2461484

So verlief die Ransomware-Attacke im Lukaskrankenhaus

08.10.2019 | 05:32 Uhr |

Etwa eine Million Euro kostete das Lukaskrankenhaus Neuss ein erfolgreicher Ransomware-Angriff. Wir sprachen mit GeschĂ€ftsfĂŒhrer Nicolas KrĂ€mer ĂŒber den Vorfall, die Konsequenzen und den Wiederaufbau.

Bitte skizzieren Sie kurz, was 2016 vorgefallen ist!

Nicolas KrĂ€mer: Der Angriff ereignete sich am 10. Februar 2016 – Aschermittwoch. Am frĂŒhen Morgen war es zunĂ€chst in den bildgebenden Systemen unserer Radiologie zu auffĂ€lligen Verzögerungen gekommen. Wenig spĂ€ter tauchte auf einem der ersten EndgerĂ€te eine Nachricht der Cyberkriminellen auf, dass unser Krankenhaus gehackt worden sei.

Wir haben daraufhin einen Krisenstab ins Leben gerufen, dessen erste Entscheidung darin bestand, alle IT-Systeme des Lukaskrankenhauses herunterzufahren. Wir wollten zum einen eine Ausbreitung des Virus verhindern, zum anderen unsere hochsensiblen Patientendaten vor unbefugten Zugriffen von außen schĂŒtzen.

Nachdem wir festgestellt hatten, dass es eine sogenannte Ransomware-Attacke war, haben wir die Polizei eingeschaltet. Das LKA aus DĂŒsseldorf war zu Spitzenzeiten mit sechzehn Cybercops hier. Das BSI ist ebenfalls sehr schnell gekommen und wir hatten verschiedene IT-Security-Firmen vor Ort. Gemeinsam ist es nach einigen Tagen gelungen, das Virus unschĂ€dlich zu machen.

Die Auswirkungen auf den Medizinbetrieb waren dennoch fatal. Wenn man als eines der Vorzeige-KrankenhĂ€user in der Digitalisierung von jetzt auf gleich von Automatik auf Handbetrieb umschalten muss, dann verĂ€ndern sich natĂŒrlich Prozesse und AblĂ€ufe um den OP herum aber auch auf den Stationen.

Um welche Ransomware hat es sich dabei gehandelt?

Nicolas KrĂ€mer: Es war weder WannaCry noch Petya – die verbreiteten sich beide erst spĂ€ter. Es ging zwar in die Richtung von WannaCry, aber der Virus hat keinen eigenen Namen bekommen. Es gab jedoch viele andere KrankenhĂ€user in Nordrhein-Westfalen, die zeitgleich einen Cyberangriff ĂŒber sich ergehen lassen mussten. Deshalb wurde damals ein Gesamtzusammenhang vermutet. Heute wissen wir aber, dass diese Angriffe höchstwahrscheinlich nicht zusammenhingen. Es war wohl ein Streu- und kein gezielter Angriff auf eine kritische Infrastruktur.

Interessanterweise gab es zeitgleich einen weiteren Angriff, der mit dem auf das Lukaskrankenhaus sehr gut vergleichbar war. NÀmlich den auf das Presbyterian Medical Center in Hollywood. Da waren die Auswirkungen Àhnlich, aber auch da gab es keine besondere Bezeichnung.

Der VerschlĂŒsselungstrojaner hatte das Ziel, Patientendaten zu verschlĂŒsseln. Dadurch, dass wir die Systeme schnell heruntergefahren und Backup-Lösungen eingesetzt haben, ist es dazu nicht gekommen.

Über welchen Weg ist der Trojaner in Ihre Systeme gelangt?

Nicolas KrĂ€mer: Über eine klassische Phishing-Mail in der Verwaltung.

Welche Bereiche der IT waren von dem Trojaner betroffen?

Nicolas KrÀmer: Betroffen war das komplette Krankenhausinformationssystem, also alle GerÀte mit Ausnahme der Medizintechnik, die nicht mit dem Netz verbunden war.

Ein Notfallplan ist essenziell

Wie lange hat es gedauert von der Aufdeckung des Angriffs bis zur Bildung des Krisenstabs und der Abschaltung der Systeme?

