Einleitung

Als am Morgen des 27. Februar 2018 sogar die Telefone ausfielen, schlugen die Mitarbeiter des Notfallzentrums Alarm. An diesem Tag erlebte das Berner Inselspital den schwerste Informatikausfall seiner Geschichte, der ganze drei Tage andauerte. Operationen mussten verschoben werden, essentielle Systeme waren nicht mehr funktionsfähig und Patientendaten waren unzugänglich.

Unklarheit über die Ursache

Ob dieser Vorfall auf einen Hackerangriff zurückzuführen war, bleibt bis heute unklar, da die Ermittlungen der Staatsanwaltschaft keine klaren Ergebnisse brachten. Angesichts der häufigen Cyberangriffe auf Spitäler und Arztpraxen – zuletzt betroffen die Westschweizer Praxisgruppe Vidymed – wäre ein solcher Angriff jedoch nicht unerwartet.

Gravierende Sicherheitsmängel

Ein neuer Bericht des Nationalen Testinstituts für Cybersicherheit (NTC) offenbart nun, dass Cyberkriminelle in der Schweiz relativ leichtes Spiel haben. Die Untersuchung ergab gravierende Sicherheitsmängel in verschiedenen IT-Systemen, die in Schweizer Kliniken verwendet werden. Einige Schwachstellen sind so offensichtlich, dass Angreifer innerhalb weniger Stunden vollständigen Zugriff auf die Klinikinformationssysteme und die darin enthaltenen Patientendaten erlangen könnten.

Überprüfung von IT-Systemen

Das Testinstitut überprüfte drei gängige Systeme, darunter das neue IT-System der Insel-Gruppe, das im März 2022 für 83 Millionen Franken vom US-Unternehmen Epic eingeführt wurde. Epic wird weltweit in über 2000 Spitälern eingesetzt, während es in der Schweiz derzeit nur in der Inselgruppe und im Kantonsspital Luzern verwendet wird. Weitere Kliniken, wie das Unispital Zürich, planen jedoch, auf das Epic-System umzusteigen.

Dringlichkeit der Sicherheitsüberprüfung

Das NTC möchte nicht öffentlich bekanntgeben, welches System am anfälligsten für Angriffe ist, um nicht potenzielle Angreifer zu animieren. Tobias Castagna, ein Vertreter des NTC, betont die Notwendigkeit, sich den allgemeinen Sicherheitsproblemen in der Branche zu widmen. Kommt es zu einem Ausfall des Klinikinformationssystems, ist dies katastrophal für den Betrieb, da dort wichtige Patientendaten gespeichert und viele administrative Prozesse gesteuert werden.

Forderung nach Verantwortung

Castagna fordert sowohl die Spitäler als auch die Hersteller dazu auf, ihre Verantwortung für die IT-Sicherheit ernst zu nehmen. Die Kliniken müssen Sicherheitsstandards bei den Herstellern einfordern und diese regelmäßig überprüfen. Leider gehen viele Einrichtungen fälschlicherweise davon aus, dass die Hersteller proaktiv für ihre Sicherheit sorgen.

Reaktion der Insel-Gruppe

Die Insel-Gruppe plant nun, die Ergebnisse des Berichts eingehend zu analysieren, bevor sie öffentlich Stellung bezieht. Sie möchte nachweisen, dass sowohl sie als auch die Hersteller ein großes Interesse daran haben, Sicherheitsmängel zu identifizieren und zu beseitigen. Diese Lücken sollen „stufenweise und risikobasiert“ geschlossen werden.

Positives Gesamtbild trotz Mängel

Trotz der Kritik hebt das Inselspital hervor, dass der Bericht insgesamt ein positives Bild des Klinikinformationssystems zeichne und betont, dass Cybersicherheit während der Produktentwicklung Priorität hatte. Das Unternehmen sieht sich dementsprechend in seiner Entscheidung bestätigt.

Vergangenheit und aktuelle Kritik

Allerdings ist dies nicht das erste Mal, dass die IT des Inselspitals in der Kritik steht. Bereits 2019 wurde von der Datenschutzaufsichtsbehörde im Kanton Bern auf „grobe Mängel“ hingewiesen, die das Risiko eines unkontrollierten Datenabflusses darstellten. Zu diesem Zeitpunkt betrieb das Inselspital noch etwa 50 verschiedene Systeme, die inzwischen alle von Epic abgelöst wurden.

Expertise und Anstoß zur Verbesserung

Der Geschäftsführer von Dreamlab Technologies, Nicolas Mayencourt, zeigt sich über die jüngsten Enthüllungen nicht überrascht. Er erklärt, dass die Sicherheit der Informatiksysteme in Schweizer Spitälern seit mehreren Jahren besorgniserregend sei. Dreamlab hatte bereits 2020 Sicherheitsprüfungen durchgeführt und erhebliche Schwachstellen gefunden, aber viele Jahresberichte zeigen, dass sich die Situation nicht ausreichend verbessert hat.

Priorität der IT-Sicherheit

Mayencourt führt dies darauf zurück, dass in vielen Spitälern IT-Sicherheit nicht ausreichend priorisiert wird. Im Gegensatz zu Banken, wo Sicherheit traditionell eine hohe Bedeutung hat, ist das Thema in der medizinischen Versorgung oft noch relativ neu.

Zunahme der Vernetzung

Die rapide Zunahme der Vernetzung von medizinischen Geräten und Informatik schafft zahlreiche Schnittstellen, die potenzielle Einfallstore für Angreifer darstellen. Es ist höchste Zeit, dass Spitäler und Hersteller gemeinsam Maßnahmen ergreifen, um die Cybersicherheit zu verbessern und die Patientendaten zu schützen.

Abschluss und Ausblick

Bleiben Sie sicher! Abonnieren Sie unseren Newsletter, um immer auf dem Laufenden über die neuesten Entwicklungen in der Cybersicherheit im Gesundheitswesen zu bleiben.