Der 10. Februar 2016 wird Nicolas Krämer immer in Erinnerung behalten. Es sei der bislang schlimmste Tag gewesen in seiner Funktion als Geschäftsführer des Lukas-Krankenhauses im deutschen Bundesland Nordrhein-Westfalen. «Damals ist das Krankenhaus Opfer eines Cyberangriffs geworden. Nichts ging mehr. Das hatte natürlich eklatante Auswirkungen auf die Patientenversorgung.»
Die Hacker hatten die Dateien auf den Servern des Spitals verschlüsselt und forderten als Lösegeld Bitcoins im Wert von mehreren tausend Euro. Das Lukas-Krankenhaus zahlte nicht – und musste in der Folge mehrere Tage komplett auf digitale Systeme verzichten: «Das bedeutete etwa, dass wir keine Notfälle und keine Patienten mit Reanimationspflicht mehr aufnehmen konnten. Auch mussten wir operative Eingriffe absetzen.»
Mit dem Rücken zur Wand habe das Spital alle möglichen IT-Sicherheitsfirmen engagiert, schildert Krämer. Sie hätten den Virus dann unschädlich machen können.
Ständige Sicherheitsupdates unerlässlich
In der Schweiz ist dieser Extremfall bis jetzt noch nicht eingetreten. Allerdings gibt es keine genauen Zahlen zu Hackerangriffen, da in der Schweiz keine Meldepflicht besteht. Bekannt sind kleinere Einzelfälle. Zum Beispiel jener eines Aargauer Pflegeheims, das nach einer Cyberattacke Lösegeld bezahlt hat, um wieder an seine Daten zu gelangen. Und praktisch jedes Schweizer Spital erlebt mehrmals jährlich den Versuch einer Cyberattacke.
Gemäss Corsin Guntern, dem stellvertretenden Informatikleiter des Universitätsspitals Zürich, hilft dagegen nur eines: Ständige Datensicherung und neuste Sicherheitssoftware.
Vorbereitung auf den «Worst Case»
Die Systeme seien entsprechend gewartet, um einen Stillstand zu verhindern, sagt Guntern: «Schliesslich sind auch all unsere Daten geschützt. Es gibt Backups, mit denen wir die Systeme im Fall einer Cyberattacke wieder hochfahren könnten.» Das Universitätsspital Zürich investiere sehr viel an Ressourcen und finanziellen Mitteln, damit die Systeme up to date seien.
Auch andere Kantonsspitäler haben in den letzten Jahren mehrere Millionen Franken ausgegeben für die Cybersicherheit. Manche Systeme seien lange veraltet und deshalb verwundbar gewesen, sagt André Duvillard, der Delegierte des Sicherheitsverbundes Schweiz.
Es ist nicht die Frage ob wir getroffen werden, sondern wann.
Seit 2012 arbeitet er mit dem Bund und den Kantonen an Massnahmen, um die Cybersicherheit an den Spitälern zu erhöhen. Trotzdem schliesst er nicht aus, dass es auch mal in einem Schweizer Spital zu einem grösseren erfolgreichen Cyberangriff kommt: «Die Spitäler sind wohl genauso gefährdet wie andere kritische Infrastrukturen», sagt Duvillard, der auch schon Erfahrungen in der Strombranche und im Versorgungsbereich sammelte. Er warnt: «Es ist nicht die Frage ob wir getroffen werden, sondern wann.»
Und zwar wegen des Faktors Mensch, wie Duvillard sagt. Sei ein Hackerangriff erfolgreich, dann meistens, weil ein Mitarbeiter unbedacht auf ein Mail-Attachment geklickt und so einen Computervirus ins Spital gelassen habe: «Wir müssen wahrscheinlich bei allen kritischen Akteuren die Präventionsarbeit weiter erhöhen.»
Der Faktor Mensch
Der Bund will demnächst eine Kampagne starten, um auf dieses Sicherheitsrisiko aufmerksam zu machen. Und auch Spital-intern werden die Mitarbeiterinnen und Mitarbeiter immer wieder bei Schulungen darauf eingeschworen, wie Corsin Guntern vom Universitätsspital Zürich sagt: «Wir haben das Credo, das wohl überall gilt: Wenn eine Mail nicht adressiert ist und der Absender einer Person nicht bekannt ist, wird sie gelöscht.»
Dieses Thema werde immer wieder betrachtet, so Guntern, auch zusammen mit anderen Spitälern. Denn auch die besten Sicherheitsmassnahmen gegen digitale Angreifer sind nur so gut wie das schwächste Glied in der Kette – und das ist normalerweise der Mensch.