Warum Cybersicherheit in Spitälern auf der Strecke bleibt

Cyberangriffe auf Gesundheitseinrichtungen haben in den vergangenen Jahren wiederholt für Schlagzeilen gesorgt. Auch die Schweiz ist vor solchen Attacken nicht sicher: vom Angriff durch eine Schadsoftware auf die Hirslanden-Gruppe im Sommer 2020 über die Cyberattacke auf die Psychiatrie Baselland 2023 bis hin zum Vorfall im Dezember 2024, bei dem Cyberkriminelle in die Systeme der Westschweizer Praxisgruppe Vidymed eindrangen. Solche Angriffe verdeutlichen die aktuelle und allgemein verschärfte Bedrohungslage hierzulande, wie auch die gestiegene Zahl der gemeldeten Cyberangriffe beim Bundesamt für Cybersicherheit (BACS) im letzten Wochenrückblick 2024 zeigt.

Gesundheitseinrichtungen stellen für Bedrohungsakteure ein lohnendes Angriffsziel dar, da sie umfangreiche Datensammlungen mit sensiblen Patientendaten verwalten und zugleich kritische Dienstleistungen erbringen.

Peter Berlich, Fachbereichsleiter Cyber­security und Dozent an der Fernfachhochschule Schweiz (FFHS), unterscheidet drei Hauptangriffsziele im Gesundheitssektor: 1. Klinikinformationssysteme (KIS), die als zentrale Systeme zur Steuerung von Informationsflüssen und organisatorischen Abläufen dienen, 2. medizinische Geräte, die durch Cyberangriffe gestört werden und damit lebenswichtige Behandlungen beeinträchtigen können, und 3. die Infrastruktur, bei der Angriffe auf Netzwerke und IT-Systeme ganze Spitäler lahmlegen können.

Das Nationale Testinstitut für Cybersicherheit (NTC) hat in einem im Januar 2025 veröffentlichten Bericht über 40 mittlere bis schwere Schwachstellen in KIS – einem dieser Hauptangriffsziele – identifiziert. Der Bericht des NTC basiert auf einem einjährigen Test, bei dem drei in Schweizer Krankenhäusern eingesetzte KIS analysiert wurden. Dabei deckte das Testinstitut erhebliche Sicherheitsmängel in Gesundheitseinrichtungen auf – ein Einfallstor für Cyberkriminelle.

Mehr als nur Datenpannen

Viele vom NTC identifizierte Schwachstellen seien so offensichtlich und leicht auszunutzen, dass Angreifer innerhalb kürzester Zeit die vollständige Kontrolle über das System und die darin enthaltenen Patientendaten erlangen könnten. Besonders schwerwiegend seien dabei grundlegende Architekturprobleme, eine fehlende oder nicht ordnungsgemäss umgesetzte Verschlüsselung der Kommunikation zwischen Systemen, verwundbare unterstützende Systeme sowie eine unzureichende Trennung von Test- und Produktionsumgebungen. Einige dieser fundamentalen Sicherheitsprobleme lassen sich dem NTC zufolge nur durch eine komplette Änderung der Softwarearchitektur beheben. Dies sei jedoch nicht nur zeitintensiv, sondern auch aufwändig und teuer.

Zwar beschäftigt sich der NTC-Bericht ausschliesslich mit Klinikinformationssystemen, sinngemäss lassen sich die zentralen Schlussfolgerungen jedoch laut dem Cybersecurity-Experten Berlich auch auf die anderen beiden möglichen Hauptangriffsziele – medizinische Geräte und Infrastruktur – übertragen. Demnach nehmen Cyberkriminelle gezielt die Angriffsvektoren von Gesundheitseinrichtungen ins Visier.

Die Bedrohungslage ist somit akut und real, wie auch Marc Strasser, Leiter Bereich Digitalisierung & ICT am Universitätsspital Basel, sagt. Strasser sehe hierbei "einen Trend hin zu Sabotage und Zerstörung wie Datenvernichtung, das Provozieren von Systemausfällen und Cyberkriminalität zur Destabilisierung der Spitäler".

Demzufolge geht das Schadenspotenzial von Cyberangriffen auf Gesundheitseinrichtungen über Datenpannen hinaus: Sie könnten den Spitalbetrieb lahmlegen, lebenswichtige Behandlungen und Operationen verzögern. Zudem könnten Cyberkriminelle auch direkt auf medizinische Geräte abzielen, ihre Funk­tion stören und dadurch das Leben von Patientinnen und Patienten gefährden.

