Schweizer Spitäler kümmern sich zu wenig um die Cybersicherheit ihrer Systeme. Das zeigt die Prüfung eines unabhängigen Testinstituts.
Die Vorstellung ist beunruhigend: Kriminellen gelingt es, in die IT-Systeme eines Spitals einzudringen und dort persönliche medizinische Daten zu entwenden. Diese publizieren sie später im Internet. Angaben über die eigene Erbkrankheit oder eine heikle Operation sind dann plötzlich einsehbar – und das nur, weil die Verantwortlichen einer Klinik nachlässig waren.
Dass so etwas passieren könnte, ist gut möglich. Das zeigt ein Bericht des Nationalen Testinstituts für Cybersicherheit (NTC). Spitäler und Kliniken setzen in der Schweiz IT-Systeme ein, bei denen Experten gleich mehrere Sicherheitslücken entdeckt haben. Meist war dafür kein grosser Aufwand nötig. In zwei Fällen schafften es die Tester des NTC, die volle Kontrolle über das System zu übernehmen: Sie konnten alle Patientendaten einsehen oder gar verändern.
Der Bericht wirft ein schlechtes Licht auf das Schweizer Gesundheitswesen. Zwar hätten nicht alle Spitäler ein Sicherheitsproblem, sagt Tobias Castagna, der Leiter der Testexperten des NTC, im Gespräch. «Aber es gibt Spitäler, die sagen: Unsere Hauptaufgabe ist es, Patienten zu behandeln und nicht, IT zu betreiben.» Diese Spitäler meinten, sie könnten die IT-Sicherheit einfach an die Hersteller der Software delegieren. «Das ist falsch.» Andere Spitäler hätten kaum Geld und Personal für die Sicherheit ihrer Systeme. Castagna sagt: «Es gibt definitiv Handlungsbedarf.»
Wenn die Notaufnahme stillsteht, wird es gefährlich
Spitäler, Kliniken oder Arztpraxen sind immer wieder Ziel von Cyberkriminellen, in der Schweiz und international. Wenn die Systeme nicht mehr funktionieren, müssen die Spitäler ihre Notaufnahme schliessen, die Ärzte können gewisse Behandlungen nicht durchführen, oder der Betrieb muss mit Papier und Bleistift weiterlaufen. In London mussten im vergangenen Juni mehrere Spitäler wegen eines Ransomware-Angriffs, bei dem IT-Systeme verschlüsselt wurden, mehrere hundert Operationen verschieben. Solche Angriffe können für die Patienten rasch lebensbedrohlich werden.
In der Schweiz war zuletzt im Dezember der Gesundheitsdienstleister Vidymed Opfer eines Cyberangriffs. In der Folge hatten rund hundert Ärzte keinen Zugriff mehr auf ihre Patientendaten und mussten analog arbeiten. Mit Ausfällen aufgrund von Angriffen hatten in der Vergangenheit auch schon die Pallas-Kliniken oder das Spital Wetzikon zu kämpfen. Nach einem Ransomware-Angriff auf Arztpraxen im Kanton Neuenburg waren 2022 im Darknet die medizinischen Daten von rund 20 000 Patienten aufgetaucht.
Was das NTC in den letzten Monaten angeschaut hat, ist nur ein kleiner Ausschnitt der Schweizer Spitallandschaft. Die Sicherheitsforscher haben bei einigen Spitälern, darunter das Kantonsspital Zug und das Inselspital Bern, die Klinikinformationssysteme von drei verschiedenen Anbietern getestet. Diese Software ist das IT-Herz der medizinischen Behandlung, ohne sie läuft nichts.
Auf den Klinikinformationssystemen erfassen die Pflegefachleute und Ärzte alle Informationen über ihre Patienten: Labordaten, Röntgenbilder oder auch persönliche Kontaktdaten. Teilweise laufen auch administrative Prozesse der Spitäler wie die Schichtplanung oder die Rechnungsstellung über das System.
Bei den drei Produkten, die das NTC geprüft hat, handelt es sich um jene Systeme, die in der Schweiz am weitesten verbreitet sind. Dazu gehört Kisim des Zürcher Herstellers Cistec, das mittlere und grössere Spitäler in der Deutschschweiz häufig einsetzen. Eher für kleine bis mittlere Kliniken oder Spitäler entwickelt ist inesKIS von der deutschen Firma Ines, die das Produkt auf den Schweizer Markt ausgerichtet hat.
Als drittes Produkte haben die Sicherheitsforscher die Software Epic der gleichnamigen amerikanischen Firma angeschaut. Das Produkt ist weltweit bei rund 2000 Spitälern im Einsatz. In der Schweiz verwenden es das Kantonsspital Luzern und die Insel-Gruppe in Bern. Bei anderen Spitälern steht eine Einführung oder die Beschaffung an.
