zurück zum Artikel

Missing Link: Ransomware-Angriffe auf Krankenhäuser gefährden Menschenleben

Imke Stock
Krankenhausflur

(Bild: Ground Picture/Shutterstock.com)

Erste Untersuchungen in den USA zeigen, dass Ransomware-Angriffe die Sterblichkeit von Patienten negativ beeinflussen können.

In der Nacht wird der Rettungsdienst zu einer 78-jährigen Frau gerufen. Sie hat ein lebensbedrohliches Aortenaneurysma. Eigentlich wollen die Rettungskräfte sie in die örtliche Uniklinik bringen, doch die ist wegen eines Cyberangriffs von der Notfallversorgung abgemeldet. Der Krankenwagen wird zu einem anderen Krankenhaus umgeleitet. Mehr als 30 Kilometer entfernt. Kurz nach der Ankunft stirbt die Frau.

Der Angriff auf das Universitätsklinikum ereignete sich im Jahr 2020 in Düsseldorf [1]. In den frühen Morgenstunden des 10. September 2020 begann die Ransomware, die Server der Uniklinik zu verschlüsseln. Die Frau starb, nachdem sie in ein Krankenhaus in Wuppertal gebracht worden war. Polizei und Justiz ermittelten nach dem Angriff nicht nur wegen Erpressung und Computersabotage, sondern auch wegen fahrlässiger Tötung.

Abgesagte Behandlungstermine, geschlossene Notaufnahmen, umgeleitete Rettungswagen – Cyberangriffe auf Krankenhäuser haben zugenommen und gefährden die Sicherheit, das Wohl und Leben der Patienten. Welche tödlichen Auswirkungen Ransomware-Angriffe haben können, untersuchen erstmals Forscher in den USA.

"Missing Link"

Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.

Weltweit ist bisher kein Todesfall eindeutig auf einen Cyberangriff auf ein Krankenhaus zurückzuführen. Ermittler stehen vor der Herausforderung einen klaren kausalen Zusammenhang zwischen einem Cyberangriff als Ursache und dem Eintritt von Schäden wie dem Tod eines Patienten nachzuweisen. Theoretisch könnte ein Angriff aus der Ferne, der zum Ausfall lebenswichtiger medizinischer Geräte wie Beatmungsgeräten oder Herz-Lungen-Maschinen führt, direkt den Tod eines Patienten verursachen.

Wenn der Angriff jedoch nur indirekte Auswirkungen auf den Patienten hat, wie beispielsweise eine Verzögerung bei der Behandlung, und nicht ausgeschlossen werden kann, dass der Patient auch ohne diese Auswirkungen gestorben wäre, fehlt es an einem klaren kausalen Zusammenhang.

Auch im oben geschilderten Fall der verstorbenen Frau aus Düsseldorf konnte kein klarer kausaler Zusammenhang festgestellt werden. Die Staatsanwaltschaft machte nach ihren Ermittlungen einen Rückzieher, die Krankenhaus-Angreifer sind nicht für die Tote verantwortlich [3]. Der Gesundheitszustand der Frau sei zum Zeitpunkt ihrer Abholung durch die Rettungskräfte bereits so schlecht gewesen, dass sie sowieso gestorben wäre - unabhängig davon in welches Krankenhaus der Rettungswagen sie gebracht hätte.

Forscher der University of Minnesota School of Public Health untersuchen welche Auswirkungen Ransomware-Angriffe auf Krankenhäuser und deren Patienten haben. Analysiert wurden in einer ersten Studie [4] insgesamt 374 Ransomware-Angriffe auf Einrichtungen und Dienstleister im Gesundheitswesen im Zeitraum von 2016 bis 2021 in den USA. Der Trend geht seit 2016 nach oben: Zwischen 2016 und 2021 haben sich die Angriffe mehr als verdoppelt.

Die Folgen eines Cyberangriffs können mehr oder weniger gravierend sein: Die Bandbreite reicht vom einfachen Ausfall nicht so wichtiger Verwaltungssysteme des Krankenhauses, einem fehlenden Zugang zu Patientendaten und Untersuchungsergebnissen, nicht funktionierenden medizinischen Geräten, dem Ausfall des Monitorings auf der Intensivstation, die Absage von Untersuchungsterminen und Operationen bis hin zur Schließung des Krankenhauses für die medizinische (Notfall-)Versorgung.

In fast der Hälfte (166) der untersuchten 374 Angriffe kam es zu Störungen in der Gesundheitsversorgung. Zu den häufigsten Störungen gehörten Ausfälle elektronischer Systeme (156), Absagen geplanter Behandlungen (38) und die Umleitung von Rettungswagen (16).

Was für Effekte Ransomware-Angriffe konkret auf die Patientenversorgung haben, betrachteten die Forscher in einer weiteren Studie [5]. 74 der 374 Attacken hatten insgesamt 163 Krankenhäuser in Mitleidenschaft gezogen. Nach einem Ransomware-Angriff kann die Patientenversorgung in diesen Krankenhäusern wochenlang gestört sein. In drei von vier Fällen verschlechtert sich die Patientenversorgung. Ransomware tötet die Patienten zwar nicht direkt, kann aber durch die Verschlechterung der Umstände im Krankenhaus indirekt die Sterblichkeit erhöhen.