Nicolas KrĂ€mer: Das ging relativ schnell innerhalb von einer halben Stunde. Als mich unser IT-Leiter anrief und vorschlug, alle IT-Systeme herunterzufahren, war ich mir noch nicht sicher, dass das die richtige Entscheidung ist, weil mir das Ausmaß der Zerstörungskraft dieses Virus nicht bewusst war. Als er mir den Ernst der Lage verdeutlichte, entschieden wir uns dazu, den Krisenstab zu bilden. Dort saßen wir ziemlich genau eine halbe Stunde spĂ€ter alle zusammen.

Wer war im Stab außer Ihnen und dem IT-Leiter?

Nicolas KrÀmer: Die komplette Betriebsleitung, der Leiter der Notfallmedizin, unsere Juristin und zwei Pressesprecher. Das war das Kernteam. ZusÀtzlich hatten wir Experten, die wir zu bestimmten Themen immer wieder mit dazu geholt haben.

30 Minuten ist eine schnelle Reaktionszeit. Hatten Sie sich gezielt auf so einen Fall vorbereitet?

Nicolas KrĂ€mer: In KrankenhĂ€usern muss man immer mit NotfĂ€llen rechnen – ob das die massenhafte Einlieferung von Verletzten ist oder ein sogenannter Gelb- oder Rot-Alarm in der Notaufnahme. Wir sind mit Krisensituationen also relativ geĂŒbt. Das sind dann meistens auch Situationen, bei denen Menschenleben auf dem Spiel stehen. Insofern haben wir eine gewisse Erfahrung. Wir hatten zudem am 16. August 2014 – also eineinhalb Jahre vorher – eine Verfahrensanweisung auf den Weg gebracht, die regelt, was passiert, wenn der Strom oder die IT-Systeme ausfallen. Dadurch hatten wir einen groben roten Faden, der uns in der Situation geholfen hat. Durch den Cyberangriff ist kein Patient gestorben und auch die sensiblen Patientendaten wurden zu keinem Zeitpunkt kompromittiert.

Waren sie verpflichtet, diese Verfahrensanweisung zu entwickeln, oder haben Sie das von sich aus gemacht?

Nicolas KrĂ€mer: Das war unsere Initiative. Ich habe am 1. Juli 2014 als GeschĂ€ftsfĂŒhrer des Krankenhauses angefangen und wir hatten relativ schnell eine Krisensituation, die mir gezeigt hat, dass der Notfallplan noch nicht von allen gelebt wird. Wir hatten eine Schießerei hier im Haus und da hat es mit dem Notfallplan nicht so hingehauen.

Das haben wir damals zum Anlass genommen, uns intensiver damit zu beschÀftigen und die Verfahrensanweisung, die schon vor meinem Einstand auf den Weg gebracht worden war, zu finalisieren. Ein wichtiger Aspekt dabei ist, dass die Abteilungsleiter den Notfallplan stets gegenwÀrtig haben.

Wird der Notfallplan regelmĂ€ĂŸig geprobt?

Nicolas KrĂ€mer: Nach dem Ransomware-Angriff am 10. Februar 2016 haben wir das noch nicht wieder geprobt. Hin und wieder gibt es Übungen und Probealarme – auch in Zusammenarbeit mit der Feuerwehr.

Wir machen hin und wieder Penetration-Tests oder ergreifen Maßnahmen, um die Awareness der Mitarbeiter zu prĂŒfen. Aber dass wir den Krisenfall in der Weise trainieren, dass wir einen Tag die Patientenversorgung einstellen und eine Cyberattacke inklusive Bildung des Krisenstabs und den Entscheidungen, die getroffen werden mĂŒssen, proben, kriegen wir im TagesgeschĂ€ft momentan einfach nicht gestemmt.

Eine Million Euro fĂŒr fĂŒnf Tage Blackout

ZurĂŒck zum Cyberangriff: Der VerschlĂŒsselungstrojaner war eingedrungen und Sie haben die Systeme heruntergefahren. Wie ging es dann weiter?

Nicolas KrĂ€mer: Nach der Abschaltung war ein großes Krankenhaus inklusive des Bereichs Nuklearmedizin, zwei Linearbeschleunigern und vier Herzkatheter-MessplĂ€tzen erstmal im Offline-Betrieb. Jetzt galt es, die Mitarbeiter darĂŒber informieren, wie die alternativen Prozesse aussehen. Wir haben dann im Rahmen des Krisenmanagements großen Wert auf Krisenkommunikation gelegt – gegenĂŒber den Mitarbeitern, den Patienten und den Angehörigen.

