Endlose Wartezeiten, fehlende Betten, Notstand in der Notaufnahme? Es sind Schlagzeilen, die in Grossbritannien niemanden überraschen. Das Gesundheitssystem auf der Insel ist chronisch überlastet. Als jüngst bekannt wurde, dass mehrere Spitäler schlicht nicht mehr in der Lage sind, die Versorgung zu garantieren, sprachen selbst Politiker von der schlimmsten Situation in den Spitälern seit Jahren.

Und jetzt auch noch das: Hackern ist es gelungen, per E-Mail einen Trojaner namens «Wanna Cry» auf weltweit Zehntausenden Rechnern zu installieren. Auf den Bildschirmen war zu lesen, das System sei gesperrt und werde erst nach Zahlung eines Lösegelds wieder freigeschaltet. Besonders betroffen von der Attacke sind Spitäler in Grossbritannien. In rund einem Fünftel der Institutionen des nationalen Gesundheitsdienstes NHS ist der Betrieb seit Freitagabend behindert. Mediziner kamen nicht mehr an Patientenakten, Operationen und Untersuchungen mussten verschoben werden.

Sicherheitslücken im Netzwerk

Allen Wehklagen zum Trotz ist das Gesundheitssystem in der Schweiz nicht nur weniger am Anschlag. Laut dem Spitalverband H+ blieben die hiesigen Kliniken auch von «Wanna Cry» verschont. Doch Fachleute sind sich einig: Das Risiko entsprechender Attacken ist hierzulande ebenfalls hoch. In der nationalen Cyber-Risiko-Strategie wird das Gesundheitswesen denn auch als kritische Infrastruktur benannt. Heute ist der Schaden bei Attacken auf Computer zwar meist abstrakt. Nun aber könnte dieser physisch spürbar werden. Gerade in der Medizintechnik gehe es um «Leben und Tod», schreibt die Meldestelle für Internetsicherheit (Melani) des Bundes in einem Lagebericht.

Dabei ist klassische Hacker-Software, die etwa Dateien verschlüsselt, nur ein Teil der Problematik. Denn immer mehr Geräte in Spitälern sind über eingebaute Chips mit dem Internet verbunden. Tomografien oder Narkosegeräte sind an Netzwerke angeschlossen. Und selbst Spritzenpumpen sind längst online. Patienten bekommen damit Medikamente intravenös verabreicht. Wer die Dosis ändern will, muss ein Passwort eingeben.

Wie schlecht viele Spitäler in der Schweiz gegen solche Attacken geschützt sind, zeigt eine wissenschaftliche Untersuchung des ETH-Elektroingenieurs Martin Darms von 2015. Das Resultat: Bei der Sicherheit sind die Unterschiede gross. Manche Spitäler sind offenbar zehnmal schlechter geschützt als andere. In jedem System gebe es durchschnittlich eine kritische Stelle, so Darms.

Eine Attacke über das Internet ist laut der Untersuchung zwar nur schwer möglich. Die internen Netzwerke sind teilweise jedoch stark veraltet: Gewisse Spitäler schützen ihre Systeme nur mit Standard-Passwörtern. Genau das ist das häufigste Einfallstor für Hacker.

Keine Leitlinien

Der Zufall will es, dass sich der Bundesrat ausgerechnet nach seiner letzten Sitzung ausführlich zur Cybersicherheit im Gesundheitswesen geäussert hat – nur zwei Tage vor der international bisher wohl grössten Attacke auf Spitäler. In ihrer Stellungnahme zu einer Interpellation der Solothurner SP-Nationalrätin Bea Heim nimmt sich die Landesregierung aus der Verantwortung. Die Eigenverantwortung sei ein wichtiger Grundsatz. «Jedes Unternehmen ist für den sicheren Betrieb seiner Informatik-Infrastruktur selber verantwortlich.»

Der Bundesrat weist immerhin darauf hin, dass die Strategie für den Bereich «E-Health» erneuert werden soll. Zuständig dafür ist das Innendepartement von Alain Berset. Es solle auch geklärt werden, «ob zur Förderung der Datensicherheit im Gesundheitswesen zusätzliche Massnahmen nötig sind». Eine Absage kassiert dagegen die Forderung nach Leitlinien für die Cybersicherheit in der Gesundheitsversorgung. Solche bestehen unter anderem in der EU.

Nationalrätin fordert Standards

Gesundheitspolitikerin Heim ist mit den Antworten nicht zufrieden. «Beim Bund scheint sich niemand wirklich zuständig zu fühlen.» Die Kantone könnten die Verantwortung nur schon aus Ressourcengründen kaum alleine übernehmen, warnt sie. Ebenso fatal sei es, diese allein auf die Spitalleitungen und die Hersteller von Medizinalprodukten abzuschieben. Tatsächlich gibt es in der Schweiz bisher nicht einmal eine Meldepflicht für Cybervorfälle. Gerade Spitäler fürchten sich oft vor Imageschäden.

Für Heim ist klar: «Der Bund muss in Zusammenarbeit mit den Kantonen nun rasch den koordinierenden Lead übernehmen zur Umsetzung von IT-Sicherheitsstandards, und zwar sowohl in der ambulanten als auch in der stationären Gesundheitsversorgung.» Geht es nach ihr, dann werden sogenannte Standardchecks, Schwachstellenanalysen oder Penetrationstests zu selbstverständlichen Bestandteilen eines Sicherheitsmanagements.

Die Sozialdemokratin will deshalb das Gespräch mit Fachleuten suchen und politisch dranbleiben. Der Rückendeckung darf sie sich sicher sein: Ihr Vorstoss zur Cybersicherheit wurde von 30 Nationalräten aller Fraktionen unterstützt.

Lesen Sie ausserdem:

Europol-Chef warnt vor neuer Hackerattacke am Montag – Microsoft gibt Regierungen Mitschuld