Ludwigshafen „Wir hinken immer hinterher“

91-80977620.jpg

Hacker haben im Februar die Computersysteme mehrerer Krankenhäuser in Nordrhein-Westfalen mit schädlicher Software lahmgelegt. Experten warnen, dass die IT-Sicherheit in deutschen Kliniken nicht ausreichend sei. In Ludwigshafener Häusern äußert man sich verhalten. Deutlich wird aber: Das Risiko ist da.

Im städtischen Klinikum gibt man sich auf RHEINPFALZ-Anfrage hin zugeknöpft. Geschäftsführer Hans-Friedrich Günther will lieber gar nichts dazu sagen, wie sich sein Haus vor Cyber-Angriffen Krimineller schützen möchte. Aus Sicherheitsgründen. Immerhin: „Wir nehmen das Thema sehr ernst.“ Ob die von der öffentlichen Hand getragene Einrichtung aber beispielsweise regelmäßig Mitarbeiterschulungen durchführt oder das eigene Netzwerk durch sogenannte Penetrationstest auf eventuelle Schlupflöcher prüfen lässt, bleibt offen. Das Bundesamt für Sicherheit und Informationstechnik (BSI) in Bonn warnt indes davor, dass kriminelle Cyber-Angriffe auf „kritische Infrastrukturen“ wie Krankenhäuser, Trinkwasserversorger oder Kraftwerke auch in Deutschland weiter zunehmen. Offizielle Zahlen kann das Amt allerdings nicht liefern. Eine Meldepflicht für betroffene Unternehmen gibt es derzeit noch nicht. Das neue IT-Sicherheitsgesetz soll das ändern. Allerdings werden die darin geforderten Meldestellen erst in zwei Jahren verpflichtend. Klar ist aber: Nur die wenigsten Kliniken dürften so transparent reagieren wie das lahmgelegte Lukaskrankenhaus im nordrhein-westfälischen Neuss und eine Hacker-Attacke öffentlich vermelden. Schließlich geht es im Gesundheitssektor um hochsensible Daten und Geräte. Und um viel Vertrauen: Patientenbefunde, Röntgenbilder, medizintechnische Apparate wie Infusionspumpen oder Herzschrittmacher – all das wird in vielen modernen Kliniken mittlerweile im internen Netzwerk verwaltet oder von einer Software gesteuert und ist damit theoretisch auch von außen angreifbar. „Innerhalb der Szene weiß man auch von anderen Fällen dieser Art“, heißt es aus Expertenkreisen. István Bechtold kommt gleich auf den Punkt. „Ja, auch wir hatten diesen Trojaner“, räumt der medizinisch-ökonomische Direktor am St. Marien- und St. Annastiftskrankenhaus ein. Die Sicherheitsvorkehrungen hätten nach der Infizierung aber wie vorgesehen gegriffen. „Einschränkungen im Betrieb gab es zu keiner Zeit“, versichert er. Betroffen seien zudem nur Dokumente von geringfügiger Brisanz gewesen, wie Speisepläne: „Die Patientendatenbank läuft auf einem isolierten System und ist mehrfach mit Firewalls geschützt.“ Der IT-Experte gibt aber auch offen zu: „Es ist nicht auszuschließen, dass uns auch das Gleiche wie in Neuss hätte passieren können. Keine Firewall ist unknackbar. Wir haben daher nach Bekanntwerden der dortigen Vorfälle noch an ein paar entsprechenden Schräubchen im System gedreht.“ Jetzt habe man ein Sicherheitslevel erreicht, mit dem er „sehr gut schlafen könne“, gibt sich Bechtold zuversichtlich. Das grundsätzliche Problem ist allerdings alles andere als neu. Studien und Experimente von Experten zeigen immer wieder auf, dass sich deutsche Kliniken nur unzureichend auf die neue Bedrohung durch Cyber-Kriminalität vorbereiten. „Jetzt ist es eben mal nach außen gedrungen“, bestätigt Heiko Ries, Vorsitzender des Bundesverbands der Krankenhaus-IT-Leiter in Landau. Er schätzt, dass bundesweit nur etwa zwei Prozent des Investitionsbudgets von Kliniken für Verbesserungen der Sicherheitsstruktur ausgegeben würden. Personal oder neue Geräte haben im internen Wettstreit um Gelder bei den chronisch klammen Kliniken Vorrang – schließlich betreffen solche Investitionen das medizinische Kerngeschäft. „Spezielle Budgets nur für IT-Sicherheit gibt es in den Häusern oft nicht“, sagt Ries. Was das im Klinik-Alltag bedeutet, erklärt Bechtold am Beispiel der Datenverschlüsselung. Die bietet deutlich mehr Schutz als ein herkömmliches Passwort. Allerdings: Die Zugriffszeiten bei der Entschlüsselung nehmen merklich zu. „Es ist absolut verständlich, dass die Ärzte die Daten am Arbeitsplatz aber schnell verfügbar haben möchten“, sagt der Fachmann am Marienkrankenhaus. Eine Lösung wären schnellere Computer, nur die kosten Geld – und das ist nicht vorhanden. Die häufige Konsequenz: Daten werden unverschlüsselt gespeichert. Im Marienkrankenhaus bleibt man wachsam. Mitarbeiterschulungen, Daten-Backups, Firewalls und weitere aufwendige Schutzmaßnahmen sind laut Bechtold Standard. Dennoch sagt er: „Wir hinken da immer ein wenig hinterher.“ Politik

x