Missing Link: Ransomware-Angriffe auf Krankenhäuser gefährden Menschenleben

Inhaltsverzeichnis

In der Nacht wird der Rettungsdienst zu einer 78-jährigen Frau gerufen. Sie hat ein lebensbedrohliches Aortenaneurysma. Eigentlich wollen die Rettungskräfte sie in die örtliche Uniklinik bringen, doch die ist wegen eines Cyberangriffs von der Notfallversorgung abgemeldet. Der Krankenwagen wird zu einem anderen Krankenhaus umgeleitet. Mehr als 30 Kilometer entfernt. Kurz nach der Ankunft stirbt die Frau.

Der Angriff auf das Universitätsklinikum ereignete sich im Jahr 2020 in Düsseldorf. In den frühen Morgenstunden des 10. September 2020 begann die Ransomware, die Server der Uniklinik zu verschlüsseln. Die Frau starb, nachdem sie in ein Krankenhaus in Wuppertal gebracht worden war. Polizei und Justiz ermittelten nach dem Angriff nicht nur wegen Erpressung und Computersabotage, sondern auch wegen fahrlässiger Tötung.

Abgesagte Behandlungstermine, geschlossene Notaufnahmen, umgeleitete Rettungswagen – Cyberangriffe auf Krankenhäuser haben zugenommen und gefährden die Sicherheit, das Wohl und Leben der Patienten. Welche tödlichen Auswirkungen Ransomware-Angriffe haben können, untersuchen erstmals Forscher in den USA.

"Missing Link"

Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.

• Mehr zum Feuilleton "Missing Link"

Todesfall kann Tätern juristisch nicht zur Last gelegt werden

Weltweit ist bisher kein Todesfall eindeutig auf einen Cyberangriff auf ein Krankenhaus zurückzuführen. Ermittler stehen vor der Herausforderung einen klaren kausalen Zusammenhang zwischen einem Cyberangriff als Ursache und dem Eintritt von Schäden wie dem Tod eines Patienten nachzuweisen. Theoretisch könnte ein Angriff aus der Ferne, der zum Ausfall lebenswichtiger medizinischer Geräte wie Beatmungsgeräten oder Herz-Lungen-Maschinen führt, direkt den Tod eines Patienten verursachen.

Wenn der Angriff jedoch nur indirekte Auswirkungen auf den Patienten hat, wie beispielsweise eine Verzögerung bei der Behandlung, und nicht ausgeschlossen werden kann, dass der Patient auch ohne diese Auswirkungen gestorben wäre, fehlt es an einem klaren kausalen Zusammenhang.

Suche nach kausalen Zusammenhang

Auch im oben geschilderten Fall der verstorbenen Frau aus Düsseldorf konnte kein klarer kausaler Zusammenhang festgestellt werden. Die Staatsanwaltschaft machte nach ihren Ermittlungen einen Rückzieher, die Krankenhaus-Angreifer sind nicht für die Tote verantwortlich. Der Gesundheitszustand der Frau sei zum Zeitpunkt ihrer Abholung durch die Rettungskräfte bereits so schlecht gewesen, dass sie sowieso gestorben wäre - unabhängig davon in welches Krankenhaus der Rettungswagen sie gebracht hätte.

Ransomware-Angriff führt zu höherer Sterblichkeitswahrscheinlichkeit

Forscher der University of Minnesota School of Public Health untersuchen welche Auswirkungen Ransomware-Angriffe auf Krankenhäuser und deren Patienten haben. Analysiert wurden in einer ersten Studie insgesamt 374 Ransomware-Angriffe auf Einrichtungen und Dienstleister im Gesundheitswesen im Zeitraum von 2016 bis 2021 in den USA. Der Trend geht seit 2016 nach oben: Zwischen 2016 und 2021 haben sich die Angriffe mehr als verdoppelt.

Die Folgen eines Cyberangriffs können mehr oder weniger gravierend sein: Die Bandbreite reicht vom einfachen Ausfall nicht so wichtiger Verwaltungssysteme des Krankenhauses, einem fehlenden Zugang zu Patientendaten und Untersuchungsergebnissen, nicht funktionierenden medizinischen Geräten, dem Ausfall des Monitorings auf der Intensivstation, die Absage von Untersuchungsterminen und Operationen bis hin zur Schließung des Krankenhauses für die medizinische (Notfall-)Versorgung.

Zwischen Systemausfall und Todesrisiko für Patienten

In fast der Hälfte (166) der untersuchten 374 Angriffe kam es zu Störungen in der Gesundheitsversorgung. Zu den häufigsten Störungen gehörten Ausfälle elektronischer Systeme (156), Absagen geplanter Behandlungen (38) und die Umleitung von Rettungswagen (16).

Was für Effekte Ransomware-Angriffe konkret auf die Patientenversorgung haben, betrachteten die Forscher in einer weiteren Studie. 74 der 374 Attacken hatten insgesamt 163 Krankenhäuser in Mitleidenschaft gezogen. Nach einem Ransomware-Angriff kann die Patientenversorgung in diesen Krankenhäusern wochenlang gestört sein. In drei von vier Fällen verschlechtert sich die Patientenversorgung. Ransomware tötet die Patienten zwar nicht direkt, kann aber durch die Verschlechterung der Umstände im Krankenhaus indirekt die Sterblichkeit erhöhen.

Hannah Nebrash, die als Gesundheitsökonomin an der University of Minnesota forscht und die Studie initiiert hat, zieht ein erstes Fazit: "Die gute Nachricht ist, dass der Tod in einem Krankenhaus immer noch ein sehr unwahrscheinliches Ereignis ist. Die schlechte Nachricht ist, dass dies wahrscheinlicher ist, wenn Sie das Pech haben, während eines Ransomware-Angriffs in ein Krankenhaus eingeliefert zu werden."

Die Wahrscheinlichkeit als Patient in einem Krankenhaus zu sterben, erhöht sich um 20 bis 35 Prozent, wenn das Krankenhaus von einem Ransomware-Angriff betroffen ist. Die Forscher schätzen, dass im Zeitraum 2016 bis 2021 zwischen 42 und 67 Patienten durch die Auswirkungen eines Ransomware-Angriffs gestorben sind. Betroffen sind Patienten, die zum Zeitpunkt der Entdeckung des Angriffs bereits aufgenommen wurden oder gerade eingeliefert werden.