Es war einer der größten Cyberangriffe im Gesundheitssektor: Im Mai 2017 blockierte die Schadsoftware „Wanna Decryptor“ stundenlang den Zugang zu Patientenakten im britischen Gesundheitsdienst NHS (wie Medscape berichtete). Vielerorts ging fast nichts mehr, und Ärzte baten Patienten, nur noch im Notfall Hilfe zu suchen. Ein Artikel im neuen Journal Lancet Digital Health analysiert nun, wie es dazu kommen konnte, ob der NHS heute besser geschützt ist und wie groß die weltweite Gefahr durch Cyberattacken im Gesundheitssektor ist [1].
Einige Punkte sind durchaus auch für Deutschland relevant, wie Markus Holzbrecher-Morys, stellvertretender Geschäftsführer „IT, Datenaustausch und eHealth“ der Deutschen Krankenhausgesellschaft (DKG) gegenüber Medscape erläutert.
Die Schäden sind im Gesundheitssektor besonders hoch
„Wanna Decryptor“ war nicht speziell gegen den NHS gerichtet – die Software infizierte insgesamt 230.000 Computer in 150 Ländern. Sie verschlüsselte Dateien, und für die Freigabe sollten die Nutzer Geld zahlen. Viele große und multinationale Unternehmen waren betroffen – wie Telefonica, FedEx, Nissan und die Bank of China.
„Doch der NHS spürte ohne Zweifel die Folgen am deutlichsten“, schreiben Dr. Saira Ghafur vom Imperial College London und ihre Kollegen: „Es wurde offensichtlich, wie anfällig die Gesundheitsversorgung für Cybergefahren ist.“
Der NHS-Fall biete daher auch die Chance, dass andere Länder aus den Fehlern lernen. Ghafur und ihre Kollegen machen mehrere Faktoren aus, die die Attacke möglich gemacht haben – und die sich so auch in anderen Ländern finden lassen.
Faktor 1: Zu wenig Geld für IT-Sicherheit
Gesundheitseinrichtungen geben nur 1 bis 2% ihres Budgets für IT aus. In anderen Sektoren liegt dieser Anteil bei 4 bis 10%. „Investitionen in IT-Sicherheit haben oft keine Priorität“, beklagen die Autoren.
Daraus resultiert auch ein Mangel an qualifiziertem Personal, das auf eine Attacke schnell reagieren kann. Diese Kritik am NHS wurde bereits kurz nach dem Angriff von Patientenorganisationen geäußert, sie trifft aber offenbar auch auf viele andere Einrichtungen zu. Zugleich richtet eine Attacke im Gesundheitssektor mit 408 US-Dollar pro Kopf den größten finanziellen Schaden an – fast doppelt so viel wie in der Finanzbranche.
Den Punkt „fehlende Finanzierung“ hält Holzbrecher-Morys auch in Deutschland für relevant. Die DKG hat gerade berechnen lassen, was es ein Krankenhaus zusätzlich kostet, den IT-Sicherheitsstandard nach den neuen Vorgaben für die Funktionsfähigkeit kritischer Infrastrukturen (KRITIS) umzusetzen: „Die Höhe liegt in der Größenordnung dessen, was die Häuser bisher insgesamt für IT ausgeben können.“
Will man es also richtig machen, ginge das gesamte IT-Budget nur für die Sicherheit drauf. Das betrifft alle Krankenhäuser ab 30.000 stationären Fällen pro Jahr. „Es ist nicht so, dass das Problem den Kliniken nicht bewusst wäre“, sagt Holzbrecher-Morys, „aber angesichts der seit Jahren defizitären Investitionsfinanzierung der Bundesländer muss der Geschäftsführer dann im Zweifelsfall entscheiden, ob er die neue Firewall kauft oder das neue MRT-Gerät.“
Auch der Personalmangel trifft Deutschland: Informatiker werden in allen Branchen gesucht. „Und da konkurriert der Gesundheitsbereich mit Branchen, die deutlich besser zahlen.“
Faktor 2: Nachlässigkeit der Mitarbeiter
„Der Gesundheitssektor ist global der einzige Sektor, in dem die größten IT-Risiken von innen kommen“, konstatieren die Autoren der Lancet-Studie.
56% der weltweiten Vorfälle in 2017 wurden nur möglich, weil Angestellte sich unvorsichtig verhielten, etwa auf infizierte Links in Mails klickten oder den Zugang zu Daten missbrauchten. Beim NHS sind zwar alle Mitarbeiter zu einem Online-Sicherheitstraining verpflichtet. Doch in 2018 hätten dies nur 12% vollständig absolviert.
Faktor 3: Lange Entscheidungsprozesse
Diese Kritik richten die Autoren speziell an den NHS: „Zeitraubende Freigabeprozesse schwächen die Fähigkeit des NHS, auf neue technologische Herausforderungen zu reagieren.“
Faktor 4: Uneinheitliche Infrastruktur
Innerhalb des NHS sind viele verschiedene Systeme im Einsatz, analysieren die Autoren: „Nach unserem Wissen gibt es keine Auflistung, in der systematisch alle verwendete Soft- und Hardware verzeichnet ist. Dadurch gibt es auch kein Bewusstsein für Schwachpunkte.“
Zwar soll im Juli 2019 eine neue Einheit „NHS X“ ihre Arbeit aufnehmen und die Digitalisierung des Gesundheitsdienstes koordinieren: „Ob dies aber die Probleme der verschiedenen Zuständigkeiten beseitigt, muss sich noch zeigen.“
Deutscher Datenschutz wirkt
Cyberattacken nehmen generell zu, stellen die Autoren fest, auch im Gesundheitsbereich. 2018 stahlen Hacker die Daten von 1,5 Millionen Patienten in Singapur, darunter auch die des Premierministers.
Gegen einen gezielten Daten-Diebstahl sieht Holzbrecher-Morys die deutschen Krankenhäuser inzwischen besser gerüstet: „Der deutsche Datenschutz war schon immer hoch, und auch das Bundesamt für Sicherheit in der Informationstechnik ist für den Gesundheitsbereich gut aufgestellt.“
Schon vor der Datenschutz-Grundverordnung (DSGVO) war der Zugriff auf Patientenakten nur den Mitarbeitern erlaubt, die im Rahmen ihrer Tätigkeit den Zugriff auch benötigen: „Der datenschutzgerechte Umgang mit Patientendaten ist schon lange Pflicht und wird seitens der Aufsichtsbehörden auch aktiv kontrolliert“, so Holzbrecher-Morys.
Neue Zeitschrift
Mit dem Lancet Digital Health legt der Lancet ein neues Journal auf. „Unser Ziel ist es, die Debatte anzuführen über praktische digitale Anwendungen, die die Chancen und Risiken von Technologie im Gesundheitswesen im Gleichgewicht halten“, schreiben die Herausgeber in ihrem ersten Editorial.
Lancet Digital Health erscheint monatlich und ist frei zugänglich. Zum wissenschaftlichen Beirat gehört unter anderen auch Prof. Dr. Marianne Pavel, Leiterin des Schwerpunkts Endokrinologie und Diabetologie am Universitätsklinikum Erlangen.
Medscape Nachrichten © 2019 WebMD, LLC
Diesen Artikel so zitieren: Cyberattacke auf den NHS: Was Gesundheitseinrichtungen in anderen Ländern daraus lernen können - auch in Deutschland - Medscape - 1. Jul 2019.
Kommentar