Nach Hacker-Angriff: Warum NRW-Kliniken IT-Sicherheit fehlt

Im September gab es einen Hackerangriff auf das Universitätsklinikum Düsseldorf. Die Erpresser wussten offenbar nicht, wem sie schadeten. © dpa | Roland Weihrauch

Essen. Nach dem Angriff auf das Uniklinikum Düsseldorf beklagen Fachleute: Die IT-Sicherheit in Kliniken ist seit Jahren unterfinanziert.

In zehn Minuten zum Hacker: Innerhalb von nur zehn Minuten könne er auch einem technischen Laien beibringen, sagt Manuel Atug, wie Cyberkriminelle sich in ein auch im Uniklinikum Düsseldorf eingesetztes Computersystem durch eine Schwachstelle einschleusen können. Könnte, natürlich tut der Sicherheitsexperte es wegen seiner Hackerethik nicht, aber seine Botschaft ist klar: „Hier stand das sprichwörtliche Scheunentor offen.“

Atug ist aktives Mitglied im Chaos Computer Club, einer der in Deutschland maßgebenden Zusammenschlüsse von Experten in Fragen der Computersicherheit. Er ist beruflich Berater von Kliniken, die zur sogenannten kritischen Infrastruktur gehören und er hat verschiedene Sicherheitsstandards, nach denen sich diese kritische Infrastrukturen zu richten haben, mitentwickelt. Und Atug befürchtete, dass auf Düsseldorf weitere Cyber-Angriffe folgen werden.

System mit Sicherheitslücke auch in Leitstellen genutzt

Denn das System, das die Sicherheitslücke aufgewiesen hat, komme auch in anderen Kliniken, Unternehmen, in Leitstellen der Feuerwehren oder Stadtwerken weltweit zum Einsatz, sagt Atug. Es handelt sich dabei um eine Anwendung, über die typischerweise Mitarbeiter von außen Zugriff auf das Firmennetz bekommen sollen.

Bereits ab Januar hat das Bundesamt für Sicherheit in der Informationstechnik – kurz BSI – gewarnt, dass sich Kriminelle durch eine Lücke im System ebenfalls Zugriff verschaffen könnten. Nicht alle betroffenen Stellen hätten sofort Gegenmaßnahmen ergriffen, beschreibt Atug das Problem. Es habe zudem Wochen gedauert, bis alle informiert gewesen seien - auch weil der Hersteller sich viel Zeit gelassen habe, bis er eine Lösung bereitgestellt habe, wie die Lücke zu schließen ist.

Das Tückische: Selbst wenn Betroffene damit nachgearbeitet haben - ist der Hack einmal gemacht, könne er auch Monate später wie im Fall Düsseldorfs aktiviert und dem System schadhaft werden, sagt Atug. „Dahinter steckt ein Geschäftsmodell von organisierten Banden. Die eine hackt sich in angreifbare Systeme ein und verkauft den Zugriff an andere, die die Daten verschlüsseln und ein Unternehmen erpressen“, beschreibt Atug. „Solche Angriffe werden wir jetzt alle Nase lang erleben.“ Ende September sei eine US-Kette mit 400 Kliniken betroffen gewesen.

Bericht: In kleineren Kliniken fehlt oft eine IT-Sicherheitskultur

Auch wenn längst nicht nur Krankenhäuser von dieser Schwachstelle betroffen sind: In Sachen IT-Sicherheit sehen Experten hier immer noch Nachholbedarf. Das gilt offenbar besonders für die rund 1800 Kliniken im Land, die weniger als 30.000 stationäre Fälle im Jahr behandeln und damit nicht zur sogenannten kritischen Infrastruktur gehören. In einer nur zum Teil veröffentlichten Studie beklagt das BSI, dass es in diesen Häusern bislang vielfach an einer IT-spezifischen Sicherheitskultur fehle. Häufig fehlten finanzielle Mittel, um die notwendigen Grundlagen zu schaffen. Das betreffe gleichermaßen Investitionen in Programme und Bauteile, Schulungen wie auch den personellen Aufwand, um Systeme zu prüfen und Regeln weiterzuentwickeln, heißt es in der Studie.

