Hackerangriffe und Ransomware im Gesundheitswesen

Im Jahr 2021 hatte das deutsche Gesundheitswesen mit zahlreichen schweren Cyber-Angriffen und Erpressungsfällen durch Ransomware zu kämpfen. Um im Cyberspace in Schwierigkeiten zu geraten, sind Hacker nicht zwingend nötig. Der Versuch der Regierungen, mit Hilfe der Corona-Verfolgungs-App Luca nennenswerte Erfolge im Kampf gegen die Pandemie zu erzielen schlug alleine schon deshalb fehl, weil ihr Start eher stotternd erfolgte. Dann folgten wenig hilfreiche Berichte über missbräuchliche Nutzung der Daten durch die Polizei bei der Verfolgung von Ordnungswidrigkeiten und Straftaten. Die Behörden mussten eingestehen, dass die Nutzung durch das Gesetz nicht gedeckt war. Im Januar 2022 kündigten die ersten Bundesländer an, die Software nicht weiter lizensieren zu wollen. Von der angeblichen Zusage des Bundes, die Kosten tragen zu wollen, wollte die Regierung in Berlin nichts wissen.

Auch sonst hapert es bei der Digitalisierung im Gesundheitswesen. Das E-Rezept sollte ab 2021 einen grundlegenden Strukturwandel im Gesundheitswesen auslösen. Mediziner können Rezepte dann auch nach einem virtuellen Arztbesuch, etwa nach einer Videosprechstunden verschreiben. Die halbstaatliche Gematik (Nationale Agentur für Digitale Medizin) hatte noch Anfang 2021 auf einen Start des elektronischen Rezeptes am 1.7. 2021 gesetzt. Daraus wurde nichts. Weder die Gematik noch Arztpraxen uns Apotheker waren bereit. Auch der nächste Termin, der 3.1.2022 wurde gerissen. Beim Feldtest zeigten zu viele Schwachpunkte. Ein neuer Starttermin steht noch nicht fest. Beim Rezept und der Krankschreibung bleibt die Digitalisierung also vorerst aus.

Weder elektronische Gesundheitskarte (eGK. ursprünglich europaweiter Start 1.1.2006) noch E-Rezept wurden Realität. Zur Freude der Datenschützer, denen die zentrale Datenhaltung des Systems ein Dorn im Auge ist. Anfang Januar machten Probleme mit Elektrostatisch aufgeladene Gesundheitskarten die Runde. Diese verhinderten das Auslesen der Patientendaten über die Near-Field-Communication-Schnittstelle (NFC). Laut Gematik waren die trockene Winterluft und der schlechte Fußbodenbelag in den Arztpraxen dafür verantwortlich.

Tage später machte dann die Kassenärztlichen Bundesvereinigung (KBV) ihrem Ärger Luft. Die Digitalisierung komme nicht voran, weil die Systeme nicht „funktionierte“. Man drohte damit, die Gematik zu verlassen, da man dauernd überstimmt werde. Hier verfügen die Ärzte über 7,1 Prozent der Stimmen, das Bundesgesundheitsministerium aber über 51 Prozent. Auch die Gematik musste wegen der “Log4j“-Schwachstelle und der massiven Warnung des BSI im Dezember 2021 einige ihrer Dienste herunterfahren. Dieses Problem soll laut Gematik Webseite inzwischen behoben sein.

Ende 2021 die Compugroup Medical Deutschland AG (CGM). die für die elektronische Patientenakte verantwortlich zeichnet, Opfer eines Hackerangriffs. Noch vor Weihnachten wurden die internen Systeme einer Ransomware-Attacke. Die Apotheken hatten nun doppelten Ärger. Sie mussten ein Update aufspielen, das per Post in Form einer DVD versendet wurde, und im Trubel des Nachweihnachtsgeschäfts vielfach übersehen wurde, und zudem die verunsicherten Kunden und Mitarbeiter beruhigen. Wichtige Schnittstellen wurden aus Sicherheitsgründen gesperrt. Als Folge kam es zu massiven Problemen und weiteren Verzögerungen. Betroffen war unter anderem die Komponente: „Lauer-Taxe Online 4.0“, die für die Abrechnung von Rezepten ohne Medienbruch gedacht ist.  Noch Mitte Januar bat das Unternehmen um etwas Geduld bei der Wiederherstellung der ausgefallenen Systeme. Einen Monat zuvor war bereits der IT-Dienstleister für Arztpraxen, Medatixx, von einer Ransomware Attacke heimgesucht worden. Presseorgane spekulierten, dass die Hacker in den Besitz von sensiblen Passwörtern von Arztpraxen gelangt sein könnten. 

In den ersten Tagen des neuen Jahres kochte der Konflikt zwischen Russland und den USA rund um eine mögliche Invasion in der Ukraine wieder hoch. Cyberangriffe auf die Ukraine, so die werteten es die USA, seien Vorboten einer kriegerischen Handlung. Überall in der Welt werden die IT und die IT-Sicherheit also bis hinauf in die höchsten Gremien des Staates ernst genommen. Eine solche Einschätzung wird von vielen Beobachtern in Deutschland im eigenen Land vermisst.

Der Begriff „Ransom“ steht in der englischen Sprache für Lösegeld. Der zweite Teil des Wortes ist dem Begriff „Software“ entlehnt. Ransomware sind Schadprogramme, die den Zugriff des Eigentümers auf sein Computersystem und/oder seine Daten verhindern. Meist geschieht dies durch Verschlüsselung. Nur gegen Zahlung eines Lösegeldes erhält der Eigentümer den Schlüssel, um seine Daten wieder zu dekodieren. Meist stehlen die Hacker aber auch zumindest Teile der Daten. Ein bekanntes Beispiele dafür ist der Angriff auf den kommunalen Versorger „Technische Werke Ludwigshafen“ (TWL). Er verlor 500 Gigabyte an Daten. Die Angreifer veröffentlichten einen Teil im Darknet, nachdem TWL Lösegeldzahlungen verweigerte. Auch die IT von Kliniken wurde bereits angegriffen. Dies führte 2020 in Düsseldorf zum Tot einer Patientin, die nicht behandelt werden konnte und daher verlegt werden musste, was sie nicht überlebte. 2021 traf es das Städtische Klinikum Wolfenbüttel sowie im September den privaten SRH Klinikverbund. Geschädigt wurden auch die Nachbarn. Schon im Mai 2021 erwischte es die Gemeinde Rolle (Kanton Wasdt) in der Schweiz.

Betroffen waren zudem zahlreiche kleinere Städte und Gemeinden wie etwa im August 2021 Hohenpeißenberg in Bayern. Doch gerade die kleinen kamen oft schnell wieder auf die Beine. Eine übersichtliche IT mit nur wenigen Arbeitsplätzen lässt sich, wie im Hohenpeißenberg, binnen Tagen wieder in einen arbeitsfähigen Zustand versetzen.

Bernd Schöne, freier Mitarbeiter von PROTECTOR und Sicherheit.info

In Teil 1 unseres IT-Rückblicks lesen Sie Hintergründe massiven und teils selbstverschuldeten IT-Problemen und Cyber-Attacken in deutschen Behörden.