Kliniken im „Handbetrieb“ nach Cyberattacken und Fragen nach der Datensicherheit

Prioritäten und Pflichten

Daily Time Management © Liz Collet

Im gestrigen Beitrag Kliniken – {Sicherer} Hort Ihrer Patientendaten bei hartnäckig resistenten Viren?  wurden Fragen zu den Cyberattacken in Kliniken angesprochen. Dass und wie wenig fern diese und die Überlegungen zu dem Geschehen lagen, spiegelt ein Beitrag im Deutschen Ärzteblatt, den es lohnt, in und zwischen den Zeilen genau zu lesen.

Die Formulierung, dass im Neusser Lukaskrankenhaus bei jedwedem Patientengeschehen „derzeit alles an Papier und Stift“ hänge, mutet wie auch die weiteren Aussagen ein wenig verharmlosend an. Nicht nur, weil Ärzte und Angestellte wieder mit Zetteln, die mit der Hand geschrieben und aufwendig verteilt  werden müssen und es heisst

„Wir können beispielsweise Röntgenbilder machen, es läuft aber ab wie vor zehn Jahren“, schildert Klinik-Sprecherin Ulla Dahmen die Arbeitsabläufe.“

Denn was genau darf man sich darunter vorstellen? Wird nicht dasselbe Röntgengerät verwendet? Was konkret soll ein Patient sich davon für ein Bild machen, was genau wie vor 10 Jahren und daher anders ablaufe? Und hat das Einfluss auf die Qualität der Diagnose und Behandlung? Wenn ja, in welcher Weise? Wenn nein – erstaunlich und lehrreich für die Frage, ob und welche technischen, organisatorischen und anderen Änderungen in den letzten 10 Jahren wirklich sinnvoll, notwendig und auch als Kostenfaktor erforderlich und angemessen waren. Lehrreich auch für die Zukunft, welche etwaigen und vor allem kostenauslösenden Neuerungen sinnvoll und nötig sein werden, wenn sie keinen Einfluss auf die Versorgung und ihre Qualität für Patienten hätten?

Weiterhin steht nach dem Bericht fest:

„Nur zwei Tage nach dem Angriff in Neuss trifft eine weitere Cyberattacke das Klinikum Arnsberg im Sauerland. Der betroffene Server wird abgeschaltet, dann das komplette System heruntergefahren. Der Eindringling war wahrscheinlich in einem E-Mail-Anhang versteckt, „der besser nicht geöffnet worden wäre“, wie ein Sprecher des Klinikums sagt. Der einfache und schnelle digitale Datenaustausch zwischen den Abteilungen ist für mehr als einen Tag unterbrochen. „Befunde mussten persönlich, per Telefon oder Fax übermittelt werden“, sagt der Kliniksprecher.“

Wer öffnet denn – scheinbar nicht nur in EINER Klinik – solche -E-Mail-Anhänge und warum? In welchem Umfang ist hier ein Kompetenzmangel von (leitendem oder anderem) Personal evident geworden im Umgang mit E-Mail-Korrespondenz und der Differenzierung von schadfreien und schädigendem Inhalt? Welcher Nachholbedarf besteht hier an ausreichender Schulung?

Weiter ist zu lesen:

„Die beiden Fälle machen deutlich, wie empfindlich Kliniken im digitalen Zeitalter sein können – wenn sie sich nicht schützen. Viele Krankenhäuser haben komplett auf eine digitale Verwaltung von Patienteninformationen, klinischer Dokumentation und Finanzen umgestellt. Fällt die aus, wird es kritisch. „Wenn es kein Back-up gibt, beeinträchtigt ein Ausfall der Informations- und Kommunikationstechnik ein Krankenhaus erheblich“, sagt Christoph Unger, Präsident des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK). „Unsere Botschaft ist, dass man sich vorbereiten kann – man muss sich aber im Vorfeld damit befassen und nicht erst, wenn die Krise da ist.“

In den nun bereits bekannt gewordenen Fällen (und wieviele es noch gibt, die nicht bekannt gemacht wurden?) stellt sich aber genau die Frage, ob und wie weit man sich im Vorfeld ausreichend damit befasst und vorbereitet hat und warum der Ausfall der Informations- und Kommunikationstechnik seit voriger Woche andauert und in welcher Weise und in welchem Ausmass konkrete Beeinträchtigungen bestehen, die bereits seit vergangener Woche das Neusser Lukaskrankenhaus vom Normalbetrieb abhält. Eine Klinik, die damit wirbt, sie gehöre

„zu den TOP-Kliniken in Deutschland und erreicht jährlich eine Platzierung in der FOCUS-Klinikliste der 100 besten Kliniken in Deutschland.“