Zwischen Kostendruck und Verantwortung

Um solche Risiken zu minimieren, wären regelmässige Sicherheitsüberprüfungen wichtiger Systeme in Spitälern notwendig, doch diese werden oft vernachlässigt. Die Herausforderungen liegen laut NTC im hohen Kostendruck, dem fehlenden Bewusstsein für IT-Sicherheit und unklaren Verantwortlichkeiten. Der Spitalverband Limmattal sieht insbesondere im hohen Kostendruck die grösste Schwierigkeit bei der Umsetzung einer starken IT-Sicherheitsstrategie, wie er auf Anfrage schreibt.

Stefan Hunziker, CIO des Luzerner Kantonsspitals (LUKS) ist der Ansicht, dass vor allem “die unterschiedlichen Mentalitäten eine Herausforderung darstellen”, denn “im Spital herrscht eine Vertrauenskultur, während in der IT Security ein Zero-Trust-Ansatz zum Tragen kommt.”

Das Problem der chronischen Unterfinanzierung in Schweizer Gesundheitseinrichtungen sieht auch Urs Küderli, Partner und Leiter Cybersecurity and Privacy bei PwC Schweiz, denn Security sei schliesslich nicht das Hauptgeschäft eines Spitals. Hinzu kommt, dass die Schweiz durch ein fragmentiertes System mit sehr vielen Gesundheitseinrichtungen gekennzeichnet ist, im Gegensatz zu anderen Ländern wie zum Beispiel den USA, in denen eher grosse Provider agieren, wie Küderli sagt.

Zusätzlich haben wir hierzulande eine Mischung zwischen kleineren Regionalspitälern, Kantonsspitälern und Spitalgruppen. Die Grösse einer Gesundheitseinrichtung hat laut Küderli demnach auch einen erheblichen Einfluss. “Wie viel eine kleinere Einrichtung an Wissen, Know-how und finanziellen Mitteln überhaupt einbringen kann, hängt davon ab, wie viel sie intern selbst leistet und wie viel sie an externe Anbieter delegiert”, sagt Küderli. “Dabei spielen wiederum auch die politische Landschaft und Gesetze eine Rolle, da sie teilweise Massnahmen dadurch verhindern, dass sie diese an den Kanton delegieren”.

Wiederum eine Rolle spielt laut Michael Schläpfer, CSO beim IT-Security-Unternehmen Gobugfree, auch die Anzahl der verschiedenen Anwendungen und Technologien sowie die Vielfalt der vernetzt eingesetzten Geräte. Dies macht es “für Spitäler nicht einfach, die Übersicht und Kontrolle zu behalten”, sagt er.

Training ergänzt Technik

Die Ergebnisse des NTC zeigen zwar, dass Gesundheitseinrichtungen insgesamt und in allen Bereichen zu wenige technische Analysen durchführen lassen, jedoch würden einige Spitäler bereits vermehrt in Cybersicherheit investieren.

Das LUKS beispielsweise richte sich “an den gängigen Standards wie ISO 27001/2, dem NIST Cybersecurity Framework und den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik”, wie der LUKS-CIO sagt. Des Weiteren arbeite das Innenschweizer Grossspital mit externen Sicherheitsfirmen und Bundesstellen zusammen. Grundsätzlich will das LUKS im Falle von Gelegenheitsangriffen, wie Hunziker sie bezeichnet, “eine möglichst hohe Hürde aufstellen, um den Aufwand für den Angreifer abschreckend zu gestalten”. Das Spital setzt Hunziker zufolge auf einen bedarfsorientierten Ansatz: “Dabei wird zuerst mittels eines Tests, diejenige Population ermittelt, die einen notwendigen Bedarf aufweist. Dieser wird dann mit einer gezielten Schulung abgedeckt. Zudem sind unterschiedliche Berufsgruppen unterschiedlich exponiert.”.

Auch das Universitätsspital Basel investiere “seit Jahren in organisatorische und infrastrukturelle Massnahmen", wie sich Strasser zitieren lässt. Abgesehen von technischen Massnahmen und dem Einsatz einer Softwarelösung zur Cyberabwehr setze das Basler Spital auf die Zusammenarbeit mit externen IT-Spezialisten und periodische Sicherheitsüberprüfungen der IT-Infrastruktur. Zudem werden alle Mitarbeitenden des Unispitals Basel laut Strasser regelmässig mittels Awareness-Kampagnen auf die Gefahren von Cyberattacken sensibilisiert.

