Granges-Paccot 14.02.2020

«Eine neue Dimension der Bedrohung»

Matthias Spielmann, Direktor des Spitals Wetzikon: «Eine solche Geschichte brauche ich nicht noch einmal.»
Im Oktober 2019 ist das Spital Wetzikon Opfer eines gross angelegten Hacker-Angriffs geworden. Zwar ging der Betrieb weiter, aber die Aufarbeitung dauert bis heute an. Der Direktor gab gestern Einblick in den Fall.

Das Regionalspital Wetzikon hat rund 170 Betten, verzeichnet im Jahr 11 500 stationäre Aufenthalte, hat ein Budget von 150 Millionen Franken und gibt jährlich 6 Millionen Franken für Informatik und Telekommunikation aus.

Das Spital Wetzikon betreibt die Informatik im Verbund mit drei anderen Spitälern. Im Oktober 2018 unterzog es sich einem Cyber-Security-Test, bei dem sogar Audit-Mitarbeiter in weissen Kitteln ins Spital traten und das Personal testeten: «Kannst Du mir mal das Passwort sagen? Ich bin neu hier.»

Der Test brachte zahlreiche Schwächen zutage, sagte gestern der CEO des Spitals, Matthias Spielmann, an einer Präsentation der Swiss Cyber Security Days in Granges-Paccot. Ein Problem sei das fehlende Bewusstsein bei den Mitarbeitenden gewesen, ein anderes die mangelhafte Netzwerk-Architektur.

Das Spital traf Massnahmen im technischen Bereich und machte auch Schulungen beim Personal. Dabei musste man gewissen Mitarbeitern ins Gewissen reden, so Spielmann. «Es gab Chefärzte, die Zahlungen an die Bank vom Spital aus machten. Es gibt viele einfache Entschuldigungen, so etwa, dass man 16 bis 18 Stunden am Tag im Spital arbeite. Aber es darf keine privaten Strukturen in einem Geschäftssystem geben.»

Ein Jahr nach dem Test

Das Spital Wetzikon hatte also seine Hausaufgaben gemacht, aber genau ein Jahr nach dem Test trat der Ernstfall trotzdem ein. Der Betreiber Logicare teilte mit, dass etwas nicht funktioniere. Er stellte Hinweise auf eine Infektion fest. Es handelte sich um Emotet- und Trickbot-Computer-Schadprogramme.

«Es ist eine neue Dimension der Bedrohung», sagte Spielmann gestern. «Das Schadprogramm kommt als täuschend echt getarnte Antwort auf ein tatsächlich versandtes Mail herein. Wenn ein Anhang geöffnet wird, öffnet es Passwörter, verschickt weitere Mails und lädt neue Schadprogramme herunter.»

Dies könne zu verschlüsselten Daten, gelöschten Back-ups und Lösegeldforderungen führen, so Spielmann.

Beim Spital Wetzikon kam es nicht so weit, wie der Direktor erklärte. Dies dank schnellem Reagieren, Kommunikation und auch einer Portion Glück. Auch andere Organisationen wurden mit dieser Malware angegriffen und zum Teil tagelang blockiert, sagte Spielmann. Beispiele sind das Bauunternehmen Losinger Marazzi, der Rüstungsbetrieb Ruag und der FC Basel.

Patientendaten manipulieren?

Der Angriff auf sein Spital schockierte Matthias Spielmann. «Die Internetkriminalität erreicht im Gesundheitswesen neue Sphären, in denen nicht nur eine Infrastruktur blockiert und Lösegeld gefordert wird, es kann sogar auch Todesfolgen haben.»

Spielmann erwähnte beispielsweise das Fälschen von Laborwerten und die Änderung von Medikationen, das Manipulieren eines Schmerzpumpsystem oder das Verändern eines Röntgenbildes. «Hier können Hackerangriffe über Leben und Tod entscheiden.» Das Bewusstsein für solche Probleme sind für Spielmann insbesondere im Hinblick auf die bevorstehende Einführung des elektronischen Patientendossiers wichtig. «Wenn diese nicht 100-prozentig sicher sind, wird das Projekt zum Rohrkrepierer.»

Ältere Maschinen entsorgen

Beim Angriff auf das Spital Wetzikon konnte das schlimmstmögliche Szenario verhindert werden, sagte der Direktor im Rückblick. «Es gab keinen gesamten Ausfall des Systems. Der Spitalbetrieb konnte aufrechterhalten werden.» Unter Zuzug der IT-Firma, weiterer Fachleute und eines extremen Einsatzes der eigenen Mitarbeiterinnen und Mitarbeiter konnte der Schaden begrenzt werden. «Die Erkennungsphase dauerte drei Tage, die Phase der Sofortmassnahmen nochmals drei Tage, und die Behebung der Probleme dauert bis heute an», so der Spitaldirektor. «Wir haben rund 5000 Geräte. Viele der älteren können wir nicht mehr gebrauchen.» Finanziell sei der Schaden mit 300 000 Franken verhältnismässig glimpflich verlaufen. Es stelle sich nun die Frage, welcher Sicherheitsstandard nötig sei. «Wir können nicht 5 Millionen Franken dafür aufwenden», so Spielmann.

Bei einer gesundheitlichen Infektion wisse man in einem Spital, wie vorgegangen werden müsse, sagte Spielmann. «Bei der IT stehen wir aber noch in den Kinderschuhen.» Für ihn ist klar: «Es darf nicht sein, dass dadurch die Arbeit verkompliziert wird. Die normale Arbeit muss weitergehen.»

Für ihn geht der Schutz gegen Cyber-Angriffe über die Schulung des Personals. Aber seit Oktober seien bereits wieder drei Phishingmails aufgetaucht. «Wir mussten informieren, dass man beispielsweise aufpassen muss beim Öffnen einer elektronischen Weihnachtskarte. Ich brauche eine solche Geschichte nicht noch einmal.»

Mitarbeitenden macht Spielmann keinen Vorwurf: «Menschen sind nicht das Problem. Sie sind Teil der Lösung.»

Bilanz

Eine Plattform für Cybersicherheit geschaffen

Mit ihrer zweiten Ausgabe haben sich die Swiss Cyber Security Days als die Referenzplattform für Cybersicherheit in der Schweiz eta­bliert. Dies teilten die Organisatoren gestern zum Abschluss des zweitägigen Events im Forum Freiburg mit. Gegen 2700 Personen nahmen am Anlass teil; die Besucherzahl liegt um 20 Prozent höher als im Vorjahr. Auch die 120 Aussteller übertrafen die Erwartungen der Organisatoren. Insgesamt traten 70 zum Teil hochkarätige Referenten auf. CEO Béat Kunz ist erfreut, dass es gelungen ist, mit den Swiss Cyber Security Days die Sprachgrenze zu überwinden. So kamen aus der Deutschschweiz 50 Prozent der Besucher angereist, 40 Prozent aus der Westschweiz und 10 Prozent aus anderen Regionen.

uh