Cybersicherheit in Krankenhäusern entscheidet über Leben und Tod
Krankenhäuser sind ebenso wie Arztpraxen auf eine funktionierende IT angewiesen. Denn mehrere Cyberattacken haben bereits gezeigt, wie brenzlig es bei mangelnder Sicherheit werden kann.
Der jüngste Fall ging glimpflich aus: Unbekannten Hackern war es gelungen, ins Netzwerk der DRK-Trägergesellschaft Süd-West einzudringen und Schadsoftware aufzuspielen. Alle Server und Datenbanken wurden verschlüsselt, der Betrieb musste auf analog umgestellt werden. Zu Schaden kam glücklicherweise niemand, doch der Cyberangriff aus dem Juli 2019 zeigt erneut die Verwundbarkeit von Krankenhäusern im digitalen Zeitalter.
Beispiele dieser Art gab es bereits in den Jahren zuvor, etwa WannaCry, ein Verschlüsselungstrojaner, der 2017 auch britische Kliniken lahmlegte. Im Frühjahr 2016 wurden 28 Kliniken in NRW angegriffen, die Computer standen in manchen still – bekannt wurde die Erpressung des Lukaskrankenhauses in Neuss. Im vergangenen Jahr musste das Klinikum Fürstenfeldbruck einige Tage lang mit Stift und Zettel wirtschaften.
Es dürfte nur eine Frage der Zeit sein, bis auch Menschen durch Cyberangriffe auf medizinische Einrichtungen zu Schaden kommen. Bisher waren die meisten betroffenen Kliniken und Arztpraxen „Beifang“, wurden also nicht gezielt angegriffen. Wenn die Hacker aber, bildlich gesprochen, statt zur Streubombe zum Skalpell greifen, kann es gefährlich werden. Sie könnten beispielsweise Patientendaten oder die Steuerung technischer Geräte manipulieren, ohne dass es – wie der Schaden bei einem Kryptotrojaner – sofort auffällt. Datenklau ist angesichts der Sensibilität der Informationen natürlich ebenfalls ein brandheißes Thema im medizinischen Sektor.
Cyberschutz sollte bei medizinischen Versorgern oberste Priorität haben
Trotz der unverkennbaren Gefahren hat Cybersicherheit noch längst nicht in allen Praxen und Kliniken oberste Priorität. Firewall und Virenschutz werden als ausreichend erachtet und laufen so nebenher. Dabei müssen die Verantwortlichen spätestens seit Einführung der DSGVO für geeignete technische und organisatorische Maßnahmen (TOM) Sorge tragen, um ein „angemessenes Schutzniveau“ auf dem aktuellen Stand der Technik sicherzustellen. Aber schon ein Eigeninteresse sollten die Klinik- und Praxisbetreiber den Schutz vor Cyberkriminalität ganz großschreiben.
Neben der Cyberprävention spielt dabei auch die Frage eine Rolle, was im Schadensfall passiert. Von Krisenintervention über Bußgelder bis hin zum Schadensersatz: Die Liste der Herausforderungen – nicht nur finanzieller Art – ist bei einem Cyberangriff lang. Die effektivste und zugleich effizienteste Form der Absicherung stellt eine gute Cyberversicherung dar. Denn sie bietet nicht nur Schutz vor den potenziell gravierenden Folgekosten, sondern hilft über ein Experten-Netzwerk auch im Schadensfall schnell und zielführend. Zudem enthalten die meisten Cyberpolicen ein Präventionspaket, das die Sicherheit zusätzlich erhöht. Nicht nur Krankenhäuser und Arztpraxen, sondern auch für Apotheken, Ergo- und Physiotherapiepraxen, Sanitätshäuser, Hebammenpraxen usw. ist eine Cyberversicherung daher ein wesentliches Element der betrieblichen Daseinsvorsorge.