Lücken im System

Viele Krankenhäuser sind gegen Cyber-Attacken nicht gut gerüstet. Unzureichende Vernetzung, zu wenig IT-Fachkräfte, kein 24/7-Monitoring – das alles kann bitter enden. Obendrein wird KI zur neuen Herausforderung für Klinikmanager. Prof. Dr. Volker Penter und Franziska Hain zeigen die Gefahren, ihre Ursachen und mögliche Lösungsvorschläge auf.

Im ZDF lief neulich der Thriller „Whistleblower“. Unbekannte Hackerinnen oder Hacker sind in die Steuerungen des fiktiven Zentralklinikums Berlin eingedrungen. Nach einem Systemausfall verstirbt ein Patient. Eine russische Whistleblowerin behauptet, sie habe den rettenden Code und könne weitere Attacken vereiteln. Vorausgesetzt, sie bekomme einen Millionenbetrag, Asyl in Deutschland und die Aufnahme in ein Zeugenschutzprogramm.

Das Drehbuch basiert nicht auf einem wahren Fall, und man muss dafür auch nicht zwingend dunkle Mächte in Russland, China oder Nordkorea bemühen. Aber weit hergeholt sind Cyber-Attacken auf Krankenhäuser ganz gewiss nicht. Es gibt ständig Angriffe von Cyber-Kriminellen, die häufig nicht öffentlich bekannt werden. Besonders dramatisch war im September 2020 ein Hackerangriff auf die Uniklinik Düsseldorf. Rund 30 Server wurden über Nacht verschlüsselt, das Klinikpersonal hatte keinen Zugriff mehr auf Patientendaten, die Kommunikation war komplett stillgelegt und die Technik in den OPs fiel größtenteils aus. Die Folge: Notfallpatientinnen und -patienten konnten nicht mehr aufgenommen und versorgt werden, es herrschte Stillstand. Keine Notarzt- und Krankenwagen kamen mehr an, keine Hubschrauber.

BSI spricht von einer großen Gefahr

Das Bundeskriminalamt, das Hackeraktivitäten im Darknet überwacht, stellt eine deutliche Zunahme der weltweiten Angriffe auf medizinische Einrichtungen fest. Und die Präsidentin des Bundesamts für Sicherheit in der Informationstechnologie (BSI), Claudia Plattner, nennt Cyber-Angriffe auf die knapp 1.900 deutschen Krankenhäuser „eine große Gefahr“. Das gilt für das ganze Gesundheitswesen und lässt sich an zahlreichen Überschriften der vergangenen zwei Jahre ablesen: „Medizinischer Dienst in Niedersachsen von Hackerangriff betroffen“ ... „Caritas rechnet nach Hacker- angriff mit längeren Einschränkungen“ ... „Cyber-Attacke gegen Internationales Rotes Kreuz“ ... „Hackerangriff auf CompuGroup Medical“ …

Es gibt große Unterschiede, wie gut Krankenhäuser gegen Cyber-Attacken gerüstet sind. Leider müssen wir jedoch feststellen, dass das Informationssicherheitsniveau in vielen Kliniken nicht entlang der Bedrohungslage aufgestellt ist. Provokant gesagt: Die Branche hat jeden Tag damit zu tun, Leben zu schützen und zu retten; Daten konsequent und permanent zu schützen, ist in diesem Bewusstsein nachgeordnet und hat häufig nicht den Stellenwert, der ihm gebührt. Maßgabe sollte sein: So wie ein steriles Skalpell im OP müssen auch IT-Sicherheitssysteme „steril“ und ihre Sicherheit gegen Kompromittierung eine Selbstverständlichkeit sein.

Denn Hackerinnen und Hacker sehen es auf wertvolle personenbezogene Patientendaten ab. Zum einen, weil Kliniken eine große Bedeutung für die gesundheitliche Versorgung der Gesellschaft haben und Cyber-Kriminelle davon ausgehen, dass das Management bei Erpressung lieber bezahlt, als seine Patientinnen und Patienten zu gefährden und obendrein einen öffentlichen Vertrauensschaden zu riskieren. Zum anderen, weil sich private Gesundheitsdaten nach einer Erpressung auch noch an Dritte weiterverkaufen lassen. In renommierten Kliniken kommt ein weiterer, spezieller Grund dazu: Dort, wo Prominente aus aller Welt behandelt werden, ist das Erpressungspotenzial noch größer.

