Virenbefall in der Radiologie – Die Fälle aus Neuss und Aachen

Im Frühjahr dieses Jahres gab es vermehrt Attacken eines aggressiven Computervirus auf deutsche Krankenhäuser. In einigen Fällen hat das Virus die gesamte Krankenhaus-Infrastruktur lahm gelegt. Prof. Dr.  Mathias Cohnen vom Lukaskrankenhaus Neuss und Dr. Rainald Bachmann vom Marienhospital Aachen berichten von den Viren-Attacken auf ihre Häuser, die Auswirkungen auf die radiologischen Abteilungen und das Krisenmanagement.

Ihre Kliniken waren von einer Viren-Attacke betroffen. Was genau ist passiert und wie haben Sie es letztendlich gemerkt?

Cohnen: Am Morgen des Aschermittwochs liefen die Systeme in unserer Radiologie nicht mehr ganz rund. Man konnte zwar noch alles bedienen, aber die Abläufe wurden sehr langsam. Vor allem das Brennen und Einlesen von CDs hat nicht mehr funktioniert.
Prof. Dr. Mathias Cohnen DRG
Bachmann: Wir hatten an einem Montagmittag bemerkt, dass unser Krankenhausinformationssystem nicht mehr läuft. Ein Kollege im Hause hatte bereits am Freitag davor Probleme mit seinem Rechner, da fing wohl alles an. Glücklicherweise hatte er seinen Rechner dann ausgeschaltet, sodass über das Wochenende nichts weiter passiert ist. Montagmorgen hat er ihn natürlich wieder eingeschaltet und er lief immer noch nicht rund, weshalb schließlich die IT informiert wurde. Ab 16 Uhr ging dann nichts mehr bei uns, da war dann auch endgültig klar, dass wir einen Virenbefall hatten.

War Ihre Klinik auf solch einen Angriff vorbereitet?

Cohnen: Hier muss man sich natürlich fragen, inwieweit man sich überhaupt auf solch einen Fall vorbereiten kann. Die Viren sind ja in der Regel nicht bekannt, daher greifen Virenscanner und Firewall oft nicht. Wir haben die für Krankenhäuser üblichen digitalen Sicherheitsinstallationen, aber offensichtlich ist es trotzdem gelungen in unser System einzusteigen. Es hat sich im Nachhinein herausgestellt, dass tatsächlich ein aktiver Angriff von außen stattgefunden hat, also nicht über einen E-Mail-Anhang, wie es ja oft der Fall ist. Dieses neuartige Virus hat unsere Firewall durchbrochen und konnte dann den verhängnisvollen Trojaner einschleusen.

Bachmann: Bei uns ist das Virus tatsächlich über einen E-Mail-Anhang reingekommen. Wir hatten alle Kollegen mehrmals im Vorfeld darauf aufmerksam gemacht, da wir ja den Fall aus Neuss schon kannten. Aber das geht ja leider sehr schnell, dass man auf solch einen Anhang klickt. Trojaner sind ja häufig durch Virenscannern nicht erkennbar, da sie sich ständig verändern. Leider lässt sich solch ein Trojaner mit nur wenigen Handgriffen neu schreiben, daher gibt es auch so viele von ihnen.

Welche Auswirkungen hatte der Angriff auf Ihre Arbeit und die der Klinik im Allgemeinen?

Cohnen: Natürlich ist es so, dass man heutzutage auf digitale Technik, Netzwerke & Co. angewiesen ist. Herr Bachmann und ich sind noch in Zeiten groß geworden, in denen es noch Nasschemie gab und man Röntgenfilme an die Wand gehängt hat. Insofern gibt es Wege eine analoge Radiologie zu betreiben, das hat man schließlich 100 Jahre so gemacht. Wir mussten also versuchen, die digitale Welt wieder analog zu managen, das war sehr schwierig. Wir konnten zwar noch Bilder produzieren, da die einzelnen Modalitäten noch funktionierten, aber was dann mit diesen Bildern passieren soll, war die andere Frage. Normalerweise schauen wir uns die Bilder auf hochauflösenden Monitoren an, die aber standen nicht mehr zur Verfügung. Es gab nur noch die Möglichkeit, die Bilder lokal an dem Rechner des jeweiligen Geräts zu betrachten. Das reicht für einen ersten Eindruck aus, aber für feine Diagnostik auf keinen Fall. Ein anderer Punkt war die Speicherung der Bilder. Normalerweise legt man diese vollautomatisch oder per Mausklick ins Archiv. Nun mussten diese an der lokalen Modalität gespeichert werden. Zuletzt ging es natürlich darum, die Bilder an den Mann zu bringen. Der Chirurg oder der Internist, der die Bilder ja sehen muss, hat in dem Moment keine Möglichkeit dazu. Er muss sich auf den schriftlichen, in dem Fall handschriftlichen Kurzbefund verlassen.

