In den letzten Monaten und Jahren sind auch französische Krankenhäuser Ziel von Cyberangriffen geworden. Eine aktuelle Untersuchung des Rechnungshofs hebt die ernsten IT-Sicherheitslücken in diesen Einrichtungen hervor und bietet einige Ansätze zur Stärkung des Schutzes.
In den letzten Jahren haben Cyberangriffe auf Gesundheitsorganisationen rasant zugenommen. Der Bericht des Rechnungshofs, der am 3. Januar veröffentlicht wurde und den Zeitraum von 2019 bis 2023 umfasst, stellt eine besorgniserregende Tatsache fest: Fast 10 % der Ransomware-Angriffe in Frankreich richten sich gegen Krankenhäuser. Diese alarmierend hohe Zahl ist auf mehrere Faktoren zurückzuführen, darunter veraltete IT-Systeme, ein Mangel an Bewusstsein und begrenzte IT-Budgets.
Angesichts der sich verschärfenden Folgen für das Gesundheitswesen und die Datensicherheit ist eine dringende Zusammenarbeit zwischen öffentlichen und privaten Akteuren erforderlich. Es ist wichtig zu betonen, dass die Bedrohungen nicht nur die Krankenhäuser betreffen, sondern auch medizinisch-soziale Einrichtungen. Die Herausforderung ist gewaltig.
Zunahme der Cyberangriffe auf Krankenhäuser
Hierbei handelt es sich nicht um übertriebene Berichterstattung, sondern um eine Feststellung des Rechnungshofs, die von französischen Cybersicherheitsexperten seit geraumer Zeit anerkannt wird.
Die Zahlen belegen, dass die Cyberangriffe auf französische Krankenhäuser zwischen 2019 und 2023 erheblich zugenommen haben. Im Jahr 2023 beispielsweise wurden neun schwere Cyberangriffe registriert, die Einrichtungen wie das Universitätsklinikum Rennes und das Krankenhaus in Cannes betrafen.
Bei diesen Angriffen werden häufig riesige Sicherheitslücken in den Informationssystemen ausgenutzt, deren Komplexität die vieler anderer Arbeitsbereiche übersteigt. Die Angriffe erfolgen vorwiegend über Ransomware, Datenbankkompromittierungen und schadhafte Nachrichten, die die ssysteme der Krankenhäuser erheblich anfällig machen.
Veraltete Computersysteme in den Krankenhäusern
Die Mehrzahl der Krankenhäuser setzt noch immer auf überholte IT-Ausrüstungen. Über 20 % der Arbeitsstationen verwenden Betriebssysteme, die nicht einmal aktuell sind, was jeden Experten für Cybersicherheit in Alarmbereitschaft versetzen sollte!
Im Durchschnitt fließen lediglich 1,7 % der Budgets der Krankenhäuser in die Digitalisierung, was deutlich unter den 9 % der Bankbranche liegt. Diese technischen und finanziellen Defizite erhöhen das Risiko eines Angriffs signifikant. Und die aktuellen Investitionen sind nicht ausreichend, um die veraltete Infrastruktur zu kompensieren, wodurch die Systeme in den Krankenhäusern noch verwundbarer werden.
Die Auswirkungen von Cyberangriffen auf den Betrieb von Krankenhäusern sind erheblich. Störungen in der Leistungsfähigkeit führen manchmal sogar dazu, dass Behandlungen absagen oder Patienten verlegt werden müssen, was wiederum gesundheitliche Risiken birgt.
Nach einem Cyberangriff im November 2022 benötigte ein französisches Krankenhaus mehr als ein Jahr, um sein ursprüngliches Aktivitätsniveau zurückzuerlangen, wobei die chirurgischen und geburtshilflichen Kapazitäten um 20 % sanken. Der Wiederaufbau des Informationssystems dauerte genau 18 Monate. Zudem führte die manuelle Pflegeverwaltung im degradierten Modus zu Verzögerungen und Fehlern, die möglicherweise die Behandlungsqualität beeinträchtigten.
Wirtschaftliche Belastungen und erhebliche finanzielle Konsequenzen für die Pflegequalität
Die finanziellen Folgekosten von Cyberangriffen sind enorm. Krisenmanagement, Wiederherstellung und Einnahmeverluste können für einzelne Einrichtungen bis zu 30 Millionen Euro betragen. Diese schwerwiegenden Beträge schränken zunehmend die erforderlichen Investitionen ein, um die Systeme zu sichern. Die regionalen Mittel, die teilweise zur Unterstützung betroffener Krankenhäuser mobilisiert werden, sind oft nicht ausreichend, um ein effektives Krisenmanagement auf bundesweiter Ebene zu gewährleisten.
Cyberangriffe gefährden auch Tausende medizinischer und persönlicher Daten, die oft im Darknet verbreitet oder verkauft werden. Im Jahr 2024 kam es im Krankenhauszentrum von Cannes zu einem Datenleck von 61 Gigabyte, das Personalausweise, Gehaltsabrechnungen, medizinische Gutachten und RIB enthielt, alledem standen zum Verkauf.
Solche Verstöße gegen die Vertraulichkeit bringen sowohl Mitarbeiter als auch Patienten in große Gefahr, einschließlich des Risikos von Identitätsdiebstahl.
Neben den finanziellen Verlusten und dem Betrugsrisiko für Patienten und Pflegekräfte unterbrechen Cyberangriffe zudem die Kontinuität der Gesundheitsversorgung. Der Umstieg auf manuelle Systeme im eingeschränkten Modus verlängert die Bearbeitungszeiten und erhöht das Fehlerrisiko. Dies hat negative Auswirkungen auf die Qualität der angebotenen Dienstleistungen. Fachkräfte im Gesundheitswesen, die ohnehin schon unter Stress stehen, sehen sich dann auch mit erschwerten Arbeitsbedingungen konfrontiert, was ihren Stresslevel weiter erhöht und ihre Effizienz mindert. Dies ist ein echter Teufelskreis.
Perspektiven für einen besseren Umgang mit der Cyberbedrohung
Es mangelt nicht an Ansätzen, um aus diesem Klima der ständigen Bedrohung herauszukommen. Der Bericht des Rechnungshofs hebt insbesondere das im Jahr 2023 gestartete CaRE-Programm (Cyber-Beschleunigung und Resilienz von Einrichtungen) hervor, das bis 2027 rund 750 Millionen Euro in die Verbesserung der Cybersicherheit von Krankenhäusern investieren soll.
Das Programm zielt darauf ab, den Schutz kritischer Systeme zu verstärken, regelmäßige Prüfungen durchzuführen und die Teams im Krisenmanagement zu schulen. Außerdem sollen mit diesen Mitteln Initiativen unterstützt werden, die eine Schulung des Gesundheitspersonals im Umgang mit digitalen Vorfällen beinhalten.
Der Bericht hebt auch die Notwendigkeit einer kontinuierlichen und anfänglichen Schulung des Gesundheitspersonals hervor, um das Bewusstsein für Cyberrisiken zu stärken. Die Hohe Behörde für Gesundheit (HAS) integriert nun digitale Kriterien in die Zertifizierung von Einrichtungen, die regelmäßige Audits durchführen, um sicherzustellen, dass diese eingehalten werden. Manchmal werden auch Audits in Zusammenarbeit mit ANSSI durchgeführt, um Systemanfälligkeiten besser zu identifizieren und zu beheben.
Es darf nicht vergessen werden, dass Cybersicherheit nicht nur eine technische Notwendigkeit ist, sondern eine grundlegend wichtige Voraussetzung für die Qualität und Kontinuität der Versorgung.