Heikle Gesundheitsdaten, der Betrieb lebenswichtiger Maschinen: Computersysteme in Spitälern sind besonders schützenswert. Spezialisten des Nationalen Testinstituts für Cybersicherheit NTC ist es gelungen, sich innert kurzer Zeit Zugriff auf die sogenannten Klinikinformationssysteme zu verschaffen.
Die IT-Sicherheitsspezialisten waren dabei selbst in den Spitälern vor Ort: eine Bedingung. Denn viele Systeme sind übers Internet nicht erreichbar. «In allen Lösungen, die wir überprüft haben, haben wir Schwachstellen gefunden, zum Teil auch kritische», sagt Tobias Castagna vom NTC. «Es waren keine hochkomplexen Sicherheitslücken. Ein normaler Hacker ohne spezielles Wissen könnte die ausnutzen.» Insgesamt wurden 40 mittlere bis schwere Schwachstellen identifiziert.
Hersteller pochten auf Geheimhaltung
Schweizer Spitäler und Kliniken setzen bei ihrer IT primär auf drei Anbieter: Bei all diesen habe es kritische Sicherheitsmängel gegeben, so der Bericht. Die Firmen wurden sofort nach der Entdeckung über die Mängel informiert. Das ist üblich bei solchen Tests, denn es geht dem NTC darum, die Sicherheitslücken zu finden und sie schliessen zu lassen.
Der Schweizer Hersteller Cistec schreibt auf Anfrage: «Der Test hat bei unserem System eine einzige kritische Lücke gezeigt. Diese konnte nur genutzt werden, wenn man mit allen Rechten im internen Spitalnetz agieren konnte. Die Lücke ist mittlerweile geschlossen.»
Einzelne Hersteller haben das NTC und die beteiligten Spitäler aufgefordert, Geheimhaltungsvereinbarungen zu unterschreiben.
Die anderen beiden Firmen, Ines aus Deutschland und Epic aus den USA, schreiben, man lege viel Wert auf Cybersicherheit und begrüsse solche Schwachstellenprüfungen.
Ohne Namen zu nennen, schreibt der NTC-Bericht aber auch von unkooperativem Verhalten der Firmen: «Einzelne Hersteller haben das NTC und die beteiligten Spitäler aufgefordert, Geheimhaltungsvereinbarungen zu unterschreiben.» Das NTC lehnte dies ab, da solche Vereinbarungen nicht dem Schutz der Patientendaten, sondern nur dem Interesse der Hersteller dienten.
Inselspital übt Cyberangriffe
In der Verantwortung stünden aber auch die Spitäler. Sie müssten die Sicherheit bei den Herstellern aktiv einfordern, sagt Castagna vom Testinstitut für Cybersicherheit NTC.
Das Berner Inselspital hat sich an der Finanzierung der Tests beteiligt. «Die Durchführung von Überprüfungen wie im konkreten Fall und damit die aktive Suche nach Schwachstellen ist eine der wichtigsten Massnahmen für die Verbesserung der Cybersicherheit», schreibt die Spitalgruppe. Man führe deshalb regelmässig solche Tests durch und übe darüber hinaus spitalweit den Umgang mit einem Cyberangriff.
Das Nationale Testinstitut für Cybersicherheit NTC ist eine Non-profit-Organisation, die primär vom Kanton Zug finanziert ist. Ziel sei es zu testen, wo sonst nicht getestet werde, und die Ergebnisse zu veröffentlichen, um so einen Beitrag zur IT-Sicherheit zu leisten, sagt Castagna. Die kritischsten Lücken in den Spitälern seien nun geschlossen. Aber es gebe noch viel zu tun.
Mehr zum Thema sehen Sie heute Abend um 19:30 Uhr in der «Tagesschau» auf SRF 1.