Über die Aussagekraft von derartigen Listen kann man nicht erst aus aktuellem Anlass ohnehin geteilter Meinung sein und ebenso wie andere Bestenlisten trefflich diskutieren. Die Relevanz solcher Listen und ihrer Kriterien zeigt sich nicht nur bei der Frage der Datensicherheit in technischer, organisatorischer und personeller Qualität und Qualifikation von Kliniken stets im Normalalltag, aber im Besonderen auch dann, wenn im Normalalltag Vorfälle wie der aktuelle zeigen, wie es mit der Datensicherheit wirklich bestellt ist und wie und wie sicher und schnell Cyberattacken diese in Frage stellen und damit die Funktionsfähigkeit einer Klinik und deren Abläufe und damit die Versorgung der Patienten.

Eine Klinik, die mit Bundesgesundheitsminister Hermann Gröhe und der „Visite 2.0“ mit dem iPad am Krankenbett für die Vorteile der völligen digitalen Patientenakte und -medizin wirbt als

ein tolles Beispiel, wie durch den Einsatz von Informationstechnik die Patienteninformation verbessert und Übertragungsfehler vermieden werden können.“

Auf den eingesetzten iPads mini sind alle diagnose- und pflegerelevanten Daten sofort abrufbar, die Ärzte können den Patienten direkt am Krankenbett den Behandlungsverlauf erläutern. Ärzte, Pflegekräfte und Patienten profitieren von den Möglichkeiten der Digitalisierung, weil alle behandlungsrelevanten Informationen in Echtzeit am Krankenbett verfügbar sind.

Dr. Nicolas Krämer, Kaufmännischer Geschäftsführer des Lukaskrankenhauses, betonte: „Das System bietet viele Vorteile. Unter anderem entfällt die zeitaufwändige Suche nach Dokumenten, Bildern oder Laborwerten. Deshalb können unsere Ärzte sich jetzt noch besser auf das Wesentliche konzentrieren – die Behandlung des Patienten.“

Und die u.a. in ihrer aktuellen Stellenanzeige zum nächstmöglichen Zeitpunkt für die Abteilung für Informationstechnologie einen Mitarbeiter KIS/IT-Administrator (m/w) sucht und sich in der Stellenanzeige selbst mit den Worten darstellt:

„Unsere Abteilung für Informationstechnologie genießt bundesweit hohes Ansehen für ihre fachliche Kompetenz und Innovationskraft. Mehrere unserer Projekte erhielten renommierte Auszeichnungen.
Als eines der ersten Krankenhäuser setzen wir konsequent auf mHealth als Erweiterung des klassischen Krankenhaus-Informationssystems. Wir forcieren den Weg zur ganzheitlichen elektronischen Patientenakte ebenso wie das Bedürfnis, unseren Kolleginnen und Kollegen modernste Technologie für ihre tägliche Arbeit mit unseren Patienten zur Verfügung zu stellen“

Verstehen wir uns recht – das tun in vergleichbarer und ähnlicher Weise auch andere Kliniken und das Lukaskrankenhaus in Neuss steht hier nur deshalb namentlich im Fokus der Betrachtung und der Fragen, weil es den Vorfall auch nach aussen kommuniziert hat und dieser damit medienöffentlich wurde. Andere aktuell ebenfalls betroffene Kliniken scheinen das, wie man nach den Berichten annehmen muss, nicht zu tun. Das berechtigt zu Fragen und Zweifeln, warum nicht und wieviele andere Kliniken davon betroffen sind oder schon waren und wie und wie schnell dortige Vorfälle von Cyberattacken gelöst wurden oder würden.

Im Neusser Lukaskrankenhauses kämpft ein Krisenstab zusammen mit Experten gegen den Cyber-Angriff. Ein Krankenhaus mit 540 Betten im Offline-Modus, im Handbetrieb:

„Die medizinische und pflegerische Versorgung der Patienten war jederzeit gewährleistet“, betont die Sprecherin. Auch die meisten Operationen fänden statt. Aber auf geplante besonders große Eingriffe – ungefähr zehn pro Tag – verzichten die Ärzte derzeit. Zudem fahren Rettungswagen bei besonders schweren Notfällen andere Kliniken an.

Die medizinische und pflegerische Versorgung der Patienten war jederzeit gewährleistet?

Wenn gerade geplante, besonders grosse Eingriffe, also in der Regel eben auch diejenigen, die schwerer erkrankte Patieten betreffen, nicht durchgeführt, sondern verschoben werden, ist deren Versorgung eben nicht zeitlich so gewährleistet, wie Patienten es erwarten können. Diese Eingriffe werden seit rund einer Woche nicht durchgeführt – wenn Patienten bereits im Krankenhaus sind, verlängert sich die Liegezeit, je nach Art der Erkrankung und beruflicher oder sonstiger Lebenssituation verzögert sich ihre Behandlung, Genesung und damit Wiederaufnahme ihrer Arbeitstätigkeit, hat die Verzögerung der Operation neben gesundheitlichen Beeinträchtigungen des Patienten durchaus auch Folgen für Kosten der zwischenzeitlichen und weiteren Behandlung, usw.

