Kliniken gefährden Patienten durch Lecks in der IT-Infrastruktur. Während Heilberufler jüngerer Semester entsprechende Bedrohungen besser einschätzen können, üben sich erfahrene Manager in Zurückhaltung. Die Katastrophe ist im wahrsten Sinne des Wortes vorprogrammiert.
Ein Krankenhaus in Süddeutschland. Das Narkosegerät läuft, alle Parameter sind im grünen Bereich. Plötzlich schrillt ein Alarmsignal, und nichts geht mehr. Beatmungsfrequenz, Sauerstoffsättigung und alle weiteren Regler lassen sich vom anwesenden Narkosearzt nicht mehr steuern – Hacker haben das Gerät virtuell gekapert und lahmgelegt.
Bei der Cyberattacke handelte es sich nur um einen Test. IT-Spezialist Florian Grunow, in der Branche kein Unbekannter, wollte demonstrieren, wie leicht Angriffe auf lebenswichtige Medizintechnik möglich sind. Er hackte sich über das krankenhausinterne Netzwerk direkt auf ein Narkosegerät und übernahm diverse Regler. „Jeder mit mittlerem Know-How hätte das machen können“, sagt Grunow. Schließlich stoppte er das Gerät; Ärzte hätten in der Realität keine Chance, zu reagieren. Einige Zeit zuvor war es dem Informatik-Experten bereits gelungen, ein MRT in Beschlag zu nehmen – über den hauseigenen WLAN-Zugang für Gäste. Welche Hersteller er im Visier hat, bleibt geheim. Florian Grunow will Firmen warnen, aber keine Menschen gefährden.
Sicherheitsforscher aus den USA suchen ebenfalls nach virtuellen Achillesfersen – und sind prompt fündig geworden. Billy Rios kritisiert, manche Infusionspumpen von Hospira ließen sich von außen fremdsteuern. Dazu erwarb er handelsübliche Geräte und überprüfte serielle Schnittstellen. Es gelang dem Tüftler nicht nur, wie vorgesehen Firmware-Updates durchzuführen, sondern Einstellungen direkt am Gerät zu ändern. Rios zufolge sind von der Sicherheitslücke die Modelle PCA3 LifeCare, PCA5 LifeCare, die Symbiq-Serie und Plum A+ betroffen. Diese speichern Nutzerdaten im Klartext und überprüfen nicht, ob Signale wirklich vom Server kommen. Einige Monate zuvor hatte Rios bereits herausgefunden, dass sich Dosierlimits über das Kliniknetz leicht manipulieren lassen. Fest eingestellte Höchstgrenzen zum Schutz von Patienten werden schlichtweg außer Kraft gesetzt. In einer Stellungnahme verweist Hospira darauf, dass Hacker zuerst mehrere Firewalls des Krankenhauses durchdringen müssten – eine gefährliche Argumentation, falls man die aktuelle Sicherheitslage genauer betrachtet.
Welche Ausmaße virtuelle Kriminalität mittlerweile annimmt, zeigt eine branchenübergreifende Untersuchung von BITKOM: Etwa jeder zweite Konzern ist in den letzten zwei Jahren von digitalen Verbrechern heimgesucht worden. Dabei geht es nicht nur um Datenklau, sondern auch um Sabotage oder um Erpressung. „Digitale Angriffe sind eine reale Gefahr für Unternehmen“, sagt Bitkom-Präsident Professor Dieter Kempf. „Viele Unternehmen schützen ihre materiellen und immateriellen Werte nicht ausreichend.“ Als Einfallstore nennt er Datennetze und IT-Systeme. Genau hier sieht es bei Kliniken und bei Medizinprodukten düster aus: modernste Elektronik, aber Sicherheit auf dem Stand der 1990er-Jahre. Die Welt hat sich gedreht. Im „Internet der Dinge“ kommunizieren Geräte virtuell miteinander. Schlecht gesicherte Netzwerke bieten Hackern von außen Zugriff auf so manche Gerätschaft. Über Suchmaschinen wie Shodan finden sie Server, Router, Webcams und viele andere Tools mit Internetverbindung. Und so manche Gerätschaft geht mit dem Benutzernamen und dem Passwort „admin“ online. Ähnlich kreativ sind Kombinationen wie „admin“ und „1234“.
Dabei wäre es leicht, erfolgreich zu intervenieren. BITKOM empfiehlt neben einem Grundschutz aus sinnvollen Zugangsdaten, Virenscannern, Firewalls und regelmäßigen Updates auch Angriffserkennungssysteme. Sensible Daten sollten generell verschlüsselt werden. Hinzu kommen organisatorische Aspekte wie unterschiedliche Berechtigungsstufen und Notfallszenarien. Um schwarze Schafe zu erkennen, raten Experten zur Überprüfung neuer Mitarbeiter in sensiblen Bereichen. Dort sollten nicht unbedingt kurzzeitig beschäftigte Hilfskräfte ohne großes Fachwissen arbeiten, etwa Studenten in unteren Semestern. Bleiben noch externe Audits, um Schwachstellen jenseits der eigenen Betriebsblindheit zu erkennen.
Soviel zur Theorie. Dass Klinken gewaltigen Nachholbedarf haben, zeigt die Untersuchung „Digitalisierung in der Gesundheitswirtschaft“. Rochus Mummert Healthcare Consulting hat mehr als 300 Führungskräfte an deutschen Krankenhäusern zur Digitalstrategie ihres Hauses befragt. Nur 28 Prozent aller Einrichtungen besitzen umfassende Konzepte. Weitere 46 Prozent der Kliniken haben zumindest Einzelprojekte auf den Weg gebracht. „Die von uns befragten Klinik-Manager verweisen hier vor allem auf fehlende finanzielle Ressourcen sowie eine immer noch in vielen Kliniken anzutreffende allgemeine Angst vor Veränderungen“, erklärt Studienleiter Dr. Peter Windeck. „Die Digitalisierung der Medizin ist also nicht nur eine technologische, sondern auch eine Führungsherausforderung.“ Hersteller von Medizinprodukten müssen ebenfalls Farbe bekennen. Von der US Food and Drug Administration kommt sogar ein Leitfaden zur Cyber-Sicherheit. Nur gemeinsam kann es Krankenhäusern und Firmen gelingen, Angriffe von Hackern abzuwehren.