Zwar seien alle klassischen Abwehrmechanismen in den „IT-Maschinenräumen der Kliniken“ zu finden. Die Studie führt aber eine Reihe von Knackpunkten auf. In Kliniken muss schnell auf Daten zu gegriffen werden – Zeitverlust durch Sicherheitsanmeldungen seien oft nicht hinnehmbar. Personal wechselt häufig, was die Sensibilisierung für IT-Sicherheit erschwere. Eine Herausforderung sei auch die Vielzahl von Geräten, die im Einsatz sind: Bis zu 30.000 Endgeräte seien keine Seltenheit.

Experte: Digitalisierung ist seit Jahren unterfinanziert

Experten betonen, dass nicht pauschal die kleinen besser oder schlechter aufgestellt seien als große Kliniken. Thomas Möller vom Bundesverband Gesundheits-IT sieht aber zwei entscheidende Stellschrauben für einen grundsätzlichen Anschub: Finanzierung und Personal. „Digitalisierung und IT-Sicherheit sind seit Jahren unterfinanziert in den Krankenhäusern“, sagt er. Solche Investitionen müssten Krankenhäuser eigentlich aus öffentlichen Mittel bestreiten können, die aus Sicht der Träger lange Jahre aber nicht einmal für bauliche oder medizintechnische Verbesserungen ausgereicht haben. In Sachen Digitalisierung hinken viele hinterher. Nur etwa die Hälfte der Kliniken in NRW hat Ende 2019 Patientendaten elektronisch verarbeitet – alle anderen haben weiterhin mit Papier gearbeitet.

Möller beschreibt, dass Kliniken im Alltag allzu oft abwägen müssten zwischen Investitionen in die Computersicherheit oder in andere Bereiche. „„Diese Zwickmühle muss behoben werden. IT-Sicherheit ist eine gesamtgesellschaftliche Aufgabe und gerade im Gesundheitssektor, in dem mit sehr sensiblen Daten gearbeitet wird, entscheidend.“

Krankenhausgesellschaft: 375 Millionen Euro für Sicherheit nötig - für den Anfang

Selbst Krankenhäuser, die zur sogenannten kritischen Infrastruktur gehören und deshalb per Gesetz besonders hohe Sicherheitsstandards erfüllen müssen, haben dafür zunächst keine zusätzlichen Mittel erhalten. In Deutschland zählen rund 150 Kliniken, in NRW etwa 30 zu dieser Gruppe. Die Krankenhausgesellschaft bezifferte ihren Finanzbedarf zur Umsetzung der Vorgaben jüngst auf etwa 532 Millionen Euro im ersten und 231 Millionen Euro in den folgenden Jahren. Der Bund will auch für die kleineren Krankenhäuser gesetzlich nachjustieren – sollten sie auf den gleichen IT-Stand wie die großen gebracht werden, wären im ersten Jahr Kosten in Höhe von 375 Millionen Euro zu stemmen.

Bund und Länder stellen mit dem Krankenhauszukunftsgesetz ab 2021 zwar 4,3 Milliarden Euro bereit, von denen mindestens 15 Prozent in IT-Sicherheit fließen müssen. Doch das sei nur eine einmalige Hilfe, sagt Möller, die das grundsätzliche Finanzierungsproblem nicht löse. „Es fehlen dauerhaft Mittel, auch um im Wettbewerb um das nötige Fachpersonal mithalten zu können“, sagt Möller. „„Die Kliniken kämpfen wie auch unsere Mitglieder darum, Personal zu finden. Das Lohnniveau in den Kliniken ist vergleichsweise niedrig und das hat natürlich konkrete Auswirkungen auf die Rekrutierung neuer Mitarbeiter.“ Dabei seien Fachleute besonders wichtig, so Möller, sie seien auch Multiplikatoren in den Krankenhäusern, etwa wenn es darum geht, über die sichere Verwendung von IT aufzuklären.

Manuel Atug von Chaos Computer Club stimmt zu. Er befürchtet, dass auch die Gelder aus dem Krankenhauszukunftsfonds nicht zwangsläufig eine Verbesserung bringen würden. „Wir erleben, dass in mehr Blech und Software investiert wird. Was die Kliniken brauchen sind ausreichend Fachleute, die ausgebildet und geschult werden, mit all dem umzugehen und die im Fall der Fälle schnell und sicher reagieren können.“