Wir mussten Operationen absagen und waren in den ersten 36 Stunden nicht in der Lage, NotfÀlle aufzunehmen. Danach konnten wir bis auf Herzinfarktpatienten und Polytrauma-Verletzte, die also mindestens eine lebensgefÀhrliche Verletzung und weitere Verletzungen haben, die Notfallversorgung wieder aufnehmen.

Der Blackout dauerte also 36 Stunden?

Nicolas KrĂ€mer: Nein, der Blackout dauerte insgesamt fĂŒnf Tage. Am 15. Februar konnten wir langsam wieder mit dem Hochfahren unserer Systeme beginnen.

Wie lange hat es danach gedauert, bis die Systeme wieder im Normalbetrieb liefen?

Nicolas KrĂ€mer: Es hat etwa sechs Wochen gebraucht, bis 80 Prozent der IT wieder normal liefen. Die restlichen 20 Prozent haben sich dann ĂŒber weitere Monate und teilweise sogar Jahre hingezogen. Dabei haben wir die Chance genutzt, bestimmte Systeme auf ein neues Niveau zu heben.

Welche Rolle spielte Ihr Backup-System?

Nicolas KrĂ€mer: Das war ganz wichtig, damit wir an die Daten wieder rankommen. Dabei mussten auch einige Teile ĂŒber eine Data-Recovery-Firma wiederhergestellt werden, weil sich einige Systeme beim langsamen Wiederhochfahren gegenseitig zerschossen haben.

Es ist ein riesiger Unterschied, ob Sie Ihren Laptop zu Hause herunter- und wieder hochfahren oder ob es ein hochkomplexes Computernetzwerk eines Krankenhauses ist. Es ist ein riesiger Flickenteppich an Systemen und Subsystemen. Da kann sich das eine oder andere auch mal verschieben oder kaputtgehen – genau das ist bei uns passiert.

Waren die Backup-Daten auf dem neuesten Stand?

Nicolas KrÀmer: Es wird jeden Tag ein Backup gemacht, sodass nur Daten verloren gegangen sind, die wenige Minuten vor dem Zwischenfall am Morgen eingegeben worden waren.

Ab dem Blackout haben wir alles mit Papier und Bleistift dokumentiert. Eine ganz große Herausforderung bestand spĂ€ter darin, diese Daten wieder in die Systeme einzugeben. Das hat zu vielen Überstunden, Nacht- und Wochenendarbeit gefĂŒhrt.

Wie lang hat es gedauert, die wÀhrend des Blackouts entstandenen Papierdaten wieder zu digitalisieren?

Nicolas KrĂ€mer: Es brauchte zwei Wochen Mehrarbeit in der Verwaltung, bis die fĂŒnf Tage aufgeholt waren.

Können Sie abschÀtzen, was der Angriff das Krankenhaus insgesamt gekostet hat?

Nicolas KrĂ€mer: Das war ziemlich genau eine Million Euro. Diese Schadensumme setzt sich vor allem aus Honoraren zusammen, die wir an IT-Sicherheitsfirmen gezahlt haben. Da waren gute dabei – aber auch weniger gute. Ein echter Erlösverlust ist uns nicht entstanden, weil wir einen großen Teil der ausgefallenen Operationen innerhalb von fĂŒnf Tagen nach dem Zwischenfall nachholen konnten, indem wir den regulĂ€ren OP-Betrieb von 16 auf 20 Uhr verlĂ€ngert haben.

Sicherheit vor FunktionalitÀt

Welche Lehren haben Sie aus dem Angriff gezogen?

Nicolas KrĂ€mer: In der Vergangenheit haben wir die Chancen der Digitalisierung in den Vordergrund unseres Handelns in der IT gestellt. Wir waren unter den Ersten, die iPads eingefĂŒhrt haben, um den Ärzten und PflegekrĂ€ften die Arbeit zu erleichtern. Zudem haben wir eine offene Bring-your-own-Device-Politik gefahren, sodass Ärzte hier auch mit ihrem persönlichen Notebook arbeiten konnten.

Seit dem Angriff sehen wir auch die Risiken und Nebenwirkungen der Transformation. Wir haben ein neues Motto ausgegeben: "Sicherheit vor FunktionalitÀt".

