Cyber-Angriff auf Uniklinik Düsseldorf: BSI warnte vor Schwachstelle

Binärcodes auf einem Monitor. Dazwischen das Wort "Gehackt" in roter Schrift.

Cyber-Angriff auf Uniklinik Düsseldorf: BSI warnte vor Schwachstelle

Von Tobias al-Shomer und Britta Kuck

Das Bundesamt für Sicherheit in der Informationstechnik warnte im Januar vor Schwachstellen. Der Angriff auf die Uniklinik Düsseldorf war nicht der erste auf ein NRW-Krankenhaus.

Der Hackerangriff auf das Universitätsklinikum Düsseldorf hätte möglicherweise verhindert werden können. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte, hat es bereits im Januar vor Schwachstellen in Citrix-Systemen gewarnt.

Die Behörde ruft deshalb dazu auf, dringend die seit Januar vorhandenen Updates einzuspielen, um die Sicherheitslücke zu schließen. Unternehmen und Behörden sollten das nicht aufschieben.

Der neueste Angriff zeige, wie gefährlich Sicherheitslücken sein könnten. Das BSI wisse von weiteren nicht ausreichend gesicherten Netzwerken bei Einrichtungen - auch bei kritischer Infrastruktur.

Kritische Infrastrukturen brauchen hohe IT-Sicherheit

Nach dem Hacker-Angriff kommt grundsätzlich die Frage auf: Wie sicher sind Krankenhäuser? Und muss ich mir als Patient Sorgen um meine Daten machen? Denn: Düsseldorf war nicht der erste Fall.

Schon 2016 legten Hacker das IT-System des Lukaskrankenhauses in Neuss für Wochen lahm. Ein Erpressungsversuch, auf den das Krankenhaus nicht einging - auch, um zu zeigen, dass es selbst in der Lage ist, seinen Gesundheitsbetrieb aufrecht zu erhalten.

Zu wenig qualifiziertes IT-Personal in Kliniken

Krankenhäuser zählen zu den Kritischen Infrastrukturen (KRITIS). das sind Einrichtungen oder Organisationen mit hoher Bedeutung für den Staat und die Bevölkerung. Deshalb bräuchten Kliniken auch besondere IT-Sicherheits-Strukturen, sagt der Cyber-Sicherheitsexperte Norbert Pohlmann, Professor an der Westfälischen Hochschule. Dem WDR sagte er: "Theoretisch kann so ein Hacker-Angriff auf Krankenhaus-IT immer passieren. Die Krankenhäuser müssen aber dafür sorgen, dass ihre Software nicht von außen angegriffen werden kann."

Andere Branchen, die ebenfalls zu den KRITIS gehören - wie die Energieversorger - seien da schon viel besser aufgestellt, so Pohlmann. Der Universitätsprofessor beklagt, dass Kliniken zwar auf gutes Personal bei Ärzten und im Pflegebereich achten, dass in den IT-Bereichen der Krankenhäuser aber zu wenig qualifiziertes Personal arbeite. Mit anderen Worten: Viele Krankenhäuser haben die Digitalisierung verschlafen und müssten spätestens jetzt handeln.

Kliniken könnten im IT-Bereich zusammenarbeiten

Eine Lösung könnte sein, dass die Kliniken zwar Standard-Software kaufen, diese dann aber von außen so abschotten, dass Angreifer nicht darauf zugreifen können. Die Krankenhäuser könnten sich aber auch zusammentun und gemeinsam Software entwickeln, die viel sicherer ist als Standard-Software. Spezielle Software sei nämlich auch bedeutend teuer, sagt Pohlmann. Bis zu 20 Prozent mehr müsse man dafür zahlen.

Die NRW-Landesregierung reagierte auf den jüngsten Hacker-Angriff und will künftig mehr Geld für die Sicherheit der IT-Systeme bereitstellen - voraussichtlich 900 Millionen Euro, davon 630 Millionen aus Bundesmitteln.

Stand: 17.09.2020, 19:13

Aktuelle TV-Sendungen