Wie sind Sie der Situation Herr geworden?

Dr. Rainald Bachmann DRGBachmann: Entscheidend war, dass wir das Netzwerk schnell abgeschaltet haben. Dadurch konnte sich der Trojaner in nur sehr begrenztem Umfang ausbreiten. In Neuss hatte er glaube ich etwas mehr Zeit gehabt. Wir waren ja durch die Erfahrungen der Kollegen vorgewarnt. Sehr hilfreich war auch die Zusammenarbeit mit dem Landeskriminalamt.
 
Cohnen: Das Virus hat sich von Ordner zu Ordner, von Datei zu Datei vorgearbeitet. Erkennbar war es sogar schon an den Endungen der Dateien. Normale Endungen sind ja .doc oder .txt. Hier stand nun .lol!, von „laughing out loud“. Und sobald ein Ordner befallen war, tauchte dann die Textnachricht mit der Aufforderung zur Lösegeldzahlung auf. Nach der Zahlung würde man dann einen Code zur Decodierung der Dateien zugeschickt bekommen.

Bachmann: Das ist tatsächlich ein funktionierendes Geschäftsmodell, was vor allem bei Personen mit nur einem Rechner wohl häufig funktioniert. Bei uns wäre das ziemlich aussichtslos gewesen, weil das Virus ja ständig mutiert und sie immer neue Codes brauchen. Da fangen sie an Lösegeld zu bezahlen ohne Ende, aber sie kriegen ihn nicht raus. Letztlich muss man seine gesamte interne Sicherheitsstruktur so umbauen, dass alle Systeme voneinander abgeschottet sind.

Nachricht des Trojaners zur Aufforderung der Zahlung von Lösegeld DRG
Was raten Sie Kolleginnen und Kollegen für solch eine Ausnahmesituation?

Cohnen: Das Wichtigste ist erst einmal, die Ruhe zu bewahren. Dann sollte es einen Notfallplan für solch eine Situation geben, aus dem hervorgeht, wer sich um was kümmert und welche Schritte getan werden müssen. Zum Glück hatten wir im vergangenen Jahr einen Stromausfall und daher solch einen Plan parat. So haben wir auch keine Patienten verloren und die Operationen sind problemlos weiter gegangen. Das Gesamtkrankenhaus ist also weitergelaufen, auch wenn wir ambulante Patienten nur eingeschränkt und Notfälle überhaupt nicht mehr annehmen konnten.

Bachmann: Überrascht hat mich die Erkenntnis, was dann doch alles geht, wenn sich alle an die neue Situation gewöhnt haben. Und vor allem: Wie robust ein Stück Papier ist! Das ist für mich eine zentrale Erkenntnis. Wir haben eben wieder unsere alten Röntgenscheine ausgedruckt und diese verteilt. Das funktioniert immer.
Der Trend in Deutschland geht immer mehr Richtung Technisierung und Digitalisierung der Kliniken und Krankenhäuser. Wie bewerten Sie diese Entwicklung vor dem Hintergrund Ihrer jüngsten Erfahrungen?
Bachmann: Vor diesem Hintergrund war der Virenbefall für uns ein heilsamer Schock. Wie sind zwar schon wieder da, wo wir vorher waren und alles läuft wieder reibungslos. Aber wenn man das einmal erlebt hat, dann wird einem klar, wie labil die Systeme sind. Das ist schon etwas, was einen etwas düster in die Zukunft blicken lässt, denn der Trend wird sich nicht zurückdrehen lassen.

Cohnen: In der Akutsituation ist das natürlich ein Drama, aber wenn man es überwunden hat, dann merkt man auch die Vorteile der Digitalisierung. Es ist ja auch eine Frage der zunehmend besser werdenden Versorgung der Patienten, die eben nur in solch einem voll integrierten Krankenhaus funktionieren kann. Man muss aus wirtschaftlicher Sicht sagen, dass es sich ein Krankenhaus heutzutage gar nicht mehr leisten kann, nicht Schritt zu halten. Wir müssen uns daher vermehrt Gedanken um das Thema Sicherheit machen, das ist in vielerlei Hinsicht bisher völlig ignoriert worden.

Vielen Dank für das Gespräch!