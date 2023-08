Die Urologische Klinik in Planegg bei München macht kein Geheimnis daraus: Im Januar 2021 drangen Cyber-Kriminelle in das Computersystem des Spezialkrankenhauses ein und verschlüsselten die Daten. Die Erpresser verlangten Lösegeld. Klinik-Direktor Prof. Martin Kriegmair war in Alarmstimmung. Der Arzt machte sich auch Sorgen, dass Patienten zu Schaden kommen könnten, weil Informationen nicht verfügbar waren - etwa Daten über Allergien, die bei früheren Behandlungen gesammelt wurden.

Kriegmair und die Führungsmannschaft des Spezialkrankenhauses mit 75 Betten entschieden deshalb schnell, das Lösegeld zu zahlen. Die Verhandlungen mit den Erpressern und die Abwicklung übernahm eine Firma, die sich auf solche Aufträge spezialisiert hat. Der Klinik-Direktor selbst hätte gar nicht gewusst, wie er das Lösegeld in der Krypto-Währung Bitcoin übermitteln soll. Das Krankenhaus schaltete auch die Polizei ein. Doch obwohl die Sicherheitsbehörden in den vergangenen Jahren ihre Kapazitäten zur Bekämpfung von Cyber-Kriminalität deutlich ausgebaut haben, können sie Erpresser meist nicht dingfest machen oder blockierte Computersysteme wieder freibekommen.

Erpresser gaben Rabatt für Kliniken

Klinikdirektor Kriegmair berichtet über erstaunliche Einzelheiten zu den Verhandlungen mit den Cyber-Kriminellen. Er habe ihnen übermitteln lassen, "Hoppla, ihr habt hier eine soziale Einrichtung getroffen, ein Krankenhaus", erzählt er. Daraufhin seien die Erpresser mit ihrer Forderung deutlich nach unten gegangen. Kriegmair hat während der Erpressung gelernt, dass es "offenbar so einen Ehrenkodex" bei den Kriminellen gibt. Gezahlt habe das Krankenhaus am Ende eine Summe "im niedrigen sechsstelligen Bereich", sagt Kriegmair, ohne eine genaue Zahl zu nennen.

Zahlen oder nicht?

Der Geschäftsführer der Bayerischen Krankenhausgesellschaft (BKG), Roland Engehausen, findet es gut, wenn Kliniken offen über Probleme reden, die sie mit Cyber-Attacken haben. Denn auf diese Weise könnten die Häuser voneinander lernen, hofft er. Allerdings hält er es für problematisch, wenn Kliniken Lösegeld zahlen und damit das Geschäftsmodell der Cyber-Kriminellen ungewollt unterstützen: "Nicht erpressen lassen ist schon wichtig." Der Verbandsgeschäftsführer ergänzt allerdings, es sei für ein Krankenhaus immer eine eigene Entscheidung, ob es zahlt oder nicht.

Für Kriegmair, Direktor der Urologischen Klinik Planegg, war es allerdings nur "eine schöne theoretische Frage", als sein Haus vor zweieinhalb Jahren zu entscheiden hatte, ob es Lösegeld zahlt oder nicht. Der Betrieb habe weiterlaufen müssen, sagt er.

"Der Schaden wäre ungleich höher gewesen, wenn wir das nicht bezahlt hätten." Martin Kriegmair, Urologische Klinik Planegg

Inzwischen habe sein Krankenhaus bestmögliche Vorkehrungen getroffen, um nicht noch einmal Opfer einer Online-Attacke zu werden. Wobei Kriegmair betont: Vor zweieinhalb Jahren habe sich sein Haus auf einen externen Online-Dienstleister verlassen, der mit einer Firewall Schutz gegen Cyber-Angriffe garantieren sollte. Doch in der Firewall sei eine Lücke gewesen.

Kein hundertprozentiger Schutz möglich

Norbert Butz, der bei der Bundesärztekammer das Dezernat Digitalisierung in der Gesundheitsversorgung leitet, betont dabei: Absolute Sicherheit vor Cyber-Attacken gebe es nicht: "Es gehört zur Redlichkeit, das nicht zu versprechen." Er ermahnt gleichzeitig alle Beteiligten, die Cyber-Sicherheit im Gesundheitswesen ernst zu nehmen. Die Gesundheitsversorgung gerate "immer mehr in den Fokus, Ziel einer Cyber-Attacke zu werden". Denn die digitale Vernetzung zwischen Kliniken, Arztpraxen, Versicherungen und anderen Gesundheits-Einrichtungen werde immer enger. Damit stiegen aber auch die Risiken.

Chancen und Risiken abwägen

Butz ist sich sicher, dass die Chancen, die die immer engere digitale Vernetzung bietet, weit größer sind als die Risiken. Das glaubt auch Kriegmair, der als Direktor der Urologischen Klinik Planegg hautnah erlebte, welche Folgen eine Cyber-Attacke haben kann. Sich abschotten zu wollen, sei keine Option, betont er: "Da gibt es unendlich viele Gründe, warum man die Digitalisierung nach vorne treiben muss." Als Beispiel nennt er den schnellen Zugriff auf Patientendaten.

Zusammenarbeit bei Cyber-Sicherheit

Um die Risiken beim Datenaustausch so gering wie möglich zu halten, sei aber eines nötig, stellt der Geschäftsführer der Bayerischen Krankenhausgesellschaft, Engehausen fest: "Wenn Profis angreifen, dann braucht es auch in der Klinik Profis." Und er empfiehlt den Mitglieds-Häusern seines Verbandes, sich nicht auf ein oder zwei Fachleute in der eigenen Belegschaft zu verlassen: "In den allermeisten Kliniken ist es klüger, sich diese Profis auch von außen zu holen."

Auch um die Zusammenarbeit in der Cyber-Sicherheit zu verbessern, gründeten bayerische Kliniken im Mai eine Genossenschaft, die Lösungen für IT-Probleme entwickeln soll. Die Genossenschaft hat rund 30 Gründungsmitglieder, das ist etwa ein Zehntel der Kliniken in Bayern. Die "Klinik-IT-Genossenschaft" hofft aber auf weiteren Zuwachs.

Hygiene auch im Cyber-Raum

Norbert Butz, der bei der Bundesärztekammer das Thema Digitalisierung bearbeitet, warnt aber davor, sich beim Thema Cyber-Sicherheit nur darauf zu verlassen, dass andere etwas tun: "Da braucht es bei allen Beteiligten, also bei Ärztinnen und Ärzten und Patientinnen und Patienten, mehr Digitalkompetenz."

Sprich: So wie es für Krankenhauspersonal, ebenso wie für Besucher, selbstverständlich sein sollte, auf Hygiene zu achten, um die Ausbreitung von Infektionen einzudämmen, genauso sollte es selbstverständlich sein, auf Digital-Hygiene zu achten. Patienten, die E-Mails an Praxen oder Krankenhäuser schicken, oder digitale Patientenakten teilen, sollten sicherstellen, dass ihre Computer oder Smartphones bestmöglich geschützt sind.

Und vor allem sollte in Praxen und Kliniken Cyber-Sicherheit tatsächlich Chefsache sein, findet Butz. Denn, so wie die Gesellschaft gelernt habe, mit Bakterien und Viren zu leben, die Menschen krank machen können, so müsse sie auch lernen, sich vor Computerviren zu schützen, auch im Gesundheitswesen.