Obwohl IT-Sicherheitsexperten mit Hochdruck daran arbeiten, den Schutz vor Cyberkriminalität voranzutreiben, gehen Sicherheitsmaßnahmen im hektischen Krankenhausalltag schnell unter. Aktionen, die vielen Menschen wie unwichtige Kleinigkeiten vorkommen, können dem Datenschutz und der Cybersicherheit zum Verhängnis werden. So stellen bereits nicht gesperrte Arbeitsrechner, aufgeschobene Softwareupdates oder die Nutzung von mitgebrachten und ungeprüften USB-Sticks Risiken dar, die besonders in einem Krankenhaus schwerwiegende Folgen haben können.
Hacker könnten etwa mithilfe einer Ransomware, also einem Schadprogramm, das sich meistens per E-Mail verbreitet, die Rechner eines Kliniknetzwerks verschlüsseln und Lösegeld verlangen. Selbst wenn die Erpresser nach der Zahlung die Entschlüsselungscodes liefern – und das tun sie nicht immer –, ist das Entschlüsseln ein zeitaufwändiger Prozess, der in der Zwischenzeit die eingeschränkte Verfügbarkeit wichtiger Daten und Funktionen zur Folge hat. Ganze Notaufnahmen müssten im Extremfall geschlossen und wichtige Operationen verschoben werden.
Zudem könnten bei einem Cyberangriff vertrauliche Daten, wie Gehaltsabrechnungen, Krankheitsprotokolle oder E-Mails, gestohlen und verkauft werden. Patientendaten sind für Versicherungen und die Gesundheitsindustrie von Interesse, da sie zu Analysezwecken genutzt werden können. Generell ist das Veröffentlichen von Krankheitsgeschichten für Prominente sowie Privatpersonen gleichermaßen unangenehm und würde der Vertraulichkeit und Reputation eines Krankenhauses schaden.
Der wohl schlimmste Fall einer Cyberattacke auf medizinische Einrichtungen wäre die Verletzung der Integrität durch Manipulation. Mit einem Zugriff auf interne Server und Systeme hätten Kriminelle die Möglichkeit, Medikationen zu ändern, Herzschrittmacher lahmzulegen oder OP-Roboter zu stören. Somit rücken nicht nur gesundheitliche Schäden, sondern auch (indirekter) Mord in den Bereich des Möglichen.
Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Kliniken bisher nicht von gezielten Angriffen betroffen gewesen, sondern „nur“ zufälliger Ransomware zum Opfer gefallen, die per Mail in Umlauf gebracht wurde. Infolgedessen wurden Krankenhäuser wegen ihrer herausragenden Bedeutung für das Wohlergehen der Bevölkerung als sogenannte „kritische Infrastrukturen“ eingestuft. Solche Infrastrukturen haben seit Inkrafttreten des IT-Sicherheitsgesetzes 2015 die Verpflichtung, angemessene organisatorische und technische Maßnahmen zur Vermeidung von Störungen zu treffen. Ziel ist es, die Verfügbarkeit, Integrität und Vertraulichkeit aller informationstechnischen Systeme, Komponenten und Prozesse zu gewährleisten, die für die Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen maßgeblich sind. Für medizinische Einrichtungen und Unternehmen ist die IT-Sicherheit somit rechtlich bindend. Doch die Zufallstreffer mit Ransomware zeigen deutlich, dass das nicht so einfach zu bewerkstelligen ist. Sicherheitsmaßnahmen müssen daher immer weiter verschärft und ein erhöhtes Bewusstsein für Datenschutz geschaffen werden, damit sensible Daten auch in Zukunft vertraulich bleiben.