Wir haben eine große Awareness-Kampagne auf den Weg gebracht, um unsere Mitarbeiter noch mehr fĂŒr den sicheren Umgang mit der IT zu sensibilisieren. Außerdem haben wir zusammen mit einem E-Learning-Anbieter einen sogenannten IT-FĂŒhrerschein entwickelt. Mitarbeiter, die hier mit IT zu tun haben, mĂŒssen einen zehn Fragen umfassenden Online-Test bestehen, um ĂŒberhaupt mit der IT arbeiten zu dĂŒrfen.

Und schließlich haben wir in unsere technische Infrastruktur und IT-Sicherheitsarchitektur investiert. Neben den regelmĂ€ĂŸigen Penetration-Tests haben wir unter anderem ein Sandbox-System implementiert, in dem verdĂ€chtige E-Mail-AnhĂ€nge geprĂŒft und gegebenenfalls entschĂ€rft werden.

Das heißt nicht, dass wir die Chancen der Digitalisierung nicht weiter nutzen, aber eben mit angezogener Handbremse und mit viel GefĂŒhl fĂŒr die Gefahren, die die Digitalisierung zweifelsohne mit sich bringt.

Wie kommt das bei den Mitarbeitern an?

Nicolas KrĂ€mer: NatĂŒrlich gab es nicht nur Applaus, wenn Maßnahmen durchgesetzt worden sind, die die FunktionalitĂ€t eingeschrĂ€nkt haben. Auf der anderen Seite waren viele unserer Mitarbeiter 2016 von der IT-Krise betroffen und haben am eigenen Leib die Auswirkungen spĂŒren mĂŒssen. Sie haben volles VerstĂ€ndnis dafĂŒr, dass wir unsere IT-Sicherheitspolitik nochmal ĂŒberdacht haben.

Digitalisierung weiter als Chance sehen

Treiben Sie die Digitalisierung Ihrer Klinik jetzt mit angezogener Handbremse voran?

Nicolas KrĂ€mer: Nein, ich bin nach wie vor ein großer Freund der Digitalisierung in der Gesundheitswirtschaft. Ich nenne Ihnen ein Beispiel: Alle 18 Rettungswagen bei uns im Rhein-Kreis Neuss sind mit telemedizinischen EKG-GerĂ€ten ausgestattet. Wenn also ein Patient mit Verdacht auf einen Herzinfarkt zu uns ins Lukaskrankenhaus gebracht wird, wird im Notarztwagen ein EKG geschrieben. Diese Daten werden telemetrisch in unsere "Chest Pain Unit" ĂŒbertragen, wo sich die Mitarbeiter gezielt auf den einzelnen Patienten vorbereiten können. Dadurch ist die Sterberate um ganze 23 Prozent gesunken. Das ist ein messbarer Vorteil der Digitalisierung.

Wenn wir ĂŒber die IT-Sicherheit sprechen ist auch die Frage, ob die Daten der Patienten in der analogen Welt so viel besser geschĂŒtzt sind als in der digitalen Welt. Ich weiß genau, wie ein durchschnittliches Patientenakten-Archiv in einem Krankenhaus aussieht. Das ist der feuchte Keller, der Dachboden oder das Logistikzentrum irgendwo in der Peripherie ohne KameraĂŒberwachung, WĂ€rter oder VorhĂ€ngeschloss. Da kann jeder, der ein bisschen kriminelle Energie mitbringt, einsteigen und mit diesen Daten, die 30 Jahre aufbewahrt werden mĂŒssen, Schindluder treiben. Das interessiert in Deutschland niemanden. Aber immer dann, wenn es um Big Data geht, bricht hierzulande Paranoia aus.

Ich sage ganz klar, die Chancen der Digitalisierung sind riesig. Insbesondere wenn wir an die Zukunft denken, kann ich sagen, dass das Gesundheitswesen vor einem echten Paradigmenwechsel steht. Dabei geht es nicht um FitnessarmbĂ€nder oder darum, dass viele Patienten erstmal den persönlichen Leibarzt Doktor Google konsultieren und der Krankenhausarzt fĂŒr die Zweitmeinung zustĂ€ndig ist. Da reden wir ĂŒber 3D-Drucker, mit denen menschliche Kniegelenke und Organe reproduziert werden können. Ich denke an Big-Data-Analysen, mit denen es möglich sein wird, Krankheiten zu heilen, die heute noch als unheilbar gelten. Der Nutzen der Digitalisierung der Medizin ist so groß, dass man die Risiken zwar ernst nehmen, die Potenziale aber auf gar keinen Fall unterschĂ€tzen sollte.

