LMIShealth Niels Stensen Kliniken mobile App Krankenhaus Notaufnahme Osnabrück
LMIS HEALTH erstellt mobile App für die Notaufnahme im Krankenhaus
3. März 2016
Alle anzeigen

Hacker-Angriffe auf Krankenhäuser: Welche Auswirkungen haben sie und wie lassen sie sich vermeiden?

LMIShealth Hacker Angriffe Angriff Krankenhaus Neuss

Hacker-Angriffe auf IT-Systeme von Krankenhäusern nehmen zu. Die aktuell bekannt gewordenen Angriffe auf das Lukaskrankenhaus in Neuss und Klinken in Kleve und Kalkar sind keine Einzelfälle. Wir von der LMIS AG haben aufgrund der Aktualität des Themas zusammengetragen, welche Auswirkungen solche Angriffe speziell auf Gesundheitseinrichtungen haben und wie man sie vermeiden kann.


Der Fall in Neuss: Was war passiert?

Das Lukaskrankenhaus in Neuss kann momentan wegen eines Cyberangriffs nur eingeschränkt arbeiten. Unbekannte Hacker hatten die IT mit einer Schadsoftware infiziert. Der Virus wurde vermutlich über eine E-Mail mit einem schädlichen Anhang versendet. Er konnte sehr wahrscheinlich in das System eindringen, da der Anhang von einem Mitarbeiter des Krankenhauses unbewusst geöffnet worden vor. Daraufhin meldeten am Mittwoch, den 10. Februar 2016, mehrere Mitarbeiter des Hospitals Fehlermeldungen und Verzögerungen im System. Die Klinik-Leitung entschied sich dazu, sämtliche Systeme vorsorglich herunterzufahren, um die sensiblen Patientendaten vor den Hackern zu schützen.
Dr. Andreas Kremer, Sprecher des Lukaskrankenhaus, erklärte: „Es handelt sich um Malware, einen schädlichen Virus, wie er in den vergangenen Tagen und Wochen gehäuft per Mail verschickt wurde. Jetzt hat es auch unser Krankenhaus getroffen. Es handelt sich aber nicht um eine gezielte Attacke.“


Drastische Auswirkungen: „Arbeiten wie vor 15 Jahren“

Sämtliche IT-Systeme seien heruntergefahren worden. Im Krankenhaus werde nun wie vor 15 Jahren gearbeitet: Es werde gedruckt und gefaxt, Befunde werden mit Boten übermittelt, so eine Sprecherin.
Was das bedeutet, kann man sich schnell ausmalen: Die bekannten Prozesse können nicht mehr eingehalten werden, was zu starken Verzögerungen im Arbeitsablauf führt. Während normalerweise zum Beispiel Röntgenaufnahmen automatisch digital abgelegt und vom Facharzt im Behandlungszimmer ganz einfach auf dem Computer aufgerufen werden können, müssen die Aufnahmen nun ausgedruckt und dem jeweiligen Arzt im entsprechenden Behandlungszimmer vorgelegt werden – das kostet Zeit.
Rund 20 Prozent der geplanten Operationen kann das 540-Betten-Hospital in Neuss momentan aufgrund des Angriffs und dem damit verbundenen IT-Systemausfall nicht durchführen. Die Notaufnahme bleibe zwar geöffnet, schwerere Fälle würden derzeit aber nicht aufgenommen und an andere Kliniken delegiert, hieß es von Seiten des Lukaskrankenhauses. Die Versorgung der Patienten auf allen Stationen sei jedoch sichergestellt.
Die schädliche Software in Neuss ist schwer in den Griff zu bekommen, da sich der Code stündlich verändere, wie die Sprecherin des Krankenhauses berichtete. Das erschwere die Installation eines Antivirenprogramms. Derzeit arbeiten IT-Fachleute an einer Lösung, um die Schadsoftware auszuhebeln. Ab heute Abend soll sie nach und nach auf den IT-Systemen ausgeführt werden, um den Virus zu entfernen. Der Krankenhausprecher teilte mit, dass es jedoch noch bis Ende dieser Woche dauern könne, bis der Betrieb wieder normal laufe.

