So reagiert man auf Cyber-Angriffe

Nicolas Krämer, kaufmännischer Geschäftsführer der Städtischen Kliniken Neuss - Lukaskrankenhaus, erzählt auf der Berner IT-Security-Tagung der Information Security Society Switzerland (ISSS) von seinen Erfahrungen mit Cyberkriminellen. Das Spital im Rheinland wurde am Aschermittwoch 2016 gehackt, also sinnigerweise zu einem Zeitpunkt, da in der Karnevalshochburg die meisten Mitarbeiter anderes im Sinn hatten, als an einen Cyberangriff zu denken. "Am Aschermittwoch ist alles vorbei, sagt man bei uns im Rheinland, und der 10. Februar 2016 war ein Aschermittwoch und leitete eine wochenlange digitale Fastenzeit ein", berichtet Krämer.

Und dies alles geschah wohl gemerkt in einem Krankenhaus, das in Sachen Digitalisierung vergleichsweise weit fortgeschritten ist. So hat das Neusser Lukaskrankenhaus die "Visite 2.0" eingeführt, bei der Ärzte und Krankenschwestern mit iPads mini ausgerüstet Daten am Patientenbett abrufen und eingeben. Die Rettungswagen im zugehörigen Kreis sind überdies mit telemedizinischen Einheiten ausgestattet. Dadurch können beispielsweise Herzpatienten noch im Krankenauto ein EKG erhalten, dessen Resultate gleich an den Notfall gefunkt werden, "wodurch die Mortalität um 23 Prozent gesunken ist", wie Krämer ausführt.

Was war also geschehen? Über zuvor verschickte Phishing-Mails wurde die IT des Krankenhauses mit Viren verseucht. Rechner funktionierten nicht mehr richtig oder wurden langsam. Die Leitung setzte einen Krisenstab ein, der sich dazu entschloss, die Computersysteme herunterzufahren, um einerseits die weitere Ausbreitung der Malware und andererseits den möglichen Abzug der hochsensiblen Daten zu unterbinden. Die Folge: Hauptsächlich der administrative Teil des Spitals musste wieder wie vor dem Computerzeitalter funktionieren. Immerhin waren Operationen noch möglich und die Intensivstation konnte weiter betrieben werden.

Als das Lukaskrankenhaus zu allem Übel auch noch von den Cyberkriminellen erpresst wurde, entschloss man sich, die Polizei und das Bundesamt für Sicherheit in der Informationstechnik (BSI) einzuschalten, die zusammen mit der IT-Abteilung und mit Hilfe von IT-Security-Spezialisten der Privatwirtschaft im Schichtbetrieb die Beseitigung des Schädlings an die Hand nahmen und Ermittlungen einleiteten. "Ich kann Ihnen das auch nur empfehlen, im Falle eines Falles die Behörden einzuschalten", lautet daher eine der  Folgerungen Krämers.

Daneben sei er froh, dass man damals transparent mit der Situation umgegangen sei. "Transparenz schafft Vertrauen", meint er daher und berichtet, dass der Umgang mit der Krise durch alle Beteiligten von der deutschen Bundesdatenschutzbeauftragten als "Best Practice" bezeichnet wurde.
Aus dem Schaden wurden auch die Betreiber des Lukaskrankenhauses klug. So sei einerseits die IT-Infrastruktur nun besser geschützt. "Wir haben ein Sandbox-System implementiert, einen virtuellen Sandkasten, in dem verdächtige E-Mail-Anhänge überprüft und gegebenenfalls entschärft werden", berichtet Krämer. Andererseits habe man viel in den "Faktor Mensch" investiert. Regelmäßig führe man nun Awareness-Kampagnen durch und lasse die getroffenen Schutzmaßnahmen immer wieder durch Penetration-Tests überprüfen.