Die Angriffe auf die IT-Systeme der Universitäten Gießen, Düsseldorf und Duisburg haben gezeigt, welche Gefahren Einrichtungen der Gesundheitsversorgung und nicht zuletzt Krankenhäusern drohen. Tatsächlich sind es längst keine neuen Gefahren mehr, „Cyberkriminalität“ längst eine Art Alltagskriminalität geworden und Kliniken sind ein gleichermaßen lukratives wie einfaches Ziel. Marktbeobachter wie IT-Fachleute sind sich einig, dass die Zahl der Angriffe weiter zunehmen wird. Sie sagen auch, dass absolute Sicherheit zwar eine Illusion bleibt, aber die Gefahren und Folgen von Angriffen durch systemisches und systematisches Handeln erheblich verringert werden können. Dafür sei es notwendig, dass IT-Sicherheit von einem Nebenaspekt zu einer zentralen Aufgabe des Klinikmanagements wird. Martin Vietz gibt eine Einschätzung der Lage.

Alle Zahlen sprechen für eine dauerhafte Zunahme von Cyberattacken. Greifen die Kriminellen dabei bevorzugt Kliniken und Gesundheitssysteme an?

Nicht unbedingt. Die Angriffe gelten grundsätzlich allen Branchen und oft sind sie buchstäblich wahllos. Automatische Systeme suchen in allen möglichen IT-Netzen laufend nach „offenen Türen“. Kliniken, aber auch andere Einrichtungen des Gesundheitsmarktes, haben struktur- und prozessbedingt besonders viele Türen, und längst nicht alle so gut geschlossen wie möglich.

Kliniken sind also zufällige Opfer?

In vielen Fällen ja, wie das Beispiel Düsseldorf gezeigt hat. Da waren die Angreifer offenbar von den Konsequenzen ihres Handelns überrascht und haben die Aktion abgebrochen. Grundsätzlich kann man aber davon ausgehen, dass kriminellen Hackern die Folgen ihrer Angriffe egal sind. Sie wollen sich wie andere Kriminelle vorrangig bereichern, indem sie über die Freigabe Geld erpressen. Hierbei sind sie unterschiedlich skrupellos.

Es geht nicht in erster Linie um Datendiebstahl?

Es geht auch um Datendiebstahl. Cyberkriminelle sind keine homogene Gruppe mit einheitlicher Strategie. Da Gesundheitsdaten besonders sensibel sind, beispielsweise durch die leider noch immer starke Stigmatisierung vieler Krankheiten, ergibt sich mit den Daten ein besonders lukratives Erpressungspotential.

Marktbeobachter betonen seit Jahren, dass Gesundheitseinrichtungen bei Anzahl und Kosten von Cyberattacken an der Spitze liegen. Können Kliniken effektiv auf diese Gefahren reagieren?

Bei konsequentem Handeln ist ein sehr hohes Maß an Sicherheit möglich, aber absolute Sicherheit wird man nicht erreichen. Letztlich ist es ein Katz- und Maus-Spiel, wenn eine Tür geschlossen ist, versuchen sich die Angreifer an der nächsten. Wie einfach das ist, hat ein „freundlicher Hacker“ jüngst der Uniklinik Düsseldorf vorgeführt, als er sie auf eine einfach zu nutzende Schwachstelle hinwies. Eine Uniklinik hat tatsächlich sehr viele Türen.

Und die werden nicht sorgfältig gesichert?

Besonders durch veraltete Software stehen viele Türen offen. Es fehlt aber auch in vielen Organisationen weiterhin am Risikobewusstsein und einer rationalen Risikobewertung. Angriffe auf die IT werden noch nicht als alltägliche Bedrohung wahrgenommen, sondern als schicksalhaft empfunden. Beim Fall der Uni Gießen entstand durch die Kommunikation der Klink der Eindruck, als ob es sich um eine Art Naturkatastrophe handeln würde, dabei müssen nur die Ursachen angegangen werden.

Was können Krankenhäuser tun, um das Risiko jederzeit zu minimieren?

Zu einem effektiven IT-Risikomanagement gehören kulturelle und technische Aspekte. Generell bleibt der Mensch das schwächste Glied, mit der Mitarbeiterzahl wächst das Risiko an – und der Professor kann genauso nachlässig sein wie eine Aushilfskraft. Natürlich ist es ein Fehler, Emails ohne genaues Hinzusehen zu öffnen. Aber wenn sich in einem gut gefüllten Postfach eine gut getarnte phishing-Mail versteckt, wird irgendwann irgendjemand darauf klicken. Um solche Risiken zu minimieren, müsste das Risikobewusstsein aller Mitarbeiter durch Aufklärung und Schulung geschärft werden. Die Zugriffsrechte der Mitarbeiter sollten individuell so gering wie nötig konfiguriert sein. Passwörter müssen komplex und vor allem nicht mehrfach verwendet werden. Von einem regelmäßigen Passwort-Wechsel wird inzwischen abgeraten, da dies nur dazu führt, dass Personen schwache Passwörter benutzen.

