Ihr Browser ist veraltet. Bitte aktualisieren Sie Ihren Browser auf die neueste Version, oder wechseln Sie auf einen anderen Browser wie ChromeSafariFirefox oder Edge um Sicherheitslücken zu vermeiden und eine bestmögliche Performance zu gewährleisten.

Zum Hauptinhalt springen
Schweiz
Abonnieren

Gravierende Sicherheitslücken
Hacker haben bei Spitälern leichtes Spiel

Innert kürzester Zeit konnte ein Testinstitut bei verschiedenen Spitälern Patienten­daten unter seine Kontrolle bringen. Betroffen ist auch die Insel-Gruppe.

Marius Aschwanden
Der Eingang zur Notfallstation des Inselspitals in der Nacht mit beleuchtetem Notfallzeichen.
Das Berner Inselspital steht wegen IT-Sicherheitslücken in der Kritik.
Foto: Adrian Moser
Jetzt abonnieren und von der Vorlesefunktion profitieren.
Abo abschliessenLogin
BotTalk
In Kürze:
  • Schweizer Spitäler waren in den letzten Jahren oft Ziel von Cyberangriffen.
  • Ein Bericht zeigt, dass viele Systeme in Kliniken leicht angreifbar sind.
  • Das Inselspital analysiert nun die identifizierten Sicherheitslücken und plant schrittweise Verbesserungen.
  • Experten befürchten, Cybersicherheit werde in Spitälern nicht ernst genommen.

Als nicht einmal mehr die Telefone funktionierten, schlugen die Angestellten des Notfallzentrums Alarm. Es war der Morgen des 27. Februar 2018, der Tag, an dem das Berner Inselspital seinen bislang gravierendsten Informatikausfall zu verzeichnen hatte.

Insgesamt dauerte es drei Tage, bis alles wieder so lief, wie es sollte. Zwischenzeitlich mussten Operationen verschoben werden, Systeme liefen nicht mehr, Patientendaten konnten nicht abgerufen werden.

Ob es sich damals um einen Hackerangriff handelte, ist bis heute unklar. Die Ermittlungen der Staatsanwaltschaft führten zu keinem Ergebnis. Erstaunen würde eine Attacke aber nicht. Denn Spitäler und Arztpraxen werden immer wieder Opfer von Cyberkriminellen – zuletzt etwa die Westschweizer Praxisgruppe Vidymed.

Jetzt zeigt ein neuer Bericht des unabhängigen Nationalen Testinstituts für Cybersicherheit (NTC), dass die Hacker zumindest teilweise leichtes Spiel haben. Denn verschiedene Schweizer Kliniken setzten IT-Systeme ein, die «schwerwiegende Schwachstellen» aufweisen würden. Viele davon seien so offensichtlich und leicht auszunutzen, «dass sie innerhalb weniger Stunden nach Testbeginn die vollständige Kontrolle über das Klinik­informations­system und die darin enthaltenen Patientendaten ermöglichten», steht im Bericht.

Spitäler und Hersteller sind gefordert

Überprüft hat das Unternehmen drei Systeme, die in der Schweiz am weitesten verbreitet sind. Darunter ist jenes der Insel-Gruppe, welches das Unternehmen erst im März letzten Jahres eingeführt und für 83 Millionen Franken vom US-Unternehmen Epic gekauft hat.

Das IT-System kommt weltweit in über 2000 Spitälern zum Einsatz, in der Schweiz arbeiten erst das Kantonsspital Luzern und die Insel damit. Allerdings ist zu erwarten, dass in den kommenden Jahren weitere Kliniken auf Epic umstellen werden. Abklärungen laufen etwa am Unispital Zürich und im dortigen Kinderspital.

Welches System am anfälligsten für Attacken ist, gibt das Testinstitut nicht bekannt. «Wir wollen keine Angreifer auf den Plan rufen, sondern auf eine generelle Problematik hinweisen», sagt Tobias Castagna vom NTC. Sicherheitslücken würden aber alle drei Produkte aufweisen.

