Anfang 2021, mitten in der Covid-19-Pandemie, wurden die Computer des irischen Gesundheitssystems von Hackern angegriffen, die sich Zugang zu Patientendaten verschafften und Hunderte von ihnen online stellten. Infolgedessen musste das Netzwerk abgeschaltet werden. Die Auswirkungen waren weitreichend: Termine mussten storniert werden, die vertraulichsten Daten der Menschen wurden gestohlen und sogar Verfahren wie CT-Scans wurden gestoppt. Der Angriff war einer der größten Hackerangriffe auf einen Gesundheitsdienstleister in der Welt.

Auf die Lücke achten 

„Derzeit gibt es eine große Lücke in den Cybersicherheitskapazitäten des Gesundheitswesens“, sagt Christos Xenakis, Professor für digitale Systeme an der Universität Piräus in Griechenland. „Die Krankenhäuser müssen ordnungsgemäß arbeiten und unsere Daten schützen.“

Von Mai 2021 bis Juni 2022 entdeckte die EU-Cybersicherheitsagentur ENISA insgesamt 623 Ransomware-Vorfälle in Mitgliedstaaten, die dem in Irland ähneln. Das Gesundheitswesen war das fünftgrößte Ziel dieser Angriffe. Das wiederum hat zu mehr Investitionen und technologischer Entwicklung geführt, um die Industrie zu sichern. Wissenschafter, Mediziner und Regierungen ergreifen zunehmend Maßnahmen, um Szenarien wie in Irland zu verhindern.

Die Antwort liegt jedoch nicht nur in besserer Software. Bei der Cybersicherheit geht es in den meisten Fällen um Menschen und die Änderung ihres Verhaltens. Das ist eine der Schlussfolgerungen von Sabina Magalini, Professorin für Chirurgie an der Katholischen Universität vom Heiligen Herzen in Rom, Italien. Sie koordinierte ein von der EU finanziertes Projekt namens PANACEA zur Verbesserung der Cybersicherheit in Krankenhäusern. Die Initiative lief 38 Monate lang bis Februar 2022.

Menschliches Versagen

„Menschliches Versagen ist eines der größten Risiken für die Cybersicherheit in Krankenhäusern“, so Magalini. „Das Risiko liegt bei den Menschen, was logisch ist. Ein Krankenhaus ist kein Atomkraftwerk und kann nicht auf dieselbe Weise abgeschottet werden.“ In Krankenhäusern herrscht in der Regel reger Betrieb. Das Personal muss medizinische Aufgaben wahrnehmen und gleichzeitig mit einer Vielzahl von Computersystemen arbeiten. Untersuchungen im Rahmen von PANACEA ergaben, dass sich das Pflegepersonal an einem einzigen Tag oft mehr als 80 Mal in Computersysteme einloggen musste.

Dies ist zeitaufwändig und führt zu Abkürzungen, wie z. B. die Verwendung desselben Passworts durch eine Gruppe von Personen oder das Notieren von Passwörtern auf einem Blatt Papier neben dem Computer. Generell zeigte die Studie, dass das Krankenhauspersonal die Vorkehrungen zur Cybersicherheit nur unzureichend befolgte und dabei eine Lücke hinterließ, die Angreifer ausnutzen konnten. „Wir müssen die Interaktion zwischen medizinischen Fachkräften und Computern verbessern“, so Magalini. „Als Arzt oder Krankenschwester behandelt man den Patienten und benutzt gleichzeitig einen Computer. Es ist hektisch.“

Sicherheitsvorkehrungen

PANACEA hat Wege gefunden, dem Krankenhauspersonal die Einhaltung von Cybersicherheitsvorkehrungen zu erleichtern. Ein Beispiel ist Software, die ein sichereres Anmeldesystem gewährleistet. „Die Software ermöglicht die Gesichtserkennung der Mitarbeiter des Gesundheitswesens“, so Magalini. „Dies würde die Probleme, die wir heute mit Passwörtern haben, überflüssig machen.“

Im Rahmen des Projekts wurde auch mit Low-Tech-Alternativen experimentiert. Die Forscher brachten in den teilnehmenden Krankenhäusern Aufkleber und Plakate an, um das Gesundheitspersonal zur Einhaltung grundlegender Cybersicherheitsverfahren zu motivieren. Auch die Bildung muss eine Rolle spielen, was die Ärzte einschließt, so Magalini. „Die Fortbildung im Bereich der Cybersicherheit sollte in die Ausbildungsprogramme aufgenommen werden“, sagte sie.

Einfachere gemeinsame Nutzung 

Ein weiteres von der EU finanziertes Projekt mit der Bezeichnung CUREX erleichtert den Austausch von Gesundheitsinformationen zwischen Krankenhäusern. Xenakis von der Universität Piräus koordinierte das Projekt, das über 40 Monate bis März 2022 lief. „Gesundheitsdaten sind die vertraulichsten Daten, die es gibt“, sagte er. „Hacker zahlen für Gesundheitsdaten sogar mehr als für Kreditkarteninformationen.“

Wenn ein Krankenhaus Patientendaten an eine andere Gesundheitseinrichtung sendet, hat es möglicherweise keine Kenntnis über das Ausmaß der Cybersicherheitsvorkehrungen des Empfängers. CUREX hat diese Unsicherheit beseitigt. Im Rahmen des Projekts wurde eine Software entwickelt, mit deren Hilfe Sicherheitslücken in einer externen Organisation aufgespürt werden können. Das System erleichtert den medizinischen Einrichtungen den Informationsaustausch im Einklang mit den EU-Datenschutzvorschriften. „Alles dreht sich um Risikobewertung“, sagt Xenakis. „Und dazu muss man wissen, wie sicher die andere Einrichtung ist.“

Folgemaßnahmen

Europäische Forscher und Cybersicherheitsorganisationen investieren in diese Art von Antworten. Als Folgemaßnahme zu PANACEA und CUREX kofinanziert die EU die Beschaffung von Cybersicherheit für Krankenhäuser und übernimmt 50 Prozent der Kosten für neue Maßnahmen. Obwohl also weiterhin regelmäßig Angriffe auf europäische Krankenhäuser verübt werden, sehen Experten Grund zum Optimismus für die Zukunft. „Die Produkte der europäischen Anbieter von Cybersicherheit werden immer ausgereifter“, so Xenakis. „Im Gegenzug erkennen die Krankenhäuser die Notwendigkeit, neue Tools zu kaufen und ihre Sicherheit zu verbessern.“

Weitere Infos

• PANACEA
• CUREX
• Programm Digitales Europa

Von Tom Cassauwers