Wenn Rettungswagen bei besonders schweren Notfällen zudem andere Kliniken anfahren müssen, erfüllt die Klinik auch für diese eben gerade nicht den ihr obliegenden Anteil an der Versorgung von Patienten, sondern belastet durch ihren eigenen Ausfall andere Kliniken. Dabei ist noch nicht einmal die Frage angesprochen, ob und in welcher Weise die Anfahrt anderer (vielleicht nicht in den TOP 100 der Krankenhäuser gelisteten, aber ebenso medizinisch qualitativ geeigneten?) Kliniken bei besonders schweren Notfällen für die betroffenen Patienten durch längere Anfahrt, verzögerte Einlieferung mit Nachteilen und damit eben auch Nachteilen und Beeinträchtigungen ihrer Versorgung verbunden ist.

Das widerlegt nicht nur die behauptete Versorgung von Patienten, es zeigt auch die Anfälligkeit der Versorgung, wenn auch nur EINE Klinik in einer Stadt oder Region betroffen ist von Angriffen auf digitale Systeme in Krankenhäusern und Patientendaten und -akten und die Aufrechterhaltung oder Wiederherstellung von Arbeitsabläufen in Kliniken in medizinischer, struktureller, personeller und logistischer Hinsicht.

„Wie bei einem gefährlichen Virus im menschlichen Körper ging es auch bei der Schadsoftware in Neuss nach Schilderung der Klinikleitung darum, bei den ersten Anzeichen schnell ein Ausbreiten zu verhindern. Nach einer auffälligen Warnmeldung fuhren die Verantwortlichen die IT-Systeme herunter, um Patientendaten zu schützen. „Es gibt keinerlei Hinweise, dass Patientendaten abgeflossen sind“, sagt die Sprecherin. Ein Erpressungsversuch ging bei der Klinik nicht ein.“

So lesen wir es, aber: Dass es keine Hinweise geben soll, besagt nicht, dass Patientendaten nicht abgeflossen sein können. Nur, dass man solche nicht feststellen kann oder bisher erkennt.

 Und zudem sind in der Klinik in Arnsberg etwa 

„(…)Meldungen mit Geldforderungen hochgeploppt“, sagte der Sprecher dieses Klinikums. Man habe die isolierten, befallenen Daten der Polizei übergeben. „Wir haben bislang keine Erkenntnisse, dass es so etwas wie ein Muster von IT-Angriffen auf Krankenhäuser gibt“, erläutert BBK-Präsident Christoph Unger. „Es gibt Kriminalität, etwa Erpresser, es gibt Versuche, an Daten zu gelangen, es gibt einfach Verrückte.“

Und das soll nun beruhigend sein? Umsomehr im Zusammenhang mit der folgenden Aussage:

In Neuss lag nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zumindest kein gezielter Angriff vor. Es handele sich um Schadsoftware, die Daten verschlüssele und so weit wie möglich gestreut werde, sagt ein Sprecher. „Ein gewisser Prozentsatz ist erfolgreich“. Das BSI rät, nicht zu zahlen, Anzeige zu erstatten und vor allem: Daten regelmäßig zu sichern.

„So weit wie möglich gestreut“.………..gibt Anlass zu der bereits mehrfach gestellten Überlegung, ob, in welcher Weise und wieviele anderer Kliniken gegenwärtig und bisher betroffen waren und sind und warum die Schadsoftware überhaupt und wodurch „aktiviert“ werden kann und konnte und welche Kompetenzlücke oder Fehlverhalten von (leitenden) Mitarbeitern diese zu verantworten haben. Es sagt auch aus, dass bei breiter Streuung jede weitere Klinik betroffen sein kann.

Am Rande: Wissen Sie, wieviele Kliniken es in Deutschland gibt? Wer diesen im Fall eines Cyber-Angriffes intern oder extern als „Experten“ und „Krisenstab“ helfen kann oder hilft, wie diese ihrerseits qualifiziert sind und wieviele es gibt, die im Fall mehrerer betroffener Kliniken zeitnah abrufbar zur Verfügung stehen und kompetent den Schaden begrenzen und beheben können?