Zahlreiche Einfallstore für Hackerinnen und Hacker

Einfallstore gibt es für Hackerinnen und Hacker in Krankenhäusern ganz viele. Die Kritische Digitale Infrastruktur (KDI) umfasst alle digitalen Systeme und Netzwerke, die für den Betrieb und die Sicherheit der Kliniken wichtig sind. Dazu zählen elektronische Gesundheitsakten, medizinische Geräte, Laborinformationssysteme, Krankenhausinformationssysteme und mehr (siehe Kasten „Kritische Digitale Infrastruktur“ auf S. 42). Der Ausfall oder die Beeinträchtigung dieser Systeme kann verheerende Auswirkungen auf die Patientenversorgung und die allgemeine Funktionsfähigkeit eines Krankenhauses haben.

So vielseitig die Angriffspunkte sind, so vielfältig sind auch die Risiken und Gefahren.

Datendiebstahl und -manipulation: Cyber-Kriminelle können versuchen, auf Patientendaten zuzugreifen, um sie zu stehlen oder zu manipulieren.
Ransomware-Angriffe: Cyber-Kriminelle können – verbunden mit Forderungen nach Lösegeld (ransom) – anhand von Schadprogrammen Krankenhausdaten verschlüsseln und damit den Zugriff auf lebenswichtige Patientendaten blockieren. So drohen erhebliche Verzögerungen bei der Behandlung und potenziell lebensgefährliche Situationen für Patientinnen und Patienten.
Angriff auf medizinische Geräte: Manipulationen an medizinischen Geräten können zu falschen Diagnosen und in der Folge zu falschen Behandlungen führen.
Da viele Geräte untereinander vernetzt sind, um den Informationsaustausch zu erleichtern, kann ein Angriff auch zu einem Totalausfall führen.
Angriff auf Krankenhausinformationssysteme: Durch Eingriffe in die Organisationsabläufe kann der gesamte Betrieb erheblich gestört werden. Patientenversorgung, Terminplanung und andere wichtige Prozesse stehen auf dem Spiel.

Das Problem ist, dass die KDI aus vielen Einzelsystemen besteht, die oftmals nicht lückenlos vernetzt sind und intern auch nicht Tag und Nacht überwacht werden. Auf externe Lösungen, von der Security-Beratung über das -Testing und Notfallübungen bis hin zum 24-Stunden-Monitoring, wie es auch BDO Cyber Security anbietet, wird häufig verzichtet. Es besteht die feste Überzeugung, alles selbst im Griff zu haben und sich fremde Unterstützung ersparen zu können. Aber die Technologisierung des Gesundheitswesens erfordert eben auch eine kontinuierliche Verbesserung der Sicherheitssysteme, und die ist kostspielig.

Finanzielle Misere der Krankenhäuser

Das ist bei Krankenhäusern der wunde Punkt. Viele haben 2023 Fehlbeträge erwirtschaftet. Nach Corona sind die Fallzahlen zurückgegangen und damit Einnahmen weggefallen, die Kosten geblieben. 60 Prozent auf der Ausgabenseite eines Klinikbudgets sind Personalkosten, und diese steigen nun aufgrund von Inflationsausgleich und Personalwettbewerb deutlich. Die Bundesländer wiederum vernachlässigen ihre Pflicht zur Investitionsfinanzierung seit Jahren. So werden notwendige Investitionen in IT-Sicherungssysteme oftmals gestreckt oder für gewisse Zeit einfach ausgeblendet.

Es gibt zwar Fördermittel für die Digitalisierung in Krankenhäusern. Aber dabei geht es in erster Linie um eine Initialförderung für die Anschaffung von Hard- und Software. Angesichts des hohen Innovationsgrads sind jedoch schon nach relativ kurzer Zeit Updates und – gerade mit Blick auf die Systemsicherheit – Neuanschaffungen notwendig, für die es dann keine Fördermittel mehr gibt.