Moderner Gebäudekomplex des Inselspitals bei Dämmerung, mit beleuchteten Fenstern und klarem Abendhimmel.
Das neue IT-System wurde am Inselspital erst im letzten März eingeführt und kostete über 80 Millionen Franken.
Foto: Adrian Moser

Kann ein Spital nicht mehr auf das Klinikinformationssystem zugreifen, ist das betriebskritisch. Auf den Plattformen werden wichtige Patientendaten gespeichert, oft laufen auch administrative Prozesse wie die Schichtplanung oder die Rechnungsstellung darüber. Und zunehmend sind sogar Medizinalgeräte wie Herz-Lungen-Maschinen daran angeschlossen.

Für Castagna ist deshalb klar: Sowohl die Spitäler als auch die Hersteller der Systeme seien gefordert. «Die Spitäler müssen die IT-Sicherheit bei den Herstellern einfordern und diese anschliessend auch kontrollieren. Die Hersteller müssen es umsetzen.» Oft würden die Kliniken davon ausgehen, dass sich die Hersteller um das Thema kümmerten. Diese wiederum würden teilweise aber erst mehr in die Sicherheit investieren, wenn die Kunden reklamierten.

Inselspital will Lücken schliessen

Die Insel-Gruppe will nun erst einmal das Prüfungsergebnis analysieren, bevor sie dazu im Detail Stellung nimmt. Grundsätzlich habe sie und auch die Hersteller ein grosses Interesse daran, Schwachstellen zu finden. Deshalb habe sich das Unternehmen auch an den Kosten für die Prüfung beteiligt und diese so noch breiter möglich gemacht. Die identifizierten Lücken würden nun «sukzessive und risikobasiert» geschlossen.

Das Inselspital betont aber auch, dass der Bericht seinem Klinik­informations­system «ein überwiegend gutes Zeugnis» ausstelle und bestätige, dass die Cybersicherheit bereits bei der Entwicklung des Produkts im Fokus gestanden habe. Deshalb fühle sich das Unternehmen bestätigt, eine sichere Lösung beschafft zu haben.

Die IT beim Inselspital steht allerdings nicht zum ersten Mal in der Kritik. Schon 2019 stellte die Datenschutzaufsichtsstelle des Kantons Bern fest, dass es «grobe Mängel» gebe. Die Rede war von einem «grösseren Risiko für einen unkontrollierten Datenabfluss». Damals arbeitete das Inselspital noch mit rund 50 unterschiedlichen Systemen. Sie alle wurden von Epic abgelöst.

Nicolas Mayencourt ist nicht überrascht

Keine Überraschung sind die Befunde für Nicolas Mayencourt. Der Geschäftsführer der auf Cyberabwehr spezialisierten Berner Firma Dreamlab Technologies sagt: «Die Situation ist schon seit mehreren Jahren beunruhigend.»

Nicolas Mayencourt spricht auf einer Pressekonferenz der Swiss Cyber Security Days 2024.
Nicolas Mayencourt sagt, dass Spitäler zu wenig in die Cybersicherheit investieren würden.
Foto: Nicole Philipp

Dreamlab hat bereits 2020 die Informatik der Schweizer Spitäler auf ihre Sicherheit getestet – und ebenfalls schon damals gravierende Sicherheitslücken entdeckt. Seither würden jährliche Messwerte zeigen, dass sich die Situation nicht ausreichend verbessert habe.

Für Mayencourt hängt dies vor allem damit zusammen, dass in Spitälern die IT-Sicherheit nicht genug priorisiert werde. «Bei den Banken hat Sicherheit Tradition, schliesslich gab es den Bankräuber schon immer», sagt er. «Bei den Spitälern ist es ein eher neues Thema.»

Dabei führe die zunehmende Vernetzung von Medizin und Informatik zu unzähligen Schnittstellen, die alle ein potenzielles Einfallstor für Angreifer darstellen würden.

Marius Aschwanden ist Redaktor im Ressort Bern und schreibt schwerpunktmässig über Gesellschafts- und Gesundheitsthemen. Er ist Mitglied des Tamedia-weiten Netzwerks Recherche.@MariusAschwande

Jetzt aktuell

Mehr

Die Redaktion empfiehlt

Mehr

Mehr aus dieser Kategorie

Mehr