News

Krankenhäuser werden immer häufiger Ziel von Hacker-Angriffen

Die Digitalisierung hält auch im Gesundheitswesen Einzug. (Foto: dpa) 

Warum Krankenhäuser inzwischen ein beliebtes Ziel für Hacker-Attacken und Datendiebstahl sind und wie sich Kliniken dank rechtlicher Vorschriften schützen.

In der IT-Security-Szene gibt es seit einigen Jahren ein Schreckgespenst – nicht mehr die üblichen ungerichteten Attacken werden in Zukunft das größte Problem sein, sondern gezielte Angriffe auf wichtige IT-Infrastrukturen – in Kraftwerken, produzierender Industrie oder auch Krankenhäusern. Schlagzeilen machte beispielsweise ein Fall im Klinikum Fürstenfeldbruck, wo ein Angestellter eine Mail mit einem Trojaner öffnete und dafür sorgte, dass die Krankenhaus-IT über Tage nur eingeschränkt nutzbar war. Als gezielt kann man auch einen Ransomware-Angriff auf ein Krankenhaus in Neuss sehen, der vor drei Jahren für reichlich Wirbel sorgte und alle Beteiligten viel Geld kostete – ein klassischer Erpressungsfall. Laut einer Studie von Roland Berger wurden bereits zwei von drei Kliniken einmal Opfer eines Hacker-Angriffs oder eines (teilweise versuchten) Datendiebstahls. Da die Studie bereits 2017 veröffentlicht wurde, dürfte der Anteil seitdem eher noch gewachsen sein.

Kritis als Rahmenvorgabe für Krankenhäuser

Klar ist: Gerade in Krankenhäusern sind Daten unterschiedlicher Schutzklassen eng beieinander. So sind patientenrelevante Daten besonders schützenswert und unterliegen stets der höchsten Schutzklasse, während die sonstigen IT-Funktionen zumeist der mittleren Risikoklasse zuzuordnen sind. Die Campusdaten von Universitätskliniken (die ja naturgemäß alle Kritis-relevante Häuser sind), unterliegen hingegen geringerem Schutzbedarf. Umgekehrt dürfen die Daten aber nicht so abgeriegelt sein, dass beispielsweise über ein Mobilgerät des Pflegepersonals keine Daten eingepflegt werden können – denn gerade dies ist in vielen Fällen ein Problem: Notizen über gemessene Werte werden in der Praxis zentral in einen Büro-PC eingetragen – oft mit einem Sammel-Login.

Der Gesetzgeber hat mit dem Kritis-Programm immerhin einige Vorkehrungen und Regelungen getroffen, die im Klinik- und Laborbereich zumindest die größeren Einrichtungen (ab 30.000 Fälle pro Jahr) betreffen. Kritis ist eine gemeinsame Initiative des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe und des Bundesamtes für Sicherheit in der Informationstechnik. Ziel ist der zuverlässige und nachhaltige Schutz kritischer Infrastrukturen, von Einrichtungen, deren Ausfall im Katastrophenfall erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen für die Gesellschaft nach sich ziehen würden. Dabei soll einmal eine Störung des Betriebs verhindert werden, andererseits aber auch der Diebstahl von Patientendaten.

Schaden durch geleakte Patientenakten wäre immens

Krankenhäuser definieren dafür (zumindest bei zeitgemäßer IT, die wir größeren Häusern unterstellen können) unterschiedliche, jeweils passende Schutzklassen auf Netzwerkebene: Daten sollen auf der einen Seite möglichst einfach zugreifbar bleiben, damit etwa der operierende Arzt, der gerade keinen Bereitschaftsdienst hat, auch von außen auf bestimmte Informationen zugreifen kann, sie sollen andererseits aber auch so sicher sein, dass ein Datenverlust ausgeschlossen werden kann.

Klar bleibt aber: Gerade im Gesundheitsbereich würde das Bekanntwerden von Patientenakten oder auch nur Patientendaten für einen deutlich stärkeren Vertrauensverlust sorgen, als das Bekanntwerden diverser E-Mails und Chatverläufe von Politikern und Influencern oder mehr oder weniger prominenten Fernsehgesichtern. Insbesondere im Verlauf der Diskussion um die digitale Krankenkarte hat sich gezeigt, dass hier rationale Argumente nicht wirklich für Beruhigung sorgen können, sondern dass ein Restrisiko, das zweifellos vorhanden ist, von Patienten unterschiedlich bewertet wird.

Das könnte dich auch interessieren:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.