Medizin: "Als Einzelner bin ich weniger interessant"

Kliniken sind erpressbar, wenn Hacker sensible Daten stehlen. Wie lässt sich das verhindern? Fragen an den Experten Thomas Friedl.

SZ: Vor ein paar Monaten hat ein Trojaner eine Klinik in Fürstenfeldbruck lahmgelegt. Hunderte Rechner fielen aus. Notfallpatienten mussten verlegt werden. Ist das ein Einzelfall?

Thomas Friedl: Nein. Es werden immer häufiger Cyberattacken auf Krankenhäuser und das Gesundheitswesen allgemein gemeldet. Und sicherlich gibt es auch eine hohe Dunkelziffer. Keine Klinik gibt gerne zu, dass sie gehackt wurde. Die Attacken beruhten bisher allerdings eher auf Zufall. Dass es noch keinen gezielten Angriff auf das deutsche Gesundheitswesen gegeben hat, ist aus meiner Sicht Glück.

Warum sind Gesundheitsdaten so begehrt?

Diese Daten werden dann wertvoll, wenn sie Unangenehmes enthalten - etwa Alkoholsucht, einen längeren Aufenthalt in der Psychiatrie oder eine Disposition zum Herzinfarkt. Wenn solche Informationen öffentlich werden, können Betroffene davon Nachteile haben - in der Arbeit, bei Versicherungen, im Privatleben. Kranke, Klinken und Praxen werden manipulierbar.

Wie sehen solche Cyberattacken aus?

Hacker können zum Beispiel Gesundheitsdaten von Kliniken abfischen und drohen, sie zu veröffentlichen. Oder sie können Daten auf Klinikservern verschlüsseln - dann kann niemand mehr darauf zugreifen. Im schlimmsten Fall verändern sie Daten, ohne dass es jemand merkt. Wenn sie sich dann Wochen später melden, sind die Back-ups überschrieben, und keiner kann mehr nachvollziehen, was falsch oder richtig ist. Mit all diesen Methoden können Hacker die Einrichtungen erpressen.

Machen sich die Kliniken keine Gedanken über die Sicherheit der Daten?

Doch, den meisten Einrichtungen sind die Gefahren bewusst. Aber die Umsetzung der Datensicherheit ist oft noch sehr schlecht: Häufig kleben Zettel mit Passwörtern an den Bildschirmen. Es gibt Fälle, da betreuen externe ITler fünf Kliniken aus der Ferne. Und es gibt kaum Notfallpläne, was nach einem Hack getan werden muss.

Was müsste also passieren?

Die Kliniken müssten Geld investieren für Personal und Software. Doch viele fragen: Wie sollen wir uns das leisten? Ihr Budget ist durch die Fallpauschalen gedeckelt. Wenn ein Konzern mehr Geld für Datensicherheit ausgibt, kann er das auf das Produkt umlegen. Das geht bei den Krankenhäusern nicht. Die Politik müsste also Geld dafür zur Verfügung stellen, etwa aus den Überschüssen der Krankenkassen. Aber vermutlich wird erst dann etwas passieren, wenn 20 oder 30 Kliniken in der Region stillstehen. Dann gucken wir blöd.

Können Patienten ihre Daten trotzdem irgendwie schützen?

Was mit den Daten beim Hausarzt passiert, darauf habe ich als Patient wenig Einfluss. Wenn ich aber alle Daten zusammentragen will - etwa Röntgenbilder, Blutwerte oder Medikamentenpläne - sollte ich sie dezentral speichern und nicht auf einem zentralen Server in Deutschland oder irgendwo im Ausland. Wir entwickeln an der Hochschule gerade eine Akte, auf die man zu Hause mit einer Art "Fritzbox" zugreifen kann. Man kann etwa seine Dokumente einscannen und mit einer App hochladen. Wenn man will, kann man die Infos teilen.

Dort sind die Informationen dann sicher?

Damit kann ich die Sicherheit skalieren. Als Einzelner bin ich weniger interessant, als wenn meine Daten in einem "Topf" mit vielen anderen Patienten liegen. Einen hundertprozentigen Schutz wird es aber nie geben.

Sollte man die Digitalisierung der Gesundheitsdaten dann nicht besser ganz lassen?

Nein, ich bin absolut für Technik, auch im Gesundheitsbereich. Ich glaube daran, dass die Digitalisierung uns Menschen hilft. Vorausgesetzt, sie passiert auf eine vernünftige Art und Weise - mit Sicherheitsvorkehrungen, geschultem Personal und dezentralen Netzwerken.