Mussten Sie nach dem Angriff weitere Attacken abwehren?

Nicolas KrĂ€mer: Ich gehe davon aus, dass wir jeden Tag angegriffen werden. Ich gehe aber auch davon aus, dass unserer Abwehrsysteme mittlerweile so gut sind, dass diese Angriffe keinen Schaden anrichten. Wobei es natĂŒrlich immer abzuwarten bleibt, wie es uns gelingen wird, unsere Abwehrsysteme auch aktuell zu halten. Denn die Schutzmechanismen mĂŒssen sich genauso weiterentwickeln, wie die Angriffsmethoden der Hacker. IT-Sicherheit ist keine statische Angelegenheit, sondern ein dynamischer Prozess.

Haben Sie als GeschĂ€ftsfĂŒhrer Ihre Aufmerksamkeit nach dem Angriff 2016 stĂ€rker auf die IT-Sicherheit gelenkt?

Nicolas KrĂ€mer: Wir haben auch in den beiden Jahren vor diesem Cyberangriff deutlich mehr in IT-Sicherheit investiert als ein durchschnittliches Krankenhaus. Trotzdem konnte der Angriff gelingen. Wenn man ĂŒber Tage und Wochen im Krisenstab verharrt und das miterlebt, was wir im Februar 2016 erfahren haben, hat das natĂŒrlich Nachwirkungen. Das fĂŒhrt dazu, dass man das Thema IT-Sicherheit nochmal anders betrachtet, denn nur aus Fehlern lernt man. Die Umsetzungsphase dauert bis zum heutigen Tage an.

Sie sind also heute noch dabei, die letzten 20 Prozent des Wiederaufbaus abzuschließen?

Nicolas KrÀmer: Ja, aber jetzt sind wir wirklich im Promille-Bereich. Wir sind in der Phase der kontinuierlichen und strategischen Weiterentwicklung.

Cyberversicherung ist ein Muss

Haben Sie zum Abschluss einen Ratschlag fĂŒr andere Unternehmen, die sich Ă€hnlichen Risiken ausgesetzt sehen wie Sie?

Nicolas KrĂ€mer: Ich kann nur jedem empfehlen eine Cyberversicherung abzuschließen. Ich bin fĂŒr den unwahrscheinlichen Fall, dass der Goldhamster meiner fĂŒnfjĂ€hrigen Tochter ĂŒber die Straße rennt und eine Massenkarambolage verursacht, ĂŒber die Haftpflicht versichert. Die Eintrittswahrscheinlichkeit dieses Risikos liegt im Promille-Bereich. Die Eintrittswahrscheinlichkeit eines Cyberangriffs auf mein Unternehmen – gerade auf ein Krankenhaus – liegt bei ĂŒber 50 Prozent. Aber deutlich unter 50 Prozent der Betriebe verfĂŒgen ĂŒber eine Cyberversicherung.

So eine Versicherung schĂŒtzt mich zwar nicht davor Opfer eines Angriffs zu werden. Aber sie hilft, den immensen Schaden abzudecken. Deswegen kann ich die zögerliche Grundhaltung vieler meiner Kollegen an der Stelle nicht verstehen. Eine Cyberversicherung kostet nicht besonders viel Geld. Sie ist auch im Hinblick auf die Haftung des GeschĂ€ftsfĂŒhrers – Stichwort FahrlĂ€ssigkeit – um Schaden vom Unternehmen abzuwenden, ein ganz wichtiger Baustein.

Hatten Sie 2016 so eine Versicherung?

Nicolas KrĂ€mer: Die hatten wir nicht. Wir haben sie danach abgeschlossen. Aber es ist sicherlich mehr als ein Placebo, denn die Bedrohungslage ist vielen nicht bewusst. Eine Befragung von Roland Berger unter KrankenhausgeschĂ€ftsfĂŒhrern vor zwei Jahren hat belegt, dass 64 Prozent der 2.000 KrankenhĂ€user in Deutschland etwas Ähnliches erlebt haben wie wir. Das drĂŒckt aus, wie die Bedrohungslage tatsĂ€chlich ist.

2461484