Schwester schiebt einen Patienten durch den Gang eines Krankenhauses
Bild © picture-alliance/dpa

Rund jede vierte Klinik in Hessen war in den vergangenen 18 Monaten von einer Cyberattacke betroffen. IT-Sicherheit müsse Priorität haben, fordern deshalb Verantwortliche und Experten. Das Problem ist, dass sie kostet - und das stellt die ohnehin klammen Kliniken häufig vor Dilemmata.

Andreas Schwab kann sich noch gut erinnern an den 16. Februar 2016: als Dateien und Dokumente plötzlich nicht mehr lesbar waren. Als auf den Bildschirmen nur noch kryptische Codes zu sehen waren anstelle von Patientendaten und medizinischen Befunden. Schwab ist Geschäftsführer am Gesundheitszentrum Odenwaldkreis. Und noch heute nennt er die Vorgänge im Februar 2016 "gravierend". Das IT-Netz der Klinik musste heruntergefahren werden - für 18 Stunden. Eine moderne Klinik, zurückgeworfen ins Papierzeitalter: "Wir haben das System abgeschaltet und das bewährte Papiersystem verwendet: Wir haben also die Anforderungen auf Zetteln notiert", sagt Schwab. Das habe man dann alles nachtragen müssen in die elektronische Akte, nachdem das System wieder funktioniert hat.

Weitere Informationen

Podcast Cybercrime: 2. Staffel

Experten warnen schon seit längerem:  "Hacker-Angriffe" würden gerade für Krankenhäuser eine besondere Bedrohung darstellen. Die hr-iNFO-Redakteure Henning Steiner und Oliver Günther haben deshalb in den vergangenen Monaten zu diesem Thema recherchiert. Was sie dabei erfahren haben, erzählen sie in der zweiten Staffel der hr-iNFO Podcast-Serie "Cybercrime" ab 10. September.

Ende der weiteren Informationen

Dabei hatte die Klinik noch Glück. Alle Daten waren in einem Backup gesichert. Auch die Behandlung der Patienten war nicht gefährdet. Es mussten weder Operationen noch Behandlungen verschoben werden. Verantwortlich für den kompletten IT-Ausfall war eine sogenannte "Malware": eine Schadsoftware. Ein Hacker hatte diese Schadsoftware in die Klinik-IT eingeschleust. Und zwar mithilfe einer scheinbar harmlosen E-mail. Einmal aktiviert, begann die Schadsoftware Dateien und Dokumente zu verschlüsseln, unbrauchbar zu machen. Dazu die Nachricht: Wiederherstellung der Daten nur gegen Geldzahlung.

Nur vereinzelt Beeinträchtigungen des Betriebs

Ein typischer Fall. Seit Anfang 2016 hat es an hessischen Kliniken zwölf Cybervorfälle gegeben. Rund jedes vierte Krankenhaus war betroffen. Und fast immer geht es um Verschlüsselung, digitale Erpressung. Das ist zumindest das Ergebnis einer Umfrage des Hessischen Sozialministeriums unter hessischen Krankenhäusern. Ob damit alle Vorfälle erfasst sind, ist allerdings fraglich. Zwar haben sich immerhin 80 Prozent der hessischen Kliniken an der Umfrage beteiligt. Aber: Einige Kliniken haben keine Angaben gemacht. Dazu kommt, dass sich die Rückmeldungen nur auf Vorfälle beziehen, die die betroffenen Kliniken selbst bemerkt haben. Das ist bei vielen Hackerattacken aber gar nicht der Fall. Die gute Nachricht aus Sicht des hessischen Sozialministeriums: Bei den jetzt gemeldeten Fällen sei es nur "vereinzelt" zu "vorübergehenden Beeinträchtigungen des Krankenhausbetriebs" gekommen. Und: "Es ist kein Fall bekannt, bei dem Patienten oder Gesundheitsdaten erbeutet wurden."

Für die gesundheitspolitische Sprecherin der SPD im Landtag, Daniela Sommer, sind die Fälle trotzdem eine Warnung: Die Abgeordnete hatte mit einer Kleinen Anfrage zum Thema IT-Sicherheit in Krankenhäusern [PDF - 2mb] die Umfrage mit angestoßen. Das Ergebnis überrascht sie: "Das war mir so noch nicht bekannt, aber das zeigt, dass Cyberangriffe und Hackerattacken mittlerweile zum Alltag von Krankenhäusern gehören und dass IT-Sicherheit zur Priorität werden muss."

Dilemma: IT-Sicherheit oder ein neues Röntgengerät?

IT-Sicherheit als Priorität – viele Experten und sogar Klinikverantwortliche sehen das genauso. Das Problem: IT-Sicherheit kostet und die Krankenhäuser klagen schon jetzt über zu wenig Geld. Investitionen in IT-Sicherheit hätten es da schwer, beschreibt der Geschäftsführer des evangelischen Krankenhauses Mittelhessen in Gießen, Sebastian Polag, ein typisches Dilemma: "Wenn es darum geht, dass die Chefärzte zusammen mit den Abteilungsleitern in einer Sitzung zusammensitzen und entscheiden: Kauf ich lieber das neue Röntgengerät oder eine Bandsicherungsmaschine, die mir die Daten wiederherstellt, dann gibt es schon 'ne heiße Diskussion, was ist denn jetzt wichtiger fürs nächste Jahr?".

Die hessische Landesregierung verweist auf verschiedene, schon bestehende Geldtöpfe im Gesundheitswesen - die Stichworte lauten Liquiditätsreserven und Strukturfonds - und kündigt an, man wolle IT-Sicherheit an Klinken fördern. Die SPD-Gesundheitsexpertin Daniela Sommer will mehr: Das Land selbst müsse den Kliniken zusätzlich Geld geben. Geld, das die Kliniken allerdings dann nur für IT-Sicherheit ausgeben dürften. 

Sendung: hr-iNFO, 4.7.2018, 9:20 Uhr

Jetzt im Programm