Ransomware: Cyberangriffe auf große deutsche Krankenhäuser gehen zurück
Berichten zufolge steigt die Zahl von IT-Angriffen auf Kliniken stets. Zumindest für einschlägige sehr kritische Einrichtungen hierzulande gilt dies aber nicht.
(Bild: greenbutterfly/Shutterstock.com)
Cyberangriffe auf Krankenhäuser und Pflegeinstitutionen können nicht nur hohe wirtschaftliche Schäden verursachen, sondern auch Leben kosten. Medienberichten zufolge sind die Zahlen solcher Attacken in den vergangenen Jahren deutlich angestiegen. Tatsächlich gilt dies zumindest für besonders große Kliniken hierzulande aber nicht. So weist die offizielle Statistik für Krankenhäuser, die unter die Verordnung zur Bestimmung kritischer Infrastrukturen (Kritis) nach dem Gesetz für das Bundesamt für Sicherheit in der Informationstechnik (BSI) fallen, für 2019 zwar insgesamt 61 solche Vorfälle aus. Das war ein deutliches Plus gegenüber 2018. Seither sind die Zahlen aber rückläufig.
Dies geht aus einer jetzt veröffentlichten Antwort der Bundesregierung auf eine Anfrage der CDU/CSU-Bundestagsfraktion hervor. Demnach wurden 2021 und 2022 je 35 und 2023 noch 21 IT-Angriffe auf sehr große Kliniken registriert. 2024 gab es bislang drei solche Vorkommnisse. Ein Krankenhaus gilt bei über 30.000 vollstationären Fällen pro Jahr als eine einschlägige kritische Anlage. Für Kliniken, die nicht unter die Kritis-Verordnung fallen, bestehen keine bundesrechtlichen Meldepflichten einer Cyberattacke. Aus den Zahlen können der Exekutive zufolge auch "keine gesamtheitlichen Muster erkannt werden, die über diesen Bereich hinausgehen".
Seit 2022 müssen alle Kliniken die IT-Sicherheit stärken
Dem BSI-Lagebericht 2023 zufolge sei derzeit die allgemeine Cyberbedrohungslage hoch, schreibt das federführende Bundesgesundheitsministerium. Die verschiedenen Tätergruppierungen unterschieden nicht zwischen Akteuren der Wirtschaft und des Gesundheitssystems. Cyberattacken zielten prinzipiell "auf die Grundwerte der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit." Üblicherweise werde durch Verschlüsselung von Daten durch Ransomware die Arbeitsfähigkeit von Krankenhäusern gestört und die Vertraulichkeit von Patienteninformationen kompromittiert. 2020 sorgte ein Cyberangriff auf die Düsseldorfer Uni-Klinik für Schlagzeilen. Eigentlich wollten die Täter wohl die Heinrich-Heine-Universität vor Ort treffen. Sie gaben die Schlüssel für die Datenentsperrung heraus. Trotzdem musste eine lebensbedrohlich erkrankte Patientin in ein anderes Krankenhaus eingeliefert werden, wo sie kurz darauf starb.
Mit dem Patientendaten-Schutzgesetz sind der Regierung zufolge seit Anfang 2022 auch alle Krankenhäuser unterhalb der Kritis-Schwelle zur Einhaltung angemessener Vorkehrungen zur Verbesserung der Cybersicherheit verpflichtet, die dem Stand der Technik entsprechen. Seither bestehe so ein Mindestsicherheitsniveau für alle hiesigen Kliniken. Die Einrichtungen würden bei der Umsetzung dieser Anforderungen etwa durch den Krankenhauszukunftsfonds unterstützt. Erst jüngst seien die Vorschriften für alle Kliniken mit dem Digitalgesetz um den wichtigen Aspekt verschärft worden, die "Security-Awareness" von Mitarbeiter zu steigern. Das BSI nutze zudem die zur Verfügung stehenden Regulierungsinstrumente, um die Kritis-Betreiber bei der Verbesserung ihrer IT-Sicherheit zu unterstützen sowie potentielle Angriffsversuche zu erkennen, zu unterbinden und abzuwehren. Zudem helfe das Amt Verbänden beim Erstellen "branchenspezifischer Sicherheitsstandards".
(olb)
