IT-Angriffe
Wie können Deutschlands Kliniken sich schützen?
Krankenhäuser sind in Krieg und Terror hochattraktive Ziele für die Gegner von Freiheit und Demokratie. Kliniken sind als offene, für alle Bürgerinnen und Bürger einfach zu erreichende, möglichst barrierefreie Einrichtungen mit großem Publikumsverkehr in besonderem Maße verwundbar. Die Weltgesundheitsorganisation (WHO) hat seit dem Angriffskrieg Russlands gegen die Ukraine Hunderte von Angriffen auf Gesundheitseinrichtungen dokumentiert. Dabei wurden bislang Tausende unschuldige Opfer und Zivilisten getötet. Cyberangriffe auf Krankenhäuser sind heute längst ein Instrument der hybriden Kriegsführung. So versuchte der Iran erst im Dezember mit Hilfe der Cybereinheit der libanesischen Hisbollah, im Norden Israels ein Krankenhaus lahmzulegen. Der Angriff wurde nach Angaben des israelischen Cyberdirektorats vereitelt, jedoch wurden sensible Daten entwendet. In der Ukraine sind seit Beginn des russischen Angriffskriegs die Cyberangriffe um 250 Prozent gestiegen. Durch Künstliche Intelligenz (KI) lassen sich Cyberangriffe noch effektiver und gefährlicher gestalten.
Die Bedrohung für Krankenhäuser wächst
Auch das deutsche Gesundheitswesen steht im Visier staatlicher wie nicht-staatlicher Akteure. Die über 1.800 Krankenhäuser mit mehr als einer Million Beschäftigten und einem Umsatz von weit über 100 Milliarden Euro im Jahr sind eine tragende Säule unseres Gesundheitswesens und zählen zu den Kritischen Infrastrukturen (KRITIS). Die Gefahr eines Angriffs auf Krankenhäuser im Rahmen eines Konfliktes oder eines Terroranschlags, wie auch deren Überlastung durch Massenfälle von Verletzten durch Krieg oder Terroranschläge, ist in Deutschland größer geworden. Laut dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist die Bedrohung durch Cyberangriffe so hoch wie nie.
Angegriffen werden vor allem große KRITIS-Krankenhäuser. Am Jahresende 2022 erwischte es Potsdam. Nach einem Hackerangriff koppelte sich die Stadtverwaltung und damit auch das städtische Klinikum Ernst von Bergmann wochenlang vom Internet ab. Angriffe wie diese sind geeignet, das Vertrauen der Bürger in die Fähigkeiten des demokratischen Staates zu untergraben. Genau dies ist das Ziel von Angriffen staatlicher wie nicht-staatlicher Akteure. Der jüngste Fall ist das Universitätsklinikum Frankfurt, das im Oktober nach einem Hackerangriff die komplette IT neu aufsetzen musste. In Frankfurt konnte das Schlimmste gerade noch abgewendet werden. Die Überlastung der Krankenhausinfrastruktur Deutschlands und direkte Angriffe auf diese als zentrale Leistungsträger des Gesundheitssystems hätten schwerwiegende humanitäre, politische und wirtschaftliche Folgen, deren psychologische Effekte geeignet sind, die Resilienz der Gesellschaft negativ zu beeinflussen.
Drei Viertel der Gesundheitseinrichtungen Opfer von Cyberangriffen
Die zurückliegenden Cyber-Angriffe auf Kliniken und Klinikverbünde, insbesondere von Ransomwareangriffen, richteten in den betroffenen Einrichtungen enorme finanzielle Schäden an und gingen nicht zuletzt mit einem enormen Reputationsverlust einher. 2022 waren drei Viertel der deutschen Gesundheitseinrichtungen Opfer von Cyberangriffen, so das Ergebnis der Global Healthcare Cybersecurity Study 2023. Die Studie befragte 1.100 Fachkräfte aus den Bereichen Cybersicherheit, Technik, IT und Netzwerke in Gesundheitseinrichtungen. Betroffen waren dabei die IT-Systeme selbst, aber auch vernetzte medizinische Geräte oder Gebäudetechnik. Ein Drittel der Vorfälle hatte dabei geringe oder erhebliche Auswirkungen auf die Patientenversorgung. Rund 20 Prozent der von Ramsomware betroffenen Einrichtungen haben der Befragung zufolge das geforderte Lösegeld gezahlt.
Das Zusammenspiel von Gesundheitswesen, Politik und Wirtschaft muss besser werden.
Deutschland muss sich auch digital verteidigen
Die Fälle zeigen: Deutschland muss sich in Zukunft nicht nur in der Luft, im Wasser und mit dem Heer verteidigen, sondern auch digital. Bundesverteidigungsminister Boris Pistorius hat Ende 2023 gefordert, dass Deutschland „kriegstüchtig und verteidigungsfähig“ werden müsse. Das gilt auch für Kritischen Infrastrukturen wie die Kliniken. Der Schlüsselbegriff ist Cyberresilienz: die Minimierung der Risiken bei gleichzeitiger Erhöhung der Widerstandsfähigkeit. Es geht um Systeme der Früherkennung, des Notfallmanagements und um Pläne, die getestet und eingeübt werden müssen. Nötig sind zudem regemäßige Übungen aller an derartigen Herausforderungen beteiligter und erforderlicher Institutionen und Kompetenzträger. Das Zusammenspiel von Gesundheitswesen, Politik und Wirtschaft muss besser werden.
Moderne IT-Architekturen in der Cloud werden in Zukunft die Sicherheit der Kritischen Infrastruktur und damit die Verteidigungsfähigkeit aller Einrichtungen erhöhen."
Doppelstrategie für mehr Sicherheit
Cybersicherheit und -resilienz erfordern eine Doppelstrategie: Auf Bundes- und Landesebene braucht es eine übergeordnete Strategie und Strukturen wie das BSI, die beraten und unterstützen. Auf der Ebene der Kliniken in Deutschland muss bei der Absicherung der Daten und IT-Systeme das Zero-Trust-Prinzip gelten. Alle Krankenhäuser, unabhängig von ihrer Größe, sind schon heute verpflichtet, IT-Sicherheit nach dem aktuellen Stand der Technik umzusetzen. Dabei werden Zugriffsanfragen auf mehreren Ebenen über KI-gestützte Sicherheitslösungen geprüft und es wird permanent die Legitimation sichergestellt. Zu den Maßnahmen gehören auch sichere Internet-Browser, regelmäßige und mehrstufige Backups, um im Falle eines Angriffes die Wiederherstellung der Daten zu ermöglichen und Schulungen für Mitarbeiter zur Sensibilisierung für Sicherheitsrisiken. Moderne IT-Architekturen in der Cloud werden in Zukunft die Sicherheit der Kritischen Infrastruktur und damit die Verteidigungsfähigkeit aller Einrichtungen erhöhen. 2024 gehört KRITIS auf die Agenda der nationalen Gesundheitssicherheitspolitik. Der Einstieg in die sichere Digitalisierung der Klinken ist ihr Startpunkt.
Am 14. März 2024 findet am Unfallkrankenhaus Berlin die gemeinsame Fachtagung von Gesundheitsstadt Berlin und dem Unfallkrankenhaus Berlin statt: „KRITIS: Krankenhaus in Krise, Terror, Krieg: Wie vorbereitet sind unsere Krankenhäuser auf Bedrohungen (Cyber, Terror, Kriegs- und Katastrophenfall?)“
