Cyberattacke: Berliner Kliniken seit Tagen nur eingeschränkt einsatzfähig – was wäre mit E-Akte?

Eine massive Cyberttacke auf die Johannesstift Diakonie legte am Sonntag, 13. Oktober, die zentralen Server des größten konfessionellen Gesundheits- und Sozialunternehmens in der Region Berlin und Nordostdeutschland still.

Davon betroffen waren mehrere Krankenhäuser in Berlin. Auf den Monitoren sahen die Mitarbeiter, als sie ihre Computer hochfuhren, plötzlich chinesische Schriftzeichen, berichtete B.Z. Gleichzeitig waren Patientendaten, Dienstpläne und OP-Daten verschlüsselt worden.

Von dem Angriff betroffen waren dabei die vier großen Kliniken in Berlin: das Waldkrankenhaus Spandau, das Hubertus-Krankenhaus Zehlendorf, die Elisabeth Klinik in Mitte und das Martin Luther Krankenhaus in Wilmersdorf.

Aber auch kleinere Einrichtungen wie das Wichernkrankenhaus in Spandau, das Geriatriezentrum in Wedding, die Klinik für MIC in Nikolassee und die Lungenklinik in Buch.

Wie früher: Mit Klemmbrett und handgeschriebener Akte

Laut B.Z. ging es nach dem Cyberangriff in den betroffenen Kliniken zu wie in den 80ern: Pfleger seien mit Klemmbrett von Krankenbett zu Krankenbett herumgegangen, Laborergebnisse seien per Fax versendet worden und Patienten hätten Umlaufmappen unter den Arm geschoben bekommen, die sie von Untersuchung zu Untersuchung mitnahmen. Telefone seien die einzige Kontaktmöglichkeit nach draußen gewesen.

Aufgrund des Angriffs mussten planbare Operationen abgesagt werden. Die Notfallstellen wurden bei der Rettungsstelle zeitweise abgemeldet.

Da die Notfallkonzepte nach anfänglichen Schwierigkeiten jetzt greifen würden, könne die Versorgung wieder „in vollem Umfang“ gewährleistet werden. „Alle radiologischen Großgeräte (Röntgen, CT, MRT) laufen problemlos“, heißt es in einer Mitteilung der Johannesstift Diakonie vom 15. Oktober.

Laut B.Z. forderten die Angreifer 4 Millionen Euro in Bitcoins. Die Johannesstift Diakonie hat aufgrund laufender Ermittlungen dies nicht bestätigt, sondern nur bekannt gegeben, dass eine seit Jahren operierende internationale Hackergruppe den Angriff durchgeführt habe.

Die internen Experten würden mit Hochdruck daran arbeiten, die Daten wiederherzustellen.

Erste Server seien bereits wiederhergestellt und ein begrenzter Zugriff darauf möglich. Lesende Zugänge bestünden zum klinischen Informationssystem, den elektronischen Akten der Pflegeeinrichtungen und den Dienstplänen des Personals.

Wann das gesamte IT-System wieder in vollem Umfang genutzt werden könne, ließe sich zum jetzigen Zeitpunkt nicht konkret benennen, erklärt die Johannesstift Diakonie. „Wir gehen in Kürze davon aus, einen konkreten Zeitplan fixieren zu können.“

Fragen zur Sicherheit sensibler Daten

Die Johannesstift Diakonie reagierte auf mögliche Sorgen bei Patienten, dass persönliche Untersuchungsberichte und andere sensible medizinische Daten entwendet worden sein könnten. „Bisher gibt es keine Belege dafür, dass in unserem Fall Daten abgezogen wurden“, sagte Lutz Fritsche, Vorstand Medizin der Johannesstift Diakonie .

Die Datenbanken – auch für das klinische Informationssystem – seien nicht vom Angriff betroffen, heißt es dazu in der Mitteilung.

Alle Kliniken seien telefonisch erreichbar und würden diesbezügliche Fragen der Patienten beantworten. Laut der Mitteilung habe die Johannesstift Diakonie in den vergangenen Jahren umfangreiche Sicherheitsmaßnahmen aufgebaut und fortlaufend in neuste IT-Sicherheit investiert.

Elektronische Patientenakte ab 2025

Die immer wiederkehrenden Nachrichten von Cyberattacken auch auf Gesundheitseinrichtungen wirft generell die Frage zur Sicherheit sensibler Daten auf.

Kritiker der elektronischen Patientenakte (ePA) sehen sich durch die Cyberattacken in ihrer Kritik bestätigt. Sie befürchten, dass eine ausgeweitete elektronische Erfassung von sensiblen Gesundheitsdaten und zentrale Datenerfassung ein hohes Sicherheitsrisiko birgt.

Die ePA soll Anfang 2025 bundesweit eingeführt werden.

Die Server, worauf die ePA-Daten gespeichert werden, befänden sich in Deutschland und würden den EU-Datenrichtlinien unterstehen, berichtet die Techniker Krankenkasse.

Für den Psychiater Dr. Andreas Meißner bedeutet dies allerdings keine Entwarnung. „Sie können täglich von Cyberangriffen selbst auf Regierungen, die NATO, Universitäten et cetera hören und lesen. […] In Finnland sind auch schon zentral gespeicherte Daten von Psychotherapiepatienten im Netz aufgetaucht – mit Namen, mit Diagnosen, mit Therapieverläufen“, so der Münchner Mitte September.

Er hat ein Buch zu dem Thema geschrieben, mit dem Titel „Die elektronische Patientenakte – Das Ende der Schweigepflicht“.

Den Ärzten würde mit der ePA außerdem eine komplexe Technik aufgezwungen, die man als Arzt nicht mehr durchschauen könne.

Die Johannesstift Diakonie betreibt mit seinen über 10.700 Mitarbeitern Pflege- und Bildungseinrichtungen, ambulante und stationäre Versorgungs- und Sozialeinrichtungen sowie Kliniken in Berlin, Brandenburg, Sachsen-Anhalt, Niedersachsen, Thüringen und Mecklenburg-Vorpommern.