Die Mitarbeiter des Lukaskrankenhauses im rheinischen Neuss dürften angesichts der Weltlage zurzeit ein Déjà-vu erleben. Im Frühjahr 2016 schlossen hier die Ärzte ihre Notaufnahme und sagten etliche Operationen ab. Eine erpresserische Software hatte ihre Bildschirme schwarz gefärbt und die Patientendaten hinter einer Lösegeldforderung verschlossen. Ärzte, die sich längst an die iPad-Visite gewöhnt hatten, holten ihre Klemmbretter wieder aus der Schublade.
Am Wochenende sind nun in Großbritannien Dutzende Kliniken angegriffen worden. Auch sie mussten Patienten nach Hause schicken und Computer herunterfahren. Diesmal handelte es sich nicht um einen schädlichen E-Mail-Anhang allein, sondern um Software, die über eine Microsoft-Sicherheitslücke auf der ganzen Welt Behörden und Unternehmen traf.
Deutsche Krankenhäuser blieben bislang verschont, sagt ein Sprecher des zuständigen Bundesamts für Sicherheit in der Informationstechnik (BSI). Allerdings bedeute dies keine Entwarnung. Auch hier könnten solche Attacken Kliniken und damit Kranke treffen. Im vergangenen Jahr hatte das BSI eine Untersuchung veröffentlicht, laut der es um die IT-Sicherheit von Krankenhäusern sehr unterschiedlich bestellt sei: "Während große Häuser, insbesondere Universitätskliniken, um die Bedeutung des Themas wissen", heißt es dort, "wird es gerade bei kleineren Krankenhäusern in ländlichen Gebieten aus Budget- und Personalmangel eher mit untergeordneter Priorität behandelt."
Bundesinnenminister Thomas de Maizière (CDU) meldete sich nach den Cyberangriffen zu Wort und forderte, endlich auch Gesundheitseinrichtungen per IT-Sicherheitsgesetz zu verpflichten, ihre Systeme zu schützen und Vorfälle an das BSI zu melden. Genau wie einige Verkehrs- und Finanzunternehmen sollen sie bald zur "kritischen Infrastruktur gehören". Einer entsprechenden Verordnung sollen seine Kabinettskollegen noch vor der Bundestagswahl im September zustimmen. Gesundheitsminister Hermann Gröhe (CDU) plädierte ebenfalls für "Mindestvorschriften" an Kliniken, genauso wie Verkehrsminister Alexander Dobrindt (CSU).
Die Verordnung, die de Maizière vorschlägt, wird allerdings nur einen kleinen Teil der Krankenhauspatienten besser schützen. Um zur "kritischen Infrastruktur" zu zählen, sieht die Verordnung mindestens 30 000 vollstationäre Patienten im Jahr vor. So viele Kranke betreuen nach Angaben des Deutschen Krankenhausgesellschaft jedoch nur rund zehn Prozent aller Klinken. Auch die restlichen Häuser seien aufgefordert, sich um die Sicherheit ihrer Computer zu kümmern, sagt ein Ministeriumssprecher. Man könne sie eben nur nicht zwingen.
System für Patientendaten ohne Anwendungen von Microsoft geplant
Die gesundheitspolitische Sprecherin der Grünen, Maria Klein-Schmeink, nennt dies allerdings "unzureichend". Kleinere Krankenhäuser könnten "gerade in ländlichen Regionen eine im Extremfall lebenswichtige Bedeutung" haben. Künftig werden Arztpraxen und Kliniken zudem immer mehr vernetzte Geräte nutzen. Im kommenden Jahr will Gröhe ein einheitliches System für Patientendaten einführen. Könnte auch dies ein Einfallstor für Hacker werden?
Aus seinem Ministerium heißt es dazu nur, dass im neuen System "keine Anwendungen von Microsoft zum Einsatz kommen". Die Krankenhausgesellschaft allerdings klagt: "Um mit den wachsenden Bedrohungen technisch Schritt halten zu können", benötigten die Kliniken mehr Geld. Nötig sei die Unterstützung der Bundesländer oder ein "nationales Förderprogramm", um sich gegen Angriffe zu rüsten.