Und:

  • Lässt sich in Neuss oder Arnsberg feststellen, welcher Mitarbeiter die erwähnte(n) Mail(s) und Anhänge mit Malware öffnete und damit den Ausfall verursachte?
  • Gegen etwaige vorhandene arbeits- und dienstrechtliche Anweisungen der Klinikleitung?
  • Gab und gibt es dazu interne Anweisungen?
  • Wenn ja: welche (arbeitsrechtlichen und haftungsrechtlichen) Folgen hat der Vorfall für das Personal, das diesen zuwider handelte?
  • Wenn nein: warum nicht und welche Folgen hat das für die dafür zuständige Leitung der Klinik?

Und …………noch nachdenklicher machen sollte:

Wenn das bereits die Folgen und offenen Fragen und noch immer in Neuss ungelöste Probleme sind, die seit vergangener Woche dort Klinik und Krisenstab bei einem NICHT GEZIELTEN Angriff belasten und zu Folgen für Abläufe in der Klinik bei der Patientenversorgung und für die Ablehnung von Aufnahmen von Notfallpatienten führen, die andernorts in anderen Kliniken aufgenommen werden müsen – wie würde erst ein GEZIELTER Angriff auf eine oder mehrere Kliniken sich auswirken?

Und last, not least zum Nachdenken auch das:

1.

Was und wieviel von dem Maß und Ausmaß an bereits eingetretener Anfälligkeit von Kliniken würden SIE als Klinik(verantwortliche) und bei Cyber-Angriffen auf digitale Patientenakten und digitale Kliniksysteme öffentlich kommunzieren, das bei Patienten Zweifel entstehen lässt, ob sie in Ihrer Klinik wirklich am besten aufgehoben sind?

Auf die „Gefahr“ hin, dass Sie Patienten und der Zielgruppe Ihrer Dienstleistungen auf dem Gesundheitsmarkt, in dem Kliniken Wettbewerber und Konkurrenten um Patienten- und schwarze Zahlen sind, „verunsichern“ und nachdenken lassen würden? Ob sie immer noch bei Ihnen in der Klinik behandelt werden wollen. Oder nicht vielleicht doch besser in einer der anderen TOP 100 Kliniken der Focusliste (pardon, unwiderstehlicher ironischer Anflug) oder anderen der Kliniken, die nicht in dieser Liste stehen, aber vielleicht doch nicht so viel schlechter sein werden oder müssen? Und die bislang jedenfalls noch nicht durch Cyber-Attacken von sich reden machen, nach denen man wie vor 10 Jahren röntgen und mit Handzetteln arbeiten müsse, weil man anscheinend nicht und schon gar nicht schnell alles wieder im Griff hat, was Patienten sich besonders dann wünschen, wenn sie krank oder schwer krank sind?

Die Strategie des Lukaskrankenhauses der Darstellung des aktuellen Problems ist jedenfalls auf der eigenen Website eine – charmant formuliert – euphemistische und harmlos anmutende, wie der Klick auf den Screenshot mehr decouvriert, als dort wirklich offenbart, finden Sie nicht? So lesen Sie es auf der Mainpage, ebenso wie im Menüpunkt „Aktuell“.

Auch eine Form der wenn auch nur medialen Schadensbegrenzung, während die eigentliche, die entscheidende noch nicht gemeistert ist. Und was – glauben SIE – werden oder würden Sie dann wohl (eher noch weniger oder gar nicht) auf der Website von Kliniken lesen, deren Betroffenheit von einer Cyberattacke nicht bereits in den Medien zu lesen ist?

2.

Was würden Sie also von solchen Cyber-Angriffen und ihren Folgen in Ihrer Klinik und damit offenbaren, dass und welche (gestreuten oder gezielten) Angriffe Ihre Klinik treffen und beeinträchtigen konnten und können mit Blick auf diejenigen, denen diese Ziel sind und damit decouvrieren, welche (weiteren) Angriffe wirksam waren und künftig ebenso und noch schädlichere, fatale Wirksamkeit entfalten würden?

Oder wie würden SIE im eingetretenen Schadensfall diesen beschwichtigend als ohne Auswirkung auf die Patientendaten, Patientensicherheit und Patienenversorgung darstellen – selbst wenn der Krisenstab bereits seit letzter Woche und anhaltend mit dem Schaden beschäftigt ist…….und ein Ende noch nicht abzusehen?

Advertisements

Über Liz Collet

Photographer, Author, Foodstylist, Jurist
Dieser Beitrag wurde unter 1, Anwalt & Kanzlei abgelegt und mit , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Kliniken im „Handbetrieb“ nach Cyberattacken und Fragen nach der Datensicherheit

  1. Pingback: Cyberattacke nun auch in bayerischer Klinik | Jus@Publicum

Kommentar verfassen

Bitte logge dich mit einer dieser Methoden ein, um deinen Kommentar zu veröffentlichen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s