Hannah Nebrash, die als Gesundheitsökonomin an der University of Minnesota forscht und die Studie initiiert hat, zieht ein erstes Fazit [6]: "Die gute Nachricht ist, dass der Tod in einem Krankenhaus immer noch ein sehr unwahrscheinliches Ereignis ist. Die schlechte Nachricht ist, dass dies wahrscheinlicher ist, wenn Sie das Pech haben, während eines Ransomware-Angriffs in ein Krankenhaus eingeliefert zu werden."

Die Wahrscheinlichkeit als Patient in einem Krankenhaus zu sterben, erhöht sich um 20 bis 35 Prozent, wenn das Krankenhaus von einem Ransomware-Angriff betroffen ist. Die Forscher schätzen, dass im Zeitraum 2016 bis 2021 zwischen 42 und 67 Patienten durch die Auswirkungen eines Ransomware-Angriffs gestorben sind. Betroffen sind Patienten, die zum Zeitpunkt der Entdeckung des Angriffs bereits aufgenommen wurden oder gerade eingeliefert werden.

Die Forscher der University of Minnesota stellten auch fest, dass in der ersten Woche eines Ransomware-Angriffs das Patientenaufkommen in dem Krankenhaus um 17 bis 25 Prozent in der Notaufnahme, dem stationären und dem ambulanten Bereich sank. Wenn betroffene Krankenhäuser sich von der Patientenaufnahme und Notfallversorgung abmelden, verteilen sich neue Patienten auf umliegende benachbarte Krankenhäuser.

Die Ausfallzeiten von Krankenhäusern in den USA haben sich seit 2016 erhöht, sagen die Datenanalysten von Comparitech zu ihrer Untersuchung der Ransomware-Angriffe auf Gesundheitsorganisationen in den USA. Fiel ein Krankenhaus im Jahr 2016 nach einem Ransomware-Angriff durchschnittlich noch 5 Tage aus, bis es wieder funktionsfähig war, sind es nun im Jahr 2023 bis zu über 18 Tage. Die Ausfallzeiten reichen laut Sicherheitsforschern von Comparitech [7] von minimalen Unterbrechungen bis hin zu monatelangen Wiederherstellungszeiten.

Der IT-Ausfall an der Uniklinik Düsseldorf führte zur Absage geplanter Operationen [8]. Statt 70 bis 120 Operationen pro Tag, konnten nur 10 bis 15 durchgeführt werden. Tagelang wurden RTW an andere Krankenhäuser umgeleitet. Während der Zeit der Abmeldung von der Notfallversorgung wurden in der Notfallambulanz der Uniklinik täglich nur circa 30 bis 40 Patienten statt der sonst üblichen 120 bis 140 Patienten pro Tag versorgt. 13 Tage nach dem Angriff konnte die Uniklinik wieder bei der Versorgung von Notfällen im Rettungsdienst "vollumfänglich" helfen und sich in der Notfallversorgung als einsatzbereit zurückmelden. Zu diesem Zeitpunkt war die Krankenversorgung in der Uniklinik in einzelnen wichtigen Bereichen, wie zum Beispiel der Blutbank, noch nicht wieder zum Normalbetrieb zurückgekehrt. Die vollständige Wiederherstellung der IT-Infrastruktur dauerte Monate.

Eine andere Studie von Forschern des Center for Healthcare Cybersecurity [9] an der Universität San Diego untersuchte die regionalen Auswirkungen eines Ransomware-Angriffs, der sich im Mai 2021 auf mehrere Einrichtungen eines Krankenhausbetreibers in den USA ereignete. Während der Angriffs- und Nachangriffsphase wurden in den nicht betroffenen Notaufnahmen der benachbarten Krankenhäuser ein signifikanter Anstieg der Patientenzahlen, der Ankunft von umgeleiteten Rettungswagen, der Wartezeiten für nicht akute Notfälle und der Gesamtaufenthaltsdauer der Patienten festgestellt. Zugleich kam es zu einem deutlichen Anstieg an nicht überwachten Patienten und an Patienten, die das Krankenhaus ohne Behandlung einfach wieder verließen. Im Ergebnis warnen die Forscher vor Ressourcenengpässen, die sich negativ auf die zeitkritische Versorgung von Trauma- und Schlaganfall-Patienten auswirken können.

In bestimmten Bereichen und insbesondere ländlichen Gebieten kann es aufgrund von Umleitungen zu längeren Transportzeiten kommen. Ob ein anderes geeignetes Krankenhaus in einem solchen Notfall in der Nähe ist, ist Glückssache. Die Forscher schlagen in er Studie vor, dass Cyberangriffe auf Gesundheitseinrichtungen wegen der Folgen auf die Patientenversorgung wie Naturkatastrophen behandelt werden sollten - notwendig sei eine koordinierte regionale Notfallplanung.

