Berlin - Die Bekämpfung der Pandemie ist offenbar auch einem Risiko ausgesetzt, das in der Krise massive Folgen haben könnte. Bei mindestens einem Drittel der Krankenhäuser in Deutschland ist die IT-Sicherheit mangelhaft. In vielen Kliniken sind Server und Software veraltet, Datenbanken werden nur mit einem Passwort gesichert. Der Schutz vor Hackerangriffen ist lückenhaft. Es gibt sogar Krankenhäuser, in denen alte Windows 2003 Server im Einsatz sind, die seit 2015 von Microsoft kein Sicherheitsupdate mehr erhalten.

Das ist das Ergebnis einer Untersuchung durch IT-Experten des Berliner Beratungsunternehmens Alpha Strike Labs, der österreichischen Firma Limes Security und eines Fachmannes aus der Universität der Bundeswehr in München. Analysiert wurden im November und Dezember 2020 öffentlich erreichbare Zugänge in die Netze von 1555 Krankenhäusern. Bei 36 Prozent waren Defizite zu erkennen. Es seien mehr als 900 „kritische Schwachstellen“ identifiziert worden, sagte der Geschäftsführer von Alpha Strike, Johannes Klick, dem Tagesspiegel. Das Papier soll im Mai bei der „CyCon“, der Cybersicherheits- Konferenz der Nato, vorgestellt werden. Eine Zusammenfassung hat das Programmkomitee der CyCon bereits akzeptiert.

Alpha Strike hatte im vergangenen Jahr bereits gravierende Mängel bei der IT-Sicherheit der Berliner Wasserbetriebe festgestellt. Es bestand die Gefahr, dass die Abwasserentsorgung durch Hackerangriffe lahmgelegt würde. Darüber hatte der Tagesspiegel berichtet. Die Wasserbetriebe begannen dann mit dem Umbau der IT-Sicherheit. Ähnliche Prozesse sind offenbar auch bei vielen Krankenhäusern notwendig.

Wie gefährlich Attacken auf Schwachstellen in der IT von Krankenhäusern sein können, zeigte sich im September 2020 in Nordrhein-Westfalen. Eine schwerkranke 78-jährige Frau konnte nicht in Universitätsklinikum Düsseldorf gebracht werden, weil mutmaßlich russische Hacker die Notfallversorgung lahmgelegt hatten. Die Patientin musste ins 25 Kilometer entfernte Wuppertal transportiert. Kurz danach starb sie.

Die IT-Experten von Alpha Strike, Limes und Bundeswehr-Universität schauten sich bei den 1555 Krankenhäusern insgesamt 13 497 Websites, E-Mail- und Datei-Server sowie weitere Netzwerkdienste an. Zum Einsatz kam eine von Alpha Strike entwickelte Recherchesoftware. Ausgewertet wurden Daten mit einem Volumen von insgesamt 1483 Gigabyte. Von den analysierten Netzwerkdiensten seien 32 Prozent „schwachstellenbehaftet“, sagte Klick. Schon bei mehr als der Hälfte der Kliniken war über die Server erkennbar, welche Software verwandt wird. Das könnte Hackern erleichtern, Angriffsstrategien zu entwickeln.

Die Experten überraschte, dass auch Kliniken, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) als „Kritische Infrastruktur“ und damit als hochgradig sicherheitssensibel einstuft, gefährdet sind. Es handelt sich um Krankenhäuser mit mindestens 30 000 stationären Fällen im Jahr. Die Zahl dürfte in der Coronakrise weit überschritten werden. Die zur Kritischen Infrastruktur zählenden Krankenhäuser tragen schon angesichts ihrer Größe die Hauptlast bei der Behandlung von Covid-19-Patienten. Die IT-Experten hatten vor ihrer Recherche erwartet, dass gerade diese Kliniken gut vor Hackerattacken geschützt seien.

Doch auch dort werde die IT-Sicherheit „offensichtlich nicht professioneller gehandhabt“, sagte Klick. Festgestellt worden sei sogar eine „höhere Anzahl an Schwachstellen“ als bei kleineren Krankenhäusern. Die so genannten Kritis-Krankenhäuser müssen den Stand ihrer IT-Sicherheit regelmäßig dem BSI nachweisen. Die Kontrollen, vor allem die technische Überprüfung, reichten offenbar nicht aus, sagte Klick.

Die Namen der Kliniken, deren IT-Sicherheit getestet wurde, nennen die Experten nicht. Sie wollen Hackern keine Hinweise auf lohnende Angriffsziele geben. In der Studie sind lediglich Landkarten abgebildet, auf denen blaue Punkte die über die Bundesrepublik verstreuten Standorte mit Schwachstellen andeuten. Demnach ist das ganze Land betroffen. Schwerpunkte sind Berlin und Umgebung, das Ruhrgebiet sowie Regionen im Südwesten.

Dass deutsche Krankenhäuser oft nur mäßig gegen Cyberangriffe geschützt sind, weiß auch Bundesgesundheitsminister Jens Spahn (CDU). Auf der Website seines Hauses wird verkündet, seit dem 1. Januar stelle das Bundesamt für Soziale Sicherung über einen „Krankenhauszukunftsfonds“ drei Milliarden Euro bereit, die in Notfallkapazitäten, Digitalisierung und auch die IT-Sicherheit von Kliniken investiert werden sollen. Von den Ländern kommen weitere 1,3 Milliarden Euro. Bei Anträgen auf Fördermittel aus dem Fonds muss nachgewiesen werden, dass 15 Prozent für die Verbesserung der IT-Sicherheit eingesetzt werden. So sieht es das im Oktober 2020 vom Bundestag beschlossene Krankenhauszukunftsgesetz vor. Klick hofft nun auf erste Fortschritte, „das ist ein Schubs in die richtige Richtung“.

Der IT-Experte und seine Partner wurden bei ihrem bundesweiten Test ohne Auftrag tätig. Es gehe darum, das Risikobewusstsein der Krankenhäuser zu schärfen, sagte Klick. Er und die Kollegen appellieren an den Staat, den digitalen Schutz von Krankenhäusern sicherzustellen. Da gebe es deutlichen Nachholbedarf.

Ganz uneigennützig ist das Engagement von Klick und den weiteren Experten natürlich nicht. Sie hoffen, ihr Know how werde für die Verbesserung der IT-Sicherheit von Krankenhäusern und auch bei anderen Kritischen Infrastrukturen nachgefragt. Bei den Berliner Wasserbetrieben hatte Alpha Strike einen heilsamen Schock ausgelöst.

Der Notfall. Wenn die Versorgung von schwer kranken Patienten wegen Cyberattacken nicht gewährleistet ist, müssen sie verlegt werden – mit teils schweren Folgen. Foto: Agentur 54 Grad/Imago