IT-Sicherheit in der Pandemie: „Schwer vorstellbar, dass Hacker einen Sinn für Moral entwickeln“

Krankenhäuser und Pflegeheime wurden in der Vergangenheit ja bereits Ziele von Hackern. Glauben Sie den Aussagen, dass solche Angriffe durch Corona in absehbarer Zeit ausbleiben?

Nein, bei bestem Willen nicht. Ich kann mir nur schwer vorstellen, dass Menschen in diesem – ich nenne es mal Business, plötzlich einen Sinn für Moral entwickeln. Ihnen geht es um Profit, Geltungssucht und teilweise schlicht um Vergnügen. Sie nutzen die Schwachstellen anderer aus, um sich auf irgendeine Art zu bereichern und zu profilieren. Ich glaube nicht, dass selbst eine weltweite Krise bei diesen Leuten zu einem Umdenken geführt hat oder noch führen wird. Außerdem bilden die Hackerorganisationen, die sich zu Wort gemeldet haben, nur einen Bruchteil dieser Community ab. Es gibt zahlreiche Gruppen, die ihre Attacken weiter fortsetzen.

Sie glauben also, dass Hackerangriffe eher zunehmen werden?

Ich würde mich freuen, wenn es anders wäre. Im Moment sieht es aber leider nicht danach aus, dass die Lage ruhiger wird. Im März wurde zum Beispiel ein Krankenhaus im tschechischen Brno Ziel eines Cyberangriffs. Dort befindet sich eines der größten Corona-Testlabore des Landes. Das Resultat war, dass das IT-System komplett heruntergefahren, Operationen verschoben und kritische Fälle in andere Krankenhäuser verlegt wurden. Erst nach einigen Wochen hatte sich die Situation wieder normalisiert. Sowas kann natürlich auch jederzeit in Deutschland passieren, einen ähnlichen Fall gab es ja 2019 bei den DRK-Kliniken in Rheinland-Pfalz und im Saarland.

Besteht die Gefahr, dass Hacker Zugriff auf medizinische Geräte erhalten?

Mir ist zumindest kein Fall bekannt, bei dem Außenstehende direkten Zugriff auf Medizintechnik hatten und Menschen dadurch zu Schaden gekommen sind. Allerdings werden immer wieder Sicherheitslücken bekannt, die zu einem Risiko werden können – sei es bei Insulinpumpen oder bei Herzschrittmachern. Angeblich ließ der damalige US-Vizepräsident Dick Cheney die Fernsteuerung seines Herzschrittmachers aus Angst vor einem Hackerangriff deaktivieren. Ein weiteres Problem ist, dass Medizingeräte nach der Zulassung nicht mehr verändert werden dürfen, also auch keine Sicherheitsupdates erhalten. Dies kann erst nach einer weiteren, zeitfressenden Überprüfung erfolgen. Hier muss die rechtliche Grundlage dringend angepasst werden. Generell haben Hacker aber bisher eher die IT-Infrastruktur lahmgelegt oder Patientendaten erbeutet, um so Geld zu erpressen.

Bei den Patientendaten ist dabei nicht zwangsläufig Schluss, oft haben es Cyber-Erpresser auch auf Forschungs- und Patentinformationen abgesehen. Was können Sie tun, um eine möglichst hohe Sicherheit zu gewährleisten?

Der IT-Grundschutz vom BSI bietet Kliniken bereits ein solides Gerüst, wenn es denn umgesetzt wird. Außerdem hat die Deutsche Krankenhausgesellschaft den Sicherheitskatalog B3S herausgegeben, mit dem Krankenhäuser quasi einen Fahrplan für die IT-Rüstung bekommen. Ein wichtiger Bestandteil ist dabei, die Serversysteme zu härten. Und da kommen wir ins Spiel. Bei unserem IT-Management-System KIX handelt es sich um eine Open Source-Software. Sie bietet den Vorteil, dass sämtliche Nutzer den Quellcode einsehen können. Schwachstellen und Risiken werden so schneller identifiziert und behoben.

Gibt es im IT-Bereich von Krankenhäusern andere Anforderungen als zum Beispiel bei Behörden, Banken oder Unternehmen?

Wir wollen natürlich allen Kunden einen möglichst hohen Sicherheitsstandard bieten. Während es etwa bei Unternehmen – in Anführungszeichen – nur um Geldbeträge geht, sind in Krankenhäusern Menschenleben gefährdet. Das Ziel einer Management-Software sollte es sein, sämtliche Abläufe der Kunden zu unterstützten und, wenn gewünscht, zu automatisieren. In Kliniken liegt das Hauptaugenmerk darauf, IT, Haustechnik und Medizintechnik individuell zu betreuen. Eine einheitliche IT-Infrastruktur wäre eher schädlich, weil im Falle eines erfolgreichen Hackerangriffs zumindest die anderen Abteilungen weiterarbeiten können.

Im Gesundheitsbereich wurde während der Corona-Krise auch vermehrt auf Homeoffice zurückgegriffen. Welche Vorteile kann ein Management-System hier bieten?

Mit den steigenden Homeoffice-Zahlen haben wir festgestellt, dass besonders Cloud-Dienste gefragt waren und vielen Leuten geholfen haben. Damit können unsere Kunden komplett verteilt arbeiten, erhalten ihre Arbeitsaufträge aber trotzdem zentral gesteuert. Patienten bekommen so nicht mal mit, dass ihnen aus dem Homeoffice heraus geholfen wird. Aber auch von der Heimarbeit abgesehen kann so ein Management-System sehr hilfreich für Krankenhaus-Mitarbeiter sein. Wir haben dieses Jahr im März zum Beispiel auch eine App herausgebracht. Damit können Servicetechniker in einem weitläufigen Krankenhausgelände jederzeit ihre Arbeitsschritte dokumentieren und Einträge vornehmen. Auch wenn sie mal in einem Keller arbeiten und kein Netz haben.

Wie kann man sich die typische Einrichtung einer solchen Software-Lösung vorstellen?

In den meisten Fällen treten Mitarbeiter der IT-Abteilung an uns heran. Das ist ja auch verständlich, Ärzte und Schwestern versorgen ihre eigenen Bereiche und beschäftigen sich nur mit der IT, wenn mal etwas nicht funktioniert. Bei den ersten Gesprächen geht es immer darum, was gewünscht ist, was das System bieten soll und welche Module benötigt werden. Das ist bei jedem Projekt ein individueller Vorgang. Bei Einführungs- und Migrationsprojekten nehmen unsere Berater die Kunden immer an die Hand und führen sie sicher bis zum Go Live des Systems für die Mitarbeiter. Für viele ist der Umgang mit einem Management-System noch nicht selbstverständlich, deswegen stehen wir jederzeit mit Rat und Tat zur Seite, auch nach der abgeschlossenen Einrichtung. Oft wird unser Supportteam gebraucht, um bei weiterführenden Nutzungsanforderungen und Konfigurationen oder ähnlichem zu helfen. Und ganz banal – in jeder Anwendung gibt es Situationen, die im ersten Moment unerwartete Seiteneffekte hervorrufen, da müssen wir schauen, ob es womöglich ein Softwarefehler ist. Auch unser Management-System wird trotz aller Qualitätssicherung und Tests von Menschen gemacht.