Vor zwei Wochen hatten Hacker die Universitätsklinik in Düsseldorf attackiert. Es kam zu einem IT-Ausfall, eine Notfallspatientin musste in ein anderes Krankenhaus transferiert werden, starb dort aber – weil sich durch die Transport der Start der Behandlung verzögerte. Das wird leider kein Einzelfall bleiben, die Hackerattacken auf Spitäler und Gesundheitseinrichtungen werden zunehmen, weil diese zum Großteil noch nicht erkannt haben, dass sie Ziel von Cyberattacken sein können. Die Gesundheitsbranche hat kein Immunsystem gegen Cyberattacken.

Die Ransomware WannaCry, die 2017 hunderttausende Computer auf der ganzen Welt lahm legte, machte vor allem dem Gesundheitssystem zu schaffen – in England wurden 80 von 236 Krankenhäusern des britischen National Health Service angegriffen, in Schottland wurden 14 Krankenhäuser Opfer der Erpressersoftware. Weil die Ransomware den Zugang zu den medizinischen Dokumentationen sperrte, mussten die Patienten in andere Kliniken umgeleitet werden. Diese Umleitung, die auch für Akutpatienten mit einer längeren Anfahrt in ein anderes Krankenhaus verbunden war, kostete vermutlich, nein, ganz sicher sogar, Menschenleben.

Die Sterblichkeit an „Marathontagen“

Das „The New England Journal of Medicine“ veröffentlichte im Frühjahr 2017 den Forschungsbericht „Delays in Emergency Care and Mortality During Major U.S. Marathons„. Vier Wissenschaftler gingen darin der Frage nach, ob in Städten, in denen ein Marathon stattfindet, die Sterblichkeitsrate innerhalb von 30 Tagen aufgrund der Veranstaltung steige und ob das Notfallsystem dadurch beeinträchtigt sei. Die Forscher kamen zu dem Schluss: Menschen, die an den betreffenden Daten, also an „Marathontagen“, mit Herzinfarkt oder Herzstillstand in Krankenhäuser eingeliefert wurden, hatten nicht nur längere Krankentransportzeiten (4,4 Minuten länger), sie wiesen auch eine höhere Sterblichkeitsrate innerhalb dieser 30 Tage auf.

Gesundheitsbranche ist nachlässig

Und wer nun glaubt, dass die Gesundheitsbranche nach den Ransomware-Erfahrungen mit WannaCry und diversen Studien geläutert ist, irrt. Die Schweizer Cybersecurity-Firma Dreamlab hat 281 Kliniken in der Schweiz analysiert und fand dabei hunderte Schwachstellen, die oft auf veraltete Betriebssysteme oder schlechte Firewalls zurückzuführen waren. Insgesamt hat Dreamlab 60 kritische Punkte entdeckt. Über diese könnten Hacker Logindaten stehlen und damit folglich auch Patientendaten, von Befunden bis zu Röntgenbildern, entwenden. Viele dieser medizinischen Geräte laufen auf alten, beziehungsweise veralteten Versionen von Windows, die bekanntermaßen zahlreiche Sicherheitslücken aufweisen. Es ist nicht nur in der Schweiz so, auf der ganzen Welt arbeiten Spitäler nach wie vor auf veralteten Betriebssystemen. Im Sommer 2019 wurden Spitäler des Deutschen Roten Kreuzes (DRK) in Rheinland-Pfalz und im Saarland Opfer von Cyberattacken. Auf der ganzen Welt verlassen sich Mediziner auf die Digitalisierung im Gesundheitssystem. Allerdings vergessen die Spitalserhalter und IT-Verantwortlichen mitunter die IT-Sicherheit.

Der Klinikhack: Pionierarbeit im medizinischen Bereich

Dr. Jeff Tully und Dr. Christian Dameff sind Pioniere im medizinischen Cybercrimebereich. Tully bezeichnet sich selbst als Arzt, »ethischer Hacker«, Forscher und Anwalt für Patientensicherheit. Dameff ist Medical Director of Cybersecurity an der University of California San Diego und zählt ebenso zur Gruppe der ethischen Hacker. Die beiden Mediziner waren unter den Ersten, die erkannt haben, dass Cybercrime für die Medizin eine immense Bedrohung darstellt.

