Düsseldorf/Münster. Fast täglich gibt es Cyberangriffe auf Krankenhäuser in NRW. Eine Studie zeigt auf, welche Rolle Menschen beim Angriff auf Medizingeräte spielen.

Der Herzmonitor beginnt zu piepen, ein zweites Gerät spielt verrückt. Stimmt etwas mit dem Patienten nicht? Oder hat sich möglicherweise ein Hacker in das Krankenhaus-System eingeschmuggelt? Die Antwort in einer solchen Stresssituation fällt den Pflegenden nicht leicht, wie eine neue Studie der Hochschule Münster und der Ruhr-Universität Bochum zeigt. Sie hat untersucht, welche entscheidende Rolle der Faktor Mensch bei einem Cyberangriff spielt.

Operationen mussten verschoben, Patienten in andere Krankenhäuser verlegt werden: Hacker-Angriffe auf Krankenhäuser wie auf die Uniklinik Düsseldorf im September 2020 oder das Evangelische Krankenhaus in Lippstadt im März 2021 haben immense Folgen für Personal und Kranke, im schlimmsten Fall geht es um Leben und Tod. Doch mit der zunehmenden Digitalisierung steigt auch die Zahl der Hacker-Angriffe. Beinahe täglich verzeichnen die Kliniken an Rhein und Ruhr – meist erfolglose - Angriffe auf ihre medizinischen Systeme.

Cyber-Angreifer setzten bei ihren Attacken darauf, dass Menschen Fehleinschätzungen treffen – zum Beispiel durch das Öffnen eines verseuchten E-Mail-Anhangs. In dieses Szenario versetzten ein Informatiker und ein Doktorand in ihrem Feldversuch das Krankenhauspersonal.

Aufwendiger Versuch mit Schauspielern

Dafür inszenierten sie einen aufwendigen Versuch im Trainingszentrum der Uniklinik Münster. Während die Patienten bei diesem Experiment eingeweihte Schauspielerinnen und Schauspieler gewesen sind, wussten die Pflegekräfte lediglich, dass das Thema Alarmmüdigkeit untersucht werden würde. Und die Alarmglocken schellten: Denn Markus Willing, damals Doktorand am Universitätsklinikum Münster, und IT-Experte Christian Dresen vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum haben die medizinischen Geräte wie Herzmonitore manipuliert.

Das Ergebnis: Die meisten der 20 Probandinnen und Probanden haben nicht an einen Cyberangriff gedacht. Nicht alle, aber immerhin einige Pflegende hätten die Fähigkeit entwickelt, „mental zu nullen“, erläutert Markus Willing im Gespräch mit der NRZ. Bedeutet: Sie haben sich von den medizinischen Geräten und Monitoren unabhängig gemacht, zum Stethoskop und dem manuellen Blutdruckmessgerät gegriffen und die Werte auf Plausibilität hin beurteilt.

Nach dem Versuch plädierte Willing dafür, das Krankenhauspersonal für den Fall eines Cyberangriffes zu trainieren. Und auch sein Kollege Dresen betont in einer Mitteilung: „Man erkennt, dass das Bewusstsein für Cyberangriffe im Krankenhaus nicht sehr ausgeprägt ist. Das könnte daher ein wichtiges Thema für die zukünftige medizinische Ausbildung sein.“

Krankenhausgesellschaft: Workshops mit dem Landeskriminalamt

Die Krankenhausgesellschaft Nordrhein-Westfalen (KGNW) erklärt auf NRZ-Anfrage, dass die hiesigen Krankenhäuser in den vergangenen Jahren „ihre Sicherheitsmaßnahmen in puncto Cybersicherheit gezielt überprüft“ hätten. „Seitdem kam es zu wenigen solcher Sicherheitsvorfälle. Die Krankenhäuser in Nordrhein-Westfalen sind sehr sensibilisiert und arbeiten auf Landesebene über die KGNW eng mit den zuständigen Behörden zusammen“, erklärt ein Sprecher. So habe es Workshops mit dem Landeskriminalamt gegeben und die Kliniken würden über aktuelle Entwicklungen informiert.

Eine gezielte Attacke auf eine bestimmte Branche sieht die Krankenhausgesellschaft dem Sprecher zufolge nicht. Zwar bestätigt er, dass sich Krankenhäuser – wie andere Unternehmen auch – täglichen Angriffen ausgesetzt sehen. Doch diese Attacken ereigneten sich eher zufällig, lautet die bisherige Einschätzung der KGNW. „Nichtsdestotrotz hatten die Angriffe in einigen Fällen massive Auswirkungen auf den Regelbetrieb der Krankenhäuser.“

An der Uniklinik Düsseldorf fiel im September 2020 nach einem Hackerangriff 13 Tage lang die Notfallversorgung aus. Welche Konsequenzen für die Sicherheit die Düsseldorfer Uniklinik aus dem Angriff gezogen hat, teilt uns das Krankenhaus nicht mit. Die Sicherheitsstrategie umfasse „außerhalb des Austauschs mit dem BSI keine Informationen zu unserer IT zu veröffentlichten“, erklärt ein Kliniksprecher. Überhaupt sind Krankenhäuser sehr zurückhaltend bei dieser Frage. Es ist eben ein sensibles Thema.

Angriff auf die Uniklinik Düsseldorf: Ermittlungen dauern an

Derweil laufen die Ermittlungen im Fall des Düsseldorfer Angriffs weiter und richten sich gegen Unbekannt, wie die Staatsanwaltschaft Köln der Redaktion mitteilt. „Es wurden eine Vielzahl von internationalen Rechtshilfeersuchen in unterschiedliche Länder inner- und außerhalb Europas versandt“, erklärt ein Sprecher der Staatsanwaltschaft. Zu den konkreten Ländern und der Anzahl sagte er aus ermittlungstaktischen Gründen nichts. Die Ermittlungen werden seiner Einschätzung nach noch einige Monate in Anspruch nehmen. Weitere Fälle von Cyberangriffen auf Kliniken in NRW führe die zuständige Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC) derzeit nicht.