BDO Studie: IT-Fachkräftemangel

Verschlimmert wird die Misere durch den IT-Fachkräftemangel, wie eine neue Studie1 von BDO in Kooperation mit dem Deutschen Krankenhausinstitut offenlegt. Sie basiert auf einer repräsentativen Krankenhausbefragung und kommt zu dem Ergebnis, dass drei Viertel der Kliniken Probleme haben, offene Stellen für IT-Fachkräfte zu besetzen. Im Mittel können dort 14 Prozent der IT-Stellen nicht besetzt werden. Hauptgründe sind Mängel in der Vergütung, etwa die wenig flexiblen Tarifstrukturen im Krankenhaus und eine schlechtere Bezahlung als in anderen Branchen.

Das erklärt, weshalb Krankenhäuser vergleichsweise wenig IT-Mitarbeiterinnen und -Mitarbeiter beschäftigen. Rund ein Viertel müssen mit vier IT-Vollzeitkräften auskommen. Und die Krankenhausmanager sind mit Blick auf die Zukunft eher pessimistisch. Rund die Hälfte der Befragten erwartet, dass sich in ihren Häusern die Stellensituation im IT-Bereich verschlechtern werde. Nur rund ein Fünftel der Krankenhäuser geht von einer Besserung aus.

KI verlangt neue Konzepte

Die personellen Herausforderungen in der IT werden wachsen. Der Einsatz von KI wird die Digitalisierung beschleunigen und, wie in vielen Branchen, auch in der Medizin ganz neue Chancen bieten. Doch was passiert gegenwärtig? Die Euphorie in der Wirtschaft ist so groß, dass sie sich mit den Gefahren nicht genügend auseinandersetzt. Die Anwendung von KI schreitet rasant fort, während über Regelwerke jetzt erst nachgedacht wird. Diese Lücke ist gefährlich. Möglicher Schaden, der durch KI-Irrtümer und -Fehler in der Industrie und in anderen Branchen entsteht, kostet vielleicht viel Geld. Der Schaden im Gesundheits- und insbesondere im Krankenhauswesen kann Leben kosten.

Darum sollten die Spitzen der Gesundheitsbranche und speziell die Manager in den Krankenhäusern Konzepte entwickeln, wie KI in der Patientenversorgung geregelt zum Einsatz kommen kann. Und sie sollten jetzt an den Aufbau von Cyber-Security-Maßnahmen denken, bevor sie von der Technik überrollt werden.

Kritische Digitale Infrastruktur

Die Kritische Digitale Infrastruktur (KDI) in Krankenhäusern umfasst eine Reihe von Systemen und Technologien, die für den reibungslosen Betrieb und die verlässliche Patientenversorgung entscheidend sind. Dazu zählen die folgenden.

IT-Infrastruktur: Netzwerke, Server und Speicher- infrastruktur zum Datenaustausch und zur Kommunikation zwischen verschiedenen Systemen.
Elektronische Patientenakten (EPA): digitale Systeme zur Speicherung und Verwaltung von Patienteninformationen, die vertrauliche medizinische Daten enthalten und daher besonders geschützt werden müssen.
Krankenhausinformationssysteme: Systeme zur Verwaltung und Organisation von Krankenhausabläufen, von der Personal- und Terminplanung bis zur Abrechnung.
Laborinformationssysteme: Systeme, die Labor- daten erfassen, verwalten und analysieren, um medizinische Tests zu unterstützen.
Medizinische Geräte und Netzwerke: digitale Steuerungssysteme für Beatmungsgeräte, Infusionspumpen und Monitore sowie für die Vernetzung dieser Geräte im Internet der Dinge (IoT).
Bildgebende Diagnostik: digitale Röntgen-, CT- und MRT-Systeme, die eine entscheidende Rolle bei der Diagnose und Behandlung von Patientinnen und Patienten spielen.
Telemedizinische Geräte: digitale Plattformen, die die Fernüberwachung von Patientinnen und Patienten sowie Telekonsultation ermöglichen.