5000 Schweizer tragen den Albtraum unter der Brust. Denn in genau so viele Herzschrittmacher können Hacker durch eine Softwarelücke eindringen und etwa die Impuls-Kadenz verstellen – was tödlich enden kann (BLICK berichtete).
Keine Überraschung für Pierre-François Regamey (54), Informatik-Chef des Lausanner Unispitals CHUV. «Das ist ein systemisches Problem: Kommt ein Produkt auf den Markt, hinken Gesetzgebung und IT-Sicherheit Hackern hinterher.» Diese finden schnell Einfallstore.
«Jedes Gerät, das mit dem Internet verbunden ist, ist gefährdet»
Im Spital seien das etwa Messgeräte, deren Software nur rudimentär gesichert sei, so Regamey. Er bezeichnet sie als die «gefährlichsten Schwachstellen». Davon gibt es immer mehr, da die Digitalisierung rasant voranschreitet – von Patientenakten bis zu Pulsmessern.
«Jedes Gerät, das mit dem Internet verbunden ist, ist gefährdet», sagt Pascal Lamia (49). Er leitet die Melde- und Analysestelle Informationssicherung (Melani) des Bundes. Diese koordiniert die Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS). Darin spielt Gesundheit eine wichtige Rolle, «weil Spitäler als kritische Infrastruktur gelten und daher gut geschützt werden müssen», so Lamia. Der Melani-Bericht «Auf Leben und Tod» schildert, wie ein Forscher Infusionspumpen in den USA hacken und somit die Medikamentendosis manipulieren konnte.
«IT-Sicherheit und -Strategie nicht ausreichend»
Der Schweiz gibt Lamia keine guten Noten: «Was wir an IT-Sicherheit und
-Strategie im Gesundheitsbereich haben, reicht nicht aus.» Das betreffe nicht nur Datenschutzfragen, sondern auch die Anfälligkeit für Hackerangriffe. So hatte etwa das Programm WannaCry im Mai Computer auf der ganzen Welt lahmgelegt. 40 britische Grosskliniken mussten Operationen absagen, Patienten verlegen.
Solche grossflächigen Angriffe, etwa in Form von Phishing Mails, kennt Patrick Greuter (46) gut. Er ist Chef für IT-Sicherheit am Universitätsspital Zürich – und mit der IT-Sicherheit medizinischer Geräte unzufrieden. Das Bundesamt für Gesundheit (BAG) solle hier Vorgaben für Standards machen. Das findet auch Kollege Regamey. Der sieht Swissmedic, die etwa überprüft, ob ein Apparat Patienten schaden kann, in der Pflicht. Aber: IT-Sicherheit darf sie gar nicht prüfen.
Meldepflicht bei Störfällen im Dezember beim Bundesrat
Auch Bea Heim (SP, 71), Mitglied der nationalrätlichen Gesundheitskommission, fordert Sicherheitskontrollen der Geräte. In Vorstössen zu Cyber-Sicherheit im Gesundheitswesen kritisiert sie die NCS. «Wir brauchen eine nationale Meldepflicht für Störfälle und Hackerangriffe», so Heim.
Eine solche Pflicht will Lamia von Melani für die neue Strategie prüfen. Der Entwurf liegt im Dezember beim Bundesrat auf dem Tisch.