Auf technischer Ebene gibt es eine Reihe von Ansatzpunkten. Das wichtigsten hierbei sind zeitnahe Updates, Softwareaktualisierungen gleich einspielen und nochmal Updates. Weil aber eine erfolgreiche Attacke immer möglich ist, ist ein gut gesichertes Back-up unbedingt notwendig. Hierbei ist es weniger wichtig, ob die Daten im eigenen Rechenzentrum oder bei einem Cloud-Provider liegen, sondern dass die Zugänge zum Backup besonders geschützt und die Daten verschlüsselt sind. Es hilft nicht, wenn ein Angreifer dies gleich mit übernehmen kann.

Sehr wichtig ist aus unserer Sicht auch Dezentralisierung, auch wenn der Trend in die andere Richtung läuft. Durch verteilte Systeme und Datenbanken, aufgeteilt in kleinere Netze, wird das Schadenspotenzial bei einem Angriff erheblich reduziert. Ergänzend gibt es das - auch in der DSGVO festgelegte - Konzept der Datensparsamkeit. Heute wird fast alles automatisch und ungeachtet des Nutzens gespeichert und bereitgestellt. Dass man Daten löschen kann, scheint offenbar vergessen.

Wie realistisch ist die Umsetzung solcher Maßnahmen?

In zu vielen Fällen ist IT-Sicherheit nur rudimentär und reaktiv organisiert. Wichtig ist zunächst ein Assessment der Risiken, also der gefährdeten Prozesse und Geräte. Außerdem muss IT-Sicherheit vom Management als zentrale Aufgabe anerkannt und entsprechend ausgestattet werden. Es wird nicht funktionieren, die ohnehin oft kleinen Klinik-IT-Abteilungen mit zusätzlichen Aufgaben zu betrauen. Die sind heute gut damit beschäftigt, die Systeme funktional am Laufen zu halten.

Es gibt bei IT-Sicherheit keine einfachen Lösungen, auch wenn Firmen das anbieten. IT-Sicherheit ist Teil des komplexen Prozesses zwischen Menschen und Maschinen, sie muss in diesem Prozess dauerhaft mitgedacht werden. Das fängt bei der Architektur der IT-Landschaft an, denn kleine Netze und dezentrale Systeme sorgen für eine sichere und stabilere gesamt IT. Das gilt bis zum Einspielen des Back-ups auf. Das kann im Worst Case sehr viel Zeit kosten, andererseits mit passender Automatisierung und regelmäßiger Übung in wenigen Stunden erledigt sein kann. Letztlich ist die Sicherstellung von IT-Sicherheit zwar ein unendlicher Prozess, aber zu einem guten Teil auch Handwerk, man muss es machen.

Dazu braucht es Handwerker. Können Krankenhäuser im Wettbewerb um IT-Fachleute mithalten?

Natürlich gibt es bei Fachkräften branchenübergreifend ein Mengenproblem. Trotzdem wollen nicht alle Informatiker zu Google, Meta und Co um schnell viel Geld zu verdienen. Vor allem den guten Leuten ist es häufig wichtig, auch eine sinnstiftende Aufgabe zu übernehmen und nicht bei einem Großkonzern ein unwichtiges Rädchen zu sein. Wichtig ist deshalb auch, die nötigen Mittel und Voraussetzungen zu schaffen, damit die Fachkräfte ihre Aufgaben erfüllen können. Wenn dazu attraktive Arbeitsbedingungen kommen, können auch Kliniken gute Leute gewinnen.

Allerdings sollten sie nicht darauf warten. Die Gefahr von Cyberattacken bleibt und wird eher größer. Ohne organisatorischen und finanziellen Aufwand kann man ihnen nicht begegnen.

Woran erkennt ein Krankenhaus einen guten Dienstleister in Sachen IT-Sicherheit?

Ich rate zu Vorsicht bei großen Versprechungen. Wer sein Geschäft versteht, bietet keinen einfachen Lösungen für komplexe Aufgaben an und verkauft nicht primär ein Produkt, dass IT gleichsam magisch sicher macht. Sie werden auch nicht mit Buzzwörtern um sich, sondern machen erstmal eine Anforderungsanalyse und gehen dann auf die konkreten Probleme und Anforderungen der Klinik ein. Nicht zuletzt stellen gute Dienstleister sicher, dass sie für die IT der Auftraggeber gut erreichbar sind.

Das Gespräch führte Jörg Meyer, Düsseldorf