Krankenhäuser speichern und verarbeiten große Mengen an Daten. Diese müssen gegen potenzielle Eindringlinge und Angreifer aus dem Netz geschützt werden. Eine Aufgabe für Experten wie Hans-Ulrich Graf, die niemals abgeschlossen ist.
Böblingen - Es war der Supergau für das Lukas-Krankenhaus in Neuss: Im Februar 2016 öffnete ein Mitarbeiter den Anhang einer Mail und zog auf diese Weise einen bösen Virus in das IT-System der Klinik. Die Folgen: Sämtliche digitale Prozesse mussten komplett auf Handbetrieb umgestellt werden. 15 Prozent der Operationen fielen aus. Auf eine Million Euro beziffert die Klinik die Kosten des Schadens.
Der Angriff war keine Ausnahme. Laut dem Ärzteblatt hat eine Umfrage der Unternehmensberatung Roland Berger ergeben, dass bereits zwei Drittel aller deutschen Krankenhäuser schon einmal Opfer eines Cyberangriffs gewesen sind. In den Krankenhäusern laufen bereits viele Prozesse digital: Röntgen- und Ultraschallbilder werden digital gespeichert, manche Operationen werden von Robotern durchgeführt, Operationen werden gefilmt. Das alles erzeugt riesige Datenmengen.
„Eine 100-prozentige Sicherheit gibt es nicht“
Und das ist nur der Anfang: So plant der Klinikverbund Südwest für seine neue Klinik auf dem Flugfeld einen weitgehend papierlosen Betrieb. Künftig sollen sämtliche Patientendaten von Ärzten und Pflegern auf dem Tablet verwaltet werden. So nützlich und zeitsparend solche Prozesse sind, so anfällig sind sie für Strom- und Datenausfall, Cyber-Angriffe und Datenklau. Gesprochen wird über die Gefahren jedoch nur selten.
Auch Hans-Ulrich Graf, der Chef der IT-Abteilung des Klinikverbunds Südwest, hält sich bedeckt, wenn man ihn nach IT-Pannen fragt. „Eine 100-prozentige Sicherheit gibt es nicht“, sagt er. „Aber wir tun alles, um einen Angriff zu verhindern – und gleichzeitig auf so einen Fall vorbereitet zu sein.“ Wichtig dabei sei vor allem, dass die Technik und die Software stets auf dem neuesten Stand sei. „Spätestens nach zwei bis drei Jahren ist alles veraltet.“
Rein äußerlich sieht man den Fortschritt vor allem an der Größe: Die Server des Rechenzentrums des Klinikverbunds brauchten vor zehn Jahren noch doppelt soviel Platz wie heute, obwohl die Datenmenge seither erheblich gestiegen ist. Die ständige Modernisierung hat ihren Preis: Fünf bis sechs Millionen Euro investiert der Klinikverbund jährlich in die IT.
Rechenzentrum ist durch mehrere Türen gesichert
Das Rechenzentrum befindet sich für alle sechs Kliniken des Verbunds im Sindelfinger Krankenhaus. Dort sind alle Daten zentral gespeichert. Damit die Daten schnell abgerufen werden können, sind die Kliniken mit Glasfaserkabeln an das Rechenzentrum angebunden. Was aber, wenn ein Kabel etwa bei Bauarbeiten beschädigt wird? „Das kommt sogar häufig vor“, sagt Graf. „Deshalb haben wir zwei Leitungen: Fällt eine aus, wird automatisch auf die andere umgeschaltet.“
Das Rechenzentrum ist durch mehrere Türen gesichert. Nur ganz wenige Mitarbeiter haben einen Zugang. Sobald sich ein Unbefugter Zutritt verschaffen möchte, wird ein Alarm ausgelöst. Die größte Gefahr für einen Klinikbetrieb sei aber ein Stromausfall, sagt der IT-Chef. „Doch auch dafür sind wir gut gerüstet.“ Jeder Standort hat ein Notstromaggregat. Dieses versorgt bei einem Stromausfall die wichtigsten Bereiche: den OP, die Intensivstationen, die Notbeleuchtung. „Die Kaffeemaschine aber bleibt dann kalt.“ Und sollte auch der Notstrom ausfallen, verfügt der Klinikverbund noch über portable Aggregate.
Röntgenbilder werden auch in physischer Form aufbewahrt
Um Cyberangriffe zu vermeiden, sei es wichtig, die Mitarbeiter in allen Bereichen ständig zu schulen. So dürfen E-Mails mit Anhang nicht einfach geöffnet werden, sondern müssen erst auf eine mögliche Schadenssoftware getestet werden. Außerdem setzt Hans-Ulrich Graf auf eine Verteilung der Daten: „Wir haben selbstverständlich mehrere Sicherungen unserer Daten“, betont er. Dazu gehöre auch, dass beispielsweise Röntgenbilder zusätzlich auch in physischer Form aufbewahrt werde. „Dann können wir im Notfall darauf zurückgreifen“, erklärt Graf.
Das Wichtigste aber in einem Krankenhaus „sind und bleiben die Menschen“, sagt der Geschäftsführer Martin Loydl. „Ein Krankenhaus muss im Notfall auch ohne Computer funktionieren. Ohne Menschen geht das nicht.“
Archiv mit einer Million Gigabyte
Datenmenge:
Ende dieses Jahres durchbricht die Datenmenge des Klinikverbunds Südwest voraussichtlich die so genannte Petabyte-Grenze. Dann werden dort ein Petabyte Daten gespeichert, umgerechnet sind das 1000 Terabyte oder eine Million Gigabyte. 6000 Nutzer haben im Klinikverbund Südwest ein IT-Konto. Es gibt an den sechs Standorten 1200 Drucker. 24 Mitarbeiter der IT-Abteilung halten alles am Laufen: Fachinformatiker und Medizininformatiker, darunter sind auch viele Quereinsteiger.
Gesetz:
Kritische Bereiche, die für die Versorgung der Bevölkerung mit Wasser, Strom, Gas, Lebensmitteln und Gesundheitsdienstleistungen verantwortlich sind, müssen besondere Sicherheitsvorkehrungen treffen. Dazu gehört auch die IT-Sicherheit. Für sie gibt es genaue Vorschriften. Kliniken sind angehalten, diese umzusetzen und ständig auf dem neusten Stand zu halten. Auf Bundesebene befasst sich mit dem Thema das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Region:
Die Rems-Murr-Kliniken haben gemäß der gesetzlichen Vorschriften ein mehrstufiges IT-Sicherheitskonzept entwickelt. Zudem sei eine Kontaktstelle zum BSI geschaffen worden, teilt die Pressestelle mit. Dank der Sicherheitsvorkehrungen hätte man bisher alle Angriffe abwehren können.