Zum Inhalt springen
Inhalt

Cybersicherheit in Spitälern Wenn Hacker mit Menschenleben spielen

Operationsroboter, Analysegeräte, Patientendossiers: Spitäler verlassen sich auf digitale Systeme. Das birgt Gefahren.

Legende: Audio Wie sicher sind Spitäler vor Cyber-Attacken? abspielen. Laufzeit 04:11 Minuten.
04:11 min, aus Rendez-vous vom 19.06.2018.

Der 10. Februar 2016 wird Nicolas Krämer immer in Erinnerung behalten. Es sei der bislang schlimmste Tag gewesen in seiner Funktion als Geschäftsführer des Lukas-Krankenhauses im deutschen Bundesland Nordrhein-Westfalen. «Damals ist das Krankenhaus Opfer eines Cyberangriffs geworden. Nichts ging mehr. Das hatte natürlich eklatante Auswirkungen auf die Patientenversorgung.»

Die Hacker hatten die Dateien auf den Servern des Spitals verschlüsselt und forderten als Lösegeld Bitcoins im Wert von mehreren tausend Euro. Das Lukas-Krankenhaus zahlte nicht – und musste in der Folge mehrere Tage komplett auf digitale Systeme verzichten: «Das bedeutete etwa, dass wir keine Notfälle und keine Patienten mit Reanimationspflicht mehr aufnehmen konnten. Auch mussten wir operative Eingriffe absetzen.»

Mit dem Rücken zur Wand habe das Spital alle möglichen IT-Sicherheitsfirmen engagiert, schildert Krämer. Sie hätten den Virus dann unschädlich machen können.

Ständige Sicherheitsupdates unerlässlich

In der Schweiz ist dieser Extremfall bis jetzt noch nicht eingetreten. Allerdings gibt es keine genauen Zahlen zu Hackerangriffen, da in der Schweiz keine Meldepflicht besteht. Bekannt sind kleinere Einzelfälle. Zum Beispiel jener eines Aargauer Pflegeheims, das nach einer Cyberattacke Lösegeld bezahlt hat, um wieder an seine Daten zu gelangen. Und praktisch jedes Schweizer Spital erlebt mehrmals jährlich den Versuch einer Cyberattacke.

Gemäss Corsin Guntern, dem stellvertretenden Informatikleiter des Universitätsspitals Zürich, hilft dagegen nur eines: Ständige Datensicherung und neuste Sicherheitssoftware.

Vorbereitung auf den «Worst Case»

Die Systeme seien entsprechend gewartet, um einen Stillstand zu verhindern, sagt Guntern: «Schliesslich sind auch all unsere Daten geschützt. Es gibt Backups, mit denen wir die Systeme im Fall einer Cyberattacke wieder hochfahren könnten.» Das Universitätsspital Zürich investiere sehr viel an Ressourcen und finanziellen Mitteln, damit die Systeme up to date seien.

Auch andere Kantonsspitäler haben in den letzten Jahren mehrere Millionen Franken ausgegeben für die Cybersicherheit. Manche Systeme seien lange veraltet und deshalb verwundbar gewesen, sagt André Duvillard, der Delegierte des Sicherheitsverbundes Schweiz.

Es ist nicht die Frage ob wir getroffen werden, sondern wann.
Autor: André DuvillardDelegierter des Sicherheitsverbundes Schweiz

Seit 2012 arbeitet er mit dem Bund und den Kantonen an Massnahmen, um die Cybersicherheit an den Spitälern zu erhöhen. Trotzdem schliesst er nicht aus, dass es auch mal in einem Schweizer Spital zu einem grösseren erfolgreichen Cyberangriff kommt: «Die Spitäler sind wohl genauso gefährdet wie andere kritische Infrastrukturen», sagt Duvillard, der auch schon Erfahrungen in der Strombranche und im Versorgungsbereich sammelte. Er warnt: «Es ist nicht die Frage ob wir getroffen werden, sondern wann.»

Und zwar wegen des Faktors Mensch, wie Duvillard sagt. Sei ein Hackerangriff erfolgreich, dann meistens, weil ein Mitarbeiter unbedacht auf ein Mail-Attachment geklickt und so einen Computervirus ins Spital gelassen habe: «Wir müssen wahrscheinlich bei allen kritischen Akteuren die Präventionsarbeit weiter erhöhen.»

Der Faktor Mensch

Der Bund will demnächst eine Kampagne starten, um auf dieses Sicherheitsrisiko aufmerksam zu machen. Und auch Spital-intern werden die Mitarbeiterinnen und Mitarbeiter immer wieder bei Schulungen darauf eingeschworen, wie Corsin Guntern vom Universitätsspital Zürich sagt: «Wir haben das Credo, das wohl überall gilt: Wenn eine Mail nicht adressiert ist und der Absender einer Person nicht bekannt ist, wird sie gelöscht.»

Dieses Thema werde immer wieder betrachtet, so Guntern, auch zusammen mit anderen Spitälern. Denn auch die besten Sicherheitsmassnahmen gegen digitale Angreifer sind nur so gut wie das schwächste Glied in der Kette – und das ist normalerweise der Mensch.

Keine wichtigen News verpassen

Erhalten Sie die wichtigsten Nachrichten per Browser-Push-Mitteilungen.

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren.

9 Kommentare

Navigation aufklappen Navigation zuklappen

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Kommentarfunktion deaktiviert

Uns ist es wichtig, Kommentare möglichst schnell zu sichten und freizugeben. Deshalb ist das Kommentieren bei älteren Artikeln und Sendungen nicht mehr möglich.

  • Kommentar von Denise Casagrande (begulide)
    Moderne, digitale Erfindungen, können absolut hilfreich sein. Allerdings werden erst im Nachhinein gewisse "Schwachpunkte" sichtbar, wie zB explizit im Gesundheits-Wesen, wo es um Lebewesen geht. Da müssen die zuständigen Verantwortlichen entsprechend umsichtig handeln.
    Ablehnen den Kommentar ablehnen
  • Kommentar von Barbara Lampérth (Luk 12/3)
    Der Gebrauch der Informatik in der Medizin hat längst Ausmasse angenommen, die mit einer klugen Heilkunst nicht vereinbar sind. Dass sich das rächt ist nicht erstaunlich. Dass die Digitalisierung in der Medizin deshalb nicht etwas hinterfragt, sondern nur noch weiter aufgerüstet wird schon eher!
    Ablehnen den Kommentar ablehnen
  • Kommentar von Barbara Lampérth (Luk 12/3)
    Man müsste mit dem "Faktor" Mensch halt menschlich umgehen! Wenn die Mitarbeitenden nicht so viel Zeit vor dem Bildschirm verbringen müssten - was wohl nicht zum Kerngeschäft eines Spitals gehört - dann würden sie auch nicht auf Anhänge klicken!
    Ablehnen den Kommentar ablehnen