Beliebtes Ziel für Hacker: IT-Systeme von Gesundheitseinrichtungen

Da es sich bei Krankenhaus-Anwendungen um sensible Daten dreht, sind Gesundheitseinrichtungen für Hacker ein besonders beliebtes Ziel. Deshalb waren IT-Systeme von Krankenhäusern schon in der Vergangenheit vermehrt Angriffen ausgesetzt. Die Krankenhausgesellschaft KGNW berichtete von einem besonderen Fall, der sich im August zugetragen hat: Eine Klinik aus dem Ruhrgebiet wurde mit einer Virenattacke erpresst. Es erschien ein Hinweis, dass nach einer Geldzahlung der Virus wieder eliminiert werden würde. Ein vergleichbarer Erpressungsversuch sei aus einer Arztpraxis in Baden-Württemberg bekannt geworden.
Hackerangriffe auf Gesundheitseinrichtungen, wie aktuell auf mehrere Kliniken in Nordrhein-Westfalen, sind also keine Einzelfälle und werden es vermutlich auch nicht bleiben. Healthcare-Unternehmen sollten deshalb besonders darauf achten, ihre IT-Systeme so gut wie möglich zu schützen, um Angriffe präventiv zu vermeiden. Neben Anti-Virus-Lösungen gehören dazu auch sichere Software-Lösungen, professionelle Backup-Konzepte und ein Performance Management, um Auslastungen im Blick zu behalten. Wenn Krankenhäuser diese Kompetenzen mit eigenen IT-Experten nicht abdecken können oder wollen, sollten sie auf erfahrene Spezialisten wie die LMIShealth zurückgreifen.
Das Lukaskrankenhaus in Neuss hat glücklicherweise regelmäßig Backups seiner Systeme erstellt – dadurch sind nun trotz des Angriffs noch alle Daten vorhanden. Der Virus hat nämlich dafür gesorgt, dass alle Daten verschlüsselt wurden und somit für das Krankenhaus unbrauchbar geworden sind. Sobald die IT-Systeme wieder stabil laufen, muss lediglich das Backup wiederhergestellt werden und der Betrieb kann da wieder aufgenommen werden, wo er aufgehört hat. Undenkbar die Auswirkungen, wären solche Backups nicht regelmäßig gemacht worden.


Wie kann man Hacker-Angriffe verhindern?

Viele Krankenhäuser bieten mit ihren unzureichenden Firewalls in der Medizintechnik denkbar leichte Angriffs-punkte für Hacker. Firewalls sind aber bei weitem nicht der einzige wichtige Aspekt, wenn es um eine Absicherung der IT-Systeme geht. Regelmäßige Backups und ein professionelles Application Monitoring, um Engpässe in der Performance frühzeitig zu erkennen, sind ebenso unerlässlich.
Eine ebenso zentrale Rolle spielt neben der Hardware aber auch die Software. Healthcare-Unternehmen sollten darauf achten, ihre Anwendungen gemäß dem Medizinproduktegesetz (MPG) entwickeln zu lassen. Dieses Gesetz soll für Sicherheit, Eignung und Leistung eines Medizinproduktes zum Schutze Dritter sorgen. Darüber hinaus gibt es verschiedene Normen, z. B. die Norm DIN EN ISO 13485, die die spezifischen Anforderungen an Qualitätsmanagementsysteme in der Medizinproduktebranche beschreibt, oder die DIN EN ISO 14971, die nicht obligatorische Regularien zum Risikomanagement empfiehlt. Bei der Auswahl eines IT-Dienstleisters sollten Gesundheitseinrichtungen darauf achten, dass entsprechendes Know-how und langjährige Erfahrungen in diesem Fachbereich bezüglich dieser gesetzlichen Auflagen vorhanden sind.


Sprechen Sie uns gerne an, wenn Sie als Healthcare-Unternehmen Beratung wünschen.
Wir verfügen über langjährige IT-Kompetenz im Gesundheitswesen bzw. Healthcare Sektor. Wir unterstützen Sie gerne durch Beratung, Umsetzung Ihrer Projekte sowie im Betrieb.