maß an Verantwortung für ihre Produkte übernehmen müssen. Die Behörde beobachtet "eine Professionalisierung der Cyberangriffe, die sich immer mehr auf das konkrete Opfer oder eine Opfergruppe einstellen".

"Unabhängige Gremien" oder doch eine Gesetzesänderung?

Der IT-Verantwortliche an der Gießener Klinik, Hartmut Reimer, schlägt deshalb "unabhängige Gremien" vor, die Software-Komponenten prüfen lassen - gerade in so sensiblen Einsatzbereichen wie einer Klinik. Denkbar wäre auch eine gesetzliche Regelung, die im Rahmen des geplanten neuen IT-Sicherheitsgesetzes 2.0 Software-Anbieter stärker in die Pflicht nehmen könnte, wenn der Gesetzgeber das will. Das Gesetz soll im Sommer verabschiedet werden.