Healthcare-IT

Die technischen und organisatorischen, finanziellen und auch juristischen Aufarbeitungen eines Hackerangriffs übersteigen die Lösegeldzahlungen um ein Vielfaches. Für Krankenhäuser ist ein besonders hohes Risiko mit den digitalen Patientenakten verbunden – denn diese Dokumente fallen unter die DSGVO-Bestimmungen. Und aufgrund der Risiken, die eine Verletzung der Vertraulichkeit von Gesundheitsdaten mit sich bringen kann, gehen Juristen davon aus, dass bei deren Sicherung höhere Maßstäbe anzulegen sind. Werden sie gehackt, gestohlen, verschlüsselt und später im Darknet veröffentlicht, stehen die Verantwortlichen vor unabsehbaren Herausforderungen, warnen Juristen.

So müssten sofort nach einem Cybereinbruch alle möglicherweise betroffenen Patienten darüber informiert werden, dass ihre Akten in den Händen von Kriminellen sein könnten. Da schlimmstenfalls das Administrationsteam in die verschlüsselten Datenbanken keinen Einblick geben kann, ist nicht zu ermitteln, wer genau in welcher Weise betroffen ist. Jetzt beginnt für viele Verantwortliche ein Albtraum: Nur allzu gerne nutzen die Angreifer und deren Kunden aus dem Darknet die Informationen aus den erbeuteten Unterlagen, um den Patientinnen und Patienten Schaden zuzufügen, sie zu erpressen oder bloßzustellen. 

Hightech ohne Sicherheit in der Healthcare-IT

Dem Management droht eine endlose Kette an Klagen, Vorwürfen, Rufschädigungen. Damit wird das finanzielle Risiko nach dem Angriff völlig unkalkulierbar.

Wegen des fehlenden Verständnisses für IT-Security kritisieren Sicherheitsexpertinnen und -experten häufig das Management von Krankenhäusern. Mit Blick auf die medizinischen Geräte sei es besonders unverständlich, dass sich die Verantwortlichen zwar gerne mit ihrer Hightech-Ausstattung schmücken, aber andererseits nicht sehen, welche Risiken sie mit genau dieser Hochtechnologie in ihre Kliniken bringen. 

Viele Krankenhausmanager scheinen das Problem nicht zu sehen oder ignorieren es. Das hat auch damit zu tun, dass Sicherheit und Informationstechnologie nicht den Geschäftszweck eines Krankenhauses darstellen. Deshalb sind die IT-Abteilungen typischerweise vergleichsweise klein, deren Budgets häufig gering, das Know-how oft nur auf Administration und das Tagesgeschäft beschränkt. 

Wenn Wirtschaftsverantwortliche in einem Krankenhaus vor der Entscheidung stehen, Geld auszugeben, ist es die Erfahrung vieler Sicherheitsexpertinnen und -experten, dass diese Entscheidung in den allermeisten Fällen für die Medizintechnik und gegen den Sicherheitsbereich ausfällt.

Krankenhäuser sind oft leichte Beute

Viele Krankenhäuser halten sich für geschützt, weil sie im Vergleich zu großen Industriebetrieben oder Konzernen eher klein sind. Sie hoffen, dass sie unter dem Radar der Hackerbanden verschwinden. Das ist ein häufig vorkommender Irrtum. Tatsächlich recherchieren viele Banden sehr penibel die finanziellen Möglichkeiten ihrer Opfer. Für die Forderungen nach Lösegeld für gestohlene oder verschlüsselte Patientenakten machen sie dann oft maßgeschneiderte Angebote, die ihrer Meinung nach erfüllbar sind. Bei diesen Verhandlungen sollte das Management der Krankenhäuser immer bedenken, dass das geforderte Lösegeld nur ein Bruchteil der Folgekosten ausmachen wird.