Wie in allen Bereichen der Cybersicherheit spielt nämlich der Faktor Mensch auch im Gesundheits-Sicherheitsbereich eine Rolle. Ob und in welchem Umfang andere Krankenhäuser neben dem Universitätsspital Basel und dem LUKS in Awareness-Trainings investieren, sei dahingestellt. Jedoch “verpuffen auch die besten Awareness- und Trainingsmassnahmen, wenn eine Einrichtung nicht auch in ihre Technik und in Fachkräfte investiert, IT auf dem neuesten Stand hält und den Ernstfall probt”, wie der FFHS-Dozent Berlich sagt. Demnach dürfe man solche Schulungen nicht als Ersatz für technische Schutzmassnahmen sehen, sondern als notwendige Ergänzung.

Wo der Bund ins Spiel kommt

Abgesehen von den Gesundheitseinrichtungen selbst spielt auch der Bund eine massgebliche Rolle in Sachen Cybersicherheit. Bislang hat er für Gesundheitseinrichtungen aber lediglich verschiedene Richtlinien erlassen, wie die Empfehlungen des BACS zur Cybersicherheit im Gesundheitssektor oder das Dokument des Bundesamts für Gesundheit (BAG) "Digitale Gesundheitsanwendungen: Cybersicherheit und Datenschutzvorgaben".

Das BACS hat vor nicht allzu langer Zeit eine Initiative zur Gründung eines Healthcare Cybersecurity Centers (H-CSC) initiiert. Daraufhin haben im September 2024 zwölf Schweizer Universitäts- und Kantonsspitäler sowie die Vereinigung Gesundheitsinformatik Schweiz das Projekt gestartet, wie es auf Anfrage beim BACS heisst. Ziel sei die Gründung eines Vereins, der Schweizer Spitälern sektorspezifische Cybersicherheitsdienste bietet, um den Austausch sowie die Zusammenarbeit zwischen den Spitälern zu stärken. Damit sollen bestehende Kompetenzen ausgebaut und Synergien geschaffen werden, um die Handlungsfähigkeiten der Spitäler im Umgang mit Cybervorfällen zu stärken. Sowohl das Unispital Basel als auch das Luzerner Kantonsspital (LUKS) engagieren sich laut eigenen Angaben bei diesem Vorhaben, das bestehende Richtlinien für das Spitalumfeld weiterentwickeln soll.

Nur Richtlinien zu haben, reicht nicht

Zwar sehen die Spitäler im Bund einen wichtigen Partner im Bereich Cybersicherheit, doch betonen sie, dass der Bund eine noch stärkere Rolle im Schutz kritischer Infrastrukturen übernehmen könnte. Während der Spitalverband Limmattal einen national koordinierten Schutzschirm für kritische Infrastrukturen wie Krankenhäuser begrüssen würde, sieht auch das Luzerner Kantonsspital weiteres Potenzial für ein verstärktes Engagement des Bundes.
Auch wenn Spitäler wie beispielsweise das LUKS und das Universitätsspital Basel in Cybersicherheit investieren, fehle doch "generell ein verbindlicher Minimalstandard in der Schweiz", wie der Cybersecurity-Experte Küderli sagt. Der Bund ist demnach eine Organisation, die mit gewissen Regulierungen Abhilfe schaffen könnte – es aber nicht tut. In anderen Ländern wie bei unseren deutschen Nachbarn sei dies bereits der Fall. "Wenn es solche Vorgaben gäbe, dann könnte man das Grundniveau anheben", ergänzt Küderli.

Der Gobugfree-CSO Schläpfer sieht das ähnlich, ist aber der Ansicht, dass vermehrt die Hersteller in die Verantwortung genommen werden müssten. Auch soll aus seiner Sicht die Eigenverantwortung der Spitäler gefördert werden. “Der Staat könnte mit wohldosierten Regulationen dafür sorgen, dass einerseits die Spitäler ihre Eigenverantwortung wahrnehmen können, andererseits aber auch die Grundlagen dafür schaffen, dass Anbieter von Soft- und Hardwarelösungen im Gesundheitsbereich ihrerseits die nötigen Massnahmen ergreifen, um Schwachstellen frühzeitig zu entdecken und zu beheben.”, sagt Schläpfer.

Berlich von der FFHS findet zwar nicht, dass unmittelbar neue Gesetze erlassen werden müssten, doch sei eine robuste Prüfung anhand bestehender Richtlinien entscheidend. “Sicherheit ist ein Prozess der laufenden Verbesserung”, sagt der Experte. Und bevor man weitere Verschärfungen ins Auge fasst, sollte analysiert werden, ob die aktuellen Vorschriften eingehalten werden und was die Hauptursachen für deren Mängel sind.

Im Interview mit der Redaktion geht Urs Küderli von PwC noch mehr ins Detail. Lesen Sie hier, warum der Bund bei