Gewisse Firmen wollen keine Transparenz herstellen
Dass es selbst bei so etablierten Softwareprodukten relativ einfach war, Sicherheitslücken zu finden, erstaunt. Zwar beteuern alle drei Anbieter auf Anfrage, dass sie die Sicherheit ihrer Produkte hoch gewichten und auch Sicherheitstests durchführen würden. Die Resultate des NTC lassen jedoch an dieser Aussage zweifeln.
Die Experten des NTC haben in allen drei Produkten zusammen 40 mittlere bis schwere Sicherheitslücken gefunden. Viele von ihnen fallen laut Bericht in die Kategorie von Schwachstellen, «die bei üblichen Sicherheitsprüfungen unmittelbar auffällig sind». Als Problemfelder identifiziert das NTC die grundlegende Architektur, die teilweise veraltet ist, fehlende oder fehlerhafte Verschlüsselung bei der Kommunikation sowie Schwächen bei angeschlossenen Systemen von Drittanbietern.
Beim Testen hatten die Sicherheitsforscher des NTC jeweils bereits Zugang zum Netzwerk der Spitäler – wie wenn ein Patient sich beim Spitalbesuch mit seinem Laptop ans Spitalnetzwerk anschliesst. Teilweise führten sie die Prüfung auch mit einem Benutzeraccount durch. Dass sich viele Sicherheitslücken nur unter diesen Voraussetzungen ausnutzen liessen, führen die Hersteller als Beleg dafür an, dass die Schwachstellen nicht allzu kritisch seien.
Doch dieses Argument überzeugt nicht völlig. «Spitäler sind im Unterschied zu Banken offene Häuser, wo jeder hineinspazieren kann», sagt Testleiter Castagna. Es ist deshalb relativ einfach, sich Zugang zum Spitalnetzwerk oder zu einem Rechner im Netz zu beschaffen. Möglich ist es ausserdem, durch allfällige Sicherheitslücken in der Netzinfrastruktur von aussen in das Netzwerk des Spitals einzudringen. Und schliesslich besteht auch die Gefahr des Missbrauchs durch einen Mitarbeiter.
Im Bericht fällt auf, dass nicht alle Hersteller einen transparenten Umgang mit Schwachstellen pflegen. So gab es Versuche, dem NTC eine Geheimhaltevereinbarung aufzuerlegen. Einige Spitäler sind bereits an solche Vorgaben gebunden, weshalb sie allfällige Lücken, die sie entdecken, nicht mit anderen Gesundheitseinrichtungen oder den Behörden teilen dürfen.
Welche Hersteller sich wie aufgeschlossen gegenüber den Sicherheitsprüfungen gezeigt haben, legt das NTC nicht offen. Ebenso wenig steht im öffentlichen Bericht, bei welcher Software die Sicherheitsforscher wie viele und wie schwere Schwachstellen gefunden haben. Das sei ein bewusster Entscheid gewesen, so Castagna. Es gehe dem NTC darum, allgemein auf den Handlungsbedarf hinzuweisen.
Die Software ist sehr wichtig, aber niemand prüft sie
Das NTC ist ein nicht-profitorientierter Verein, der vom Kanton Zug eine befristete Anschubfinanzierung erhalten hat. Die Idee des Testinstituts: Software und Geräte zu testen, die sonst niemand testet, aber für die Schweiz wichtig sind. Bei den Klinikinformationssystemen der Spitäler, sagt Castagna, sei dies der Fall.
Den Spitäler fehlt jedoch oft das Geld oder das Bewusstsein, dass es Sicherheitsüberprüfungen braucht. «Wir wollen mit unserem Bericht aufzeigen, dass Spitäler und Hersteller in der Verantwortung stehen und nicht wegschauen dürfen», sagt Castagna. Das NTC hat die Prüfung weitgehend selbst finanziert, was es unabhängig von den Herstellern macht. Einzig das Inselspital hat sich an den Kosten beteiligt. Deshalb konnte das NTC das dortige System umfassender prüfen.
Der Bund selbst hat keinen Auftrag und keine finanziellen Mittel, um für die kritischen Infrastrukturen wie Strom, Wasserversorgung oder das Gesundheitswesen solche Sicherheitsprüfungen in Auftrag zu geben. Doch das Bundesamt für Cybersicherheit unterstützt die Initiative des NTC. Denn, so schreibt das Amt auf Anfrage, Sicherheitsüberprüfungen helfen dabei, sichere digitale Dienste zur Verfügung zu stellen und die Resilienz der Schweiz gegenüber Cyberangriffen zu stärken.
