Im Interview erklärt Matthias Keilen, wie die Bezirkskliniken Mittelfranken gegen die Auswirkung einer heftigen Cyberattacke kämpfen. Das Unternehmen muss sein IT-System komplett neu aufsetzen. Zielvorgaben aus dem KHZG sind derweil kaum noch einzuhalten.
Herr Keilen, der Hackerangriff auf Ihre Klinik hat doppelten Schaden angerichtet: Es sind sowohl Daten abgeflossen als auch verschlüsselt worden. Sie verhandeln nicht mit den Hackern und zahlen auch kein Lösegeld. Gibt es dennoch Kontakt zu den Erpressern?
Nein, es gibt keinen Kontakt zu den Hackern. Wir haben uns zum Vorgehen mit den ermittelnden Behörden beraten und uns nach Abstimmung mit dem Verwaltungsrat der Bezirkskliniken Mittelfranken dazu entschieden, auf etwaige Forderungen, die in der Regel Teil solcher Cyberattacken sind, nicht einzugehen. Deshalb gibt es keinen Anlass, Kontakt aufzunehmen. Bei dieser Haltung bleiben wir auch.
Die Bezirkskliniken Mittelfranken sind als Psychiatrie nicht so sehr auf die IT angewiesen wie ein somatisches Haus. Wie schwer sind die Beeinträchtigungen?
Wir alle reden davon, dass wir in der Digitalisierung des Gesundheitswesens zu langsam sind. Aber digitale Prozesse und Anwendungen sind bereits Basis des Klinikbetriebs, zum Beispiel für die Kommunikation mit den Krankenkassen, die Meldung von Datensätzen und Personaleinsatz, die Berichtspflichten und die Patientendokumentation. Von Arztbriefen, der Kommunikation mit Behörden ganz zu schweigen. Auf diese Systeme können wir aktuell nicht zugreifen. Digitale Anwendungen für etwa Arbeitszeiterfassung, elektronische Krankmeldungen und Bewerbungen oder Pflichtfortbildungen fallen plötzlich weg. Dank bestehender Notfallkonzepte konnten wir schon innerhalb der ersten Tage nach der Cyberattacke in vielen Bereichen analoge Lösungen finden und umsetzen. Trotzdem spüren wir in den Kliniken den Systemausfall deutlich. Um einige Beispiele zu nennen: Die elektronische Patientenakte wird notgedrungen wieder analog geführt, Behandlungsverläufe werden händisch dokumentiert, die gerade eingeführte elektronische Therapieplanung fällt weg und erfolgt wieder auf Papier. Das alles erschwert sicherlich die Arbeit auf den Stationen, aber es gefährdet sie nicht. Die Versorgung wie auch die Sicherheit der Patientinnen und Patienten ist zu jeder Zeit gewährleistet.
Rechnen Sie mit weiteren Schäden, etwa durch die Installation von Pseudo-Usern oder Ähnlichem?
Wir arbeiten beim Neuaufsetzen der IT-Systeme nach dem Prinzip „Sicherheit vor Schnelligkeit“, um eben solche Folgeschäden neben Verschlüsselung und Diebstahl als „dritte“ Variante möglichst auszuschließen.
Sie müssen Ihr IT-System neu aufsetzen – wo liegen hier die Knackpunkte, wie lange dauert es, wieder den Normalzustand zu erreichen?
Die Knackpunkte liegen in der Komplexität der einzelnen IT-Systeme und einer klugen Priorisierung und Planung der zeitlichen Abläufe. Wie lange es dauert, bis alle Systeme wieder voll funktionsfähig sind, kann ich zum jetzigen Zeitpunkt noch nicht sagen. Zudem müssen wir die Frage beantworten wie das neue „normal“ aussieht und wie wir die Ziele des Krankenhauszukunftsgesetzes (KHZG) erreichen. Hier plädiere ich für eine Initiative aus Berlin, um Einrichtungen, die Opfer von Cyberattacken wurden, zu unterstützen, beispielsweise durch Fristverlängerungen, um Fördermittel nicht zu gefährden.
Können Sie den Schaden der Attacke grob in Euro beziffern?
Nein, dafür ist es noch zu früh.
Welche Maßnahmen ergreifen Sie, um die Kliniken in Zukunft zu schützen?
Wir sind ein gutes Beispiel dafür, dass es keine vollständige Sicherheit gibt. Trotz eigenem IT-Revisor, einem in den vergangenen Jahren stark gewachsenen Team aus IT-Experten, KI-gestützter Schadsoftware und einer regelmäßigen Awarenesskampagne für die Mitarbeitenden kann Ihnen das passieren. Selbstverständlich werden wir die neue IT-Infrastruktur nach neuesten Sicherheitsstandards aufsetzen. Dazu beraten wir uns auch mit externen Expertinnen und Experten und orientieren uns an den Empfehlungen der Behörden. Dass ich die Maßnahmen nicht im Einzelnen öffentlich machen möchte, dafür haben Sie sicher Verständnis.