Bereits 2017 simulierten sie einen Hackerangriff auf ein Krankenhaus und, im Schatten des Lösegeldangriffs der Ransomware WannaCry, veranstalteten sie das erste CyberMed-Summit mit dem thematischen Schwerpunkt: IT-Sicherheitsprobleme im medizinischen Bereich. Ziel der beiden Vorkämpfer war es, Gerätehersteller und Sicherheitsforscher zu einer enge- ren Zusammenarbeit zu bewegen sowie Krankenhausbetreiber und sämtliche Organisationen des Gesundheitswesens davon zu überzeugen, dass sie ihren Fokus künftig auf IT-Sicherheit legen sollen: „Wir wollen weder die Patienten in Panik versetzen, noch würden wir ihnen davon abraten, lebensrettende Geräte wie Herzschrittmacher oder Insulinpumpen zu nutzen, denn die Vor- teile dieser Geräte sind immer noch deutlich höher als die Gefahren, die eine mögliche Cyberattacke darstellt. Aber die Hersteller sollen dazu verpflichtet werden, das Problem ernst zu nehmen.“

Wenn der OP-Computer deaktiviert wird

Im Rahmen des CyberMed-Summits führten Tully und Dameff den ersten simulierten Klinikhack durch, der, wie im Falle des Herzschrittmachers, auf einer echten Sicherheitslücke basierte. Ein Schauspieler schlüpfte in die Rolle eines Patienten, dessen Herzschrittmacher gehackt wird. Man muss in diesem Zusammenhang aber nochmals darauf hinweisen, dass es bis dato keinen offiziell registrierten Fall von Herzschrittmacher-Hacking gab. Weder der amerikanischen FDA noch dem deutschen BfArM wurde bisher ein Hack dieser Art gemeldet. Die Hersteller sind sich aber des vorhandenen Risikos inzwischen bewusst. Zurück zur Simulation auf dem CyberMed-Summit. Simuliert wurde nicht nur der Cyberangriff auf einen Herzschrittmacher, sondern auch der Hack eines CT-Scanners. Einen Hack dieser Art muss man sich folgendermaßen vorstellen: Wenn Hightech-Geräte, wie ein CT-Scanner, von einem Computervirus, beziehungsweise von einem Erpressungstrojaner übernommen werden, ploppt üblicherweise folgende Meldung auf: »Ooops, your files have been encrypted.« Neben einer ausführlichen Beschreibung davon, was soeben mit dem Gerät geschehen sei, gibt es eine Anleitung darüber, wie man wieder an seine Daten herankommen kann: „If you want to decrypt your files, you have to pay“ – die Erpresser stellen sofort klar, welche Summen wohin zu überweisen sind. Die Überweisung erfolgt dann meist in Bitcoins.

Panik im Behandlungsteam

Die Simulation löste Panik im Behandlungsteam aus, „weil die wenigsten wissen, was zu tun ist, wenn es zu einem Ausfall der IT kommt“, sagt Jeff Tully. Er hält Ransomware-Angriffe für eines der gefährlichsten Szenarien, da solche Attacken gleichzeitig eine Vielzahl von Geräten und Infrastrukturen mit gemeinsamen Betriebssystemen beeinträchtigen können. „Jedes Gerät, das sich mit einem Netzwerk verbindet, das selbst angreifbar ist oder bereits angegriffen wurde, wird selbst angreifbar“, so Tully. Da die Vernetzung in den Krankenhäusern zunimmt, die Menschen sich auch selbst vermessen und mit Sensoren in verschiedensten Wearables – von der Fitnessuhr bis zum Sleeptracker – den Ist-Zustand ihrer Lebensführung und ihres Körpers erfassen, ist es wichtiger denn je, auf Sicherheit Wert zu legen. Wer seine Lebensqualität mit solchen und ähnlichen Gadgets verbessern möchte, sollte auch um die Risiken wissen und dementsprechend handeln.

Hippokratischen Eid für vernetzte medizinische Geräte

Ob Patienten, Ärzte oder Krankenschwestern, Klinikverwalter, Krankenkassen oder Medizingerätehersteller – jede einzelne Gruppe muss sich bewusst sein, dass alle Geräte, die vernetzt sind, auch manipuliert werden können. Genauso wie auch Geräte aus dem nichtmedizinischen Bereich durch Computerviren infiltriert, manipuliert oder zerstört werden können. Das ist auch einer der Gründe, warum die US-Organisation »I Am The Cavalry« den folgenden „Hippokratischen Eid für vernetzte medizinische Geräte“ entwickelt hat:

„I will revere and protect human life, and act always for the benefit of my patients. I recognize that all systems fail; inherent defects and adverse conditions are inevitable. Capabilities meant to improve or save life may also harm or end life“.

Mehr im Buch „Internet of Crimes“.

+ Wie Patientendaten ins Darknet kommen

+ Wie und warum Hacker künftig auch CT-Aufnahmen manipulieren

+ Wie sicher sind Herzschrittmacher und Insulinpumpen

+ Wie das Internet of Bodies funktionieren wird