Experte: Die Computersicherheit in Spitälern ist problematisch

Die Cyberkriminalität macht auch vor dem medizinischen Bereich nicht Halt, warnte der IT-Experte Cornelius Granig am Montag bei einer Pressekonferenz in Wien. Während die Gesamtkriminalität zuletzt zurückgegangen sei, seien Cyberdelikte stark gewachsen. Für den Gesundheitssektor sei dies besonders problematisch, sagte Granig. Gesundheitsdaten könnten, wenn sie bekannt werden, schlimme Konsequenzen für Betroffene haben, die von Erpressung bis hin zu beruflichen Nachteilen reichen würden. "Deshalb ist es besonders wichtig, Gesundheitsdaten sicher zu verwahren und den Zugriff sicher zu gestalten", sagte Thomas Szekeres, Präsident der Österreichischen Ärztekammer.

Veraltete Systeme

Während niedergelassene Ärzte durch die Teilnahme an neuen Gesundheitssystemen, wie der elektronischen Gesundheitsakte ELGA und der E-Medikation zuletzt technisch stark aufgerüstet hätten, seien Computersysteme in Krankenhäusern häufig veraltet, gab Granig zu bedenken. Manche Krankenhäuser hätten IT-Systeme, die 15 Jahre oder älter seien und die vom Hersteller gar nicht mehr unterstützt würden: "Die Situation ist problematisch", sagte der Experte, der auch politische Verantwortung für die Cybersicherheit im Gesundheitswesen einmahnte.

Spitäler seien, wie internationale Studien zeigen würden, häufig Ziele von Cyberangriffen, sagte Granig. In den USA würden etwa ein Viertel der Angriffe mit erpresserischer Software (Ransomware) Krankenhäuser betreffen. Laut einer deutschen Studie seien 64 Prozent der Spitäler bereits Ziel von Cyberangriffen gewesen. Belastbare Zahlen für Österreich für den medizinischen Bereich liegen nicht vor.

Interne Vorsichtmaßnahmen

Wichtig sei aber nicht nur die Modernisierung der Computersysteme, sondern auch die Verbesserung interner Vorsichtsmaßnahmen in den Krankenhäusern, sagte Granig. Denn oft würden Daten auch von Mitarbeitern kopiert. "Intern sind die Daten nicht immer optimal geschützt", sagte Ärztekammerpräsident Szekeres. Häufig gebe es nur ein Passwort, oft würden Passwörter auch am Bildschirm "picken". Szekeres mahnte deshalb die Einführung besserer Authentifizierungssysteme ein, wie etwa der Zwei-Faktor-Authentifizierung. Bei dieser wird erst nach Eingabe von zwei unabhängigen Komponenten - etwa Passwort und PIN-Code - Zugriff zu den Daten gewährt wird.

Computerkriminalität werde häufig bagatellisiert, mahnte IT-Experte Granig. Datendiebstahl werde als Problem gesehen, das passieren könne: "Das Bewusstsein, dass es Konsquenzen haben kann, ist nicht immer gegeben."

Um Ärzten, aber auch Patienten im Umgang mit Gesundheitsdaten zu helfen, hat IT-Experte Granig auf der Webseite Doktor 4.0 eine Reihe von Sicherheitstipps entwickelt, die von sicheren Passwörtern über Verschlüsselung bis hin zum Abschluss einer Cyberversicherung reichen.

Mehr vernetzte Geräte

Im Medizinbereich nimmt darüber hinaus der Einsatz vernetzter Geräte zu. Dies gelte nicht nur für Spitäler oder niedergelassene Ärzte, sondern auch bei Patienten, wo mittlerweile eine Vielzahl von Geräten im Fitnessbereich oder für telemedizinische Zwecke zum Einsatz kommen, heißt es seitens der Ärztekammer. Die Wartung der Geräte erfolge nicht automatisch, warnte Szekeres: "Das eröffnet Lücken im System." Viele dieser Geräte würden sich im Internet der Dinge befinden, sagte IT-Experte Granig. Wichtig sei, dass sie regelmäßig upgedatet werden: "Sonst sind sie ein Einfallstor für Angreifer."

Daneben würden auch immer mehr Geräte, wie etwa Herzschrittmacher oder Insulinpumpen, in den Körper integriert, sagte Granig. "Es ist sehr wichtig, dass der Arzt Bescheid weiß und Patienten aufklärt und auch über Updates informieren kann."

Neben dem Risiko des Datendiebstahls bestehe durch Sicherheitslücken in solchen Anwendungen auch das Risiko der Manipulation der Funktionsweise, warnte Granig. Er habe von solchen Fällen noch nicht gehört, theoretisch könnte es aber passieren, sagte  Ärztekammerpräsident Szekeres. "Es ist eine Frage des Aufwandes und des Nutzens und kann großen Schaden anrichten."