Es ist praktisch unmöglich vorherzusagen, wo und wann der nächste Cyberangriff stattfindet. "Nie in der Bundesrepublik waren Krankenhäuser so bedroht wie heute" sagt der Ärztliche Direktor des Unfallskrankenhauses Berlin Axel Ekkernkamp, der Mitglied im Wehrmedizinischen Beirat ist gegenüber dem Tagesspiegel [10].

Skrupel gibt es nicht (mehr) [11] – Ransomware-Banden attackieren Kliniken und regelmäßig wird in den Medien von neuen Angriffen berichtet [12]. Cybercrime kann lebensbedrohlich sein und ein Krankenhaus muss nicht mal direkt angegriffen werden. Aufgrund von Abhängigkeiten reicht manchmal ein Angriff auf eine kritische Stelle, um die Versorgung und Sicherheit vieler zu gefährden. Oder die fahrlässige Verwechslung des Angriffsziels durch die Täter, wie es im Fall der Uniklinik Düsseldorf war [13]. Auch Gesundheits-Dienstleister werden von Cyberkriminellen angegriffen und die meisten Krankenkassen gelten nicht als kritische Infrastruktur [14].

Ob ein Dienstleister, eine Krankenkasse oder ein Krankenhaus in Deutschland in die Kategorie einer kritischen Infrastruktur fällt, entscheidet derzeit ein Kriterienkatalog in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz [15].

Ob demnächst mehr Einrichtungen und Unternehmen als "kritische Anlagen" oder "(besonders) (wichtige) Einrichtungen" im Sektor Gesundheit eingestuft werden und sich Deutschlands Cybersicherheit [16] verändern wird, hängt von der Umsetzung der NIS2-Richtlinie (EU) ab. Dabei weist das Schutzvorhaben eklatante Lücken im KRITIS-Dachgesetz [17] auf, das bisher nur als Entwurf vorliegt.

Ob Einrichtungen des Gesundheitswesens organisatorische und technische Maßnahmen ergreifen, um die Cybersicherheit zu erhöhen – wie es die gerade verabschiedeten e-Health-Gesetze vorsehen [18]lässt das BSI bis November 2024 in einer Studie zur IT-Sicherheit von Krankenhäuser prüfen [19]. Ob für Patienten die Nähe eines funktionstüchtigen Krankenhauses einmal zu einem kritischen Faktor in ihrem Leben wird, hängt von den Umständen im Einzelfall ab.

(mack [20])


URL dieses Artikels:
https://www.heise.de/-9608151

Links in diesem Artikel:
[1] https://www.heise.de/news/Hackerangriff-auf-Uniklinik-Duesseldorf-Ermittlungen-wegen-fahrlaessiger-Toetung-4904134.html
[2] https://www.heise.de/thema/Missing-Link
[3] https://www.heise.de/hintergrund/Staatsanwalt-macht-Rueckzieher-Krankenhaus-Hacker-nicht-fuer-Tote-verantwortlich-4961183.html
[4] https://jamanetwork.com/journals/jama-health-forum/fullarticle/2799961
[5] https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4579292
[6] https://www.npr.org/2023/10/20/1207367397/ransomware-attacks-against-hospitals-put-patients-lives-at-risk-researchers-say
[7] https://www.comparitech.com/blog/information-security/ransomware-attacks-hospitals-data/
[8] https://www.heise.de/news/IT-Ausfall-an-Uniklinik-Duesseldorf-betrifft-immer-mehr-Patienten-4902218.html
[9] https://jamanetwork.com/journals/jamanetworkopen/fullarticle/2804585
[10] https://www.tagesspiegel.de/politik/krankenhauser-nie-so-bedroht-wie-heute-topmediziner-warnt-vor-cyberangriffen-auf-kliniken-11032603.html
[11] https://www.heise.de/news/Skrupellos-Cybergang-Alphv-veroeffentlicht-Patientenbilder-nach-Einbruch-7536239.html
[12] https://www.heise.de/news/Skrupel-nur-vorgeschoben-Ransomware-Banden-attackieren-Kliniken-9591987.html
[13] https://www.heise.de/news/Uniklinik-Duesseldorf-Ransomware-DoppelPaymer-soll-hinter-dem-Angriff-stecken-4908608.html
[14] https://www.heise.de/hintergrund/Warum-die-meisten-Krankenkassen-nicht-als-kritische-Infrastrukturen-gelten-9184278.html
[15] https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html
[16] https://www.heise.de/hintergrund/Cybersecurity-Zeitenwende-Das-bringen-NIS2-Umsetzung-und-neue-KRITIS-Regeln-9225562.html
[17] https://www.heise.de/hintergrund/KRITIS-Dachgesetz-Schutzvorhaben-mit-eklatanten-Luecken-9219019.html
[18] https://www.heise.de/news/Lauterbachs-Quantensprung-Bundestag-verabschiedet-eHealth-Gesetze-9574271.html
[19] https://www.heise.de/hintergrund/Interview-Studie-prueft-IT-Sicherheit-von-Krankenhaeusern-9579480.html
[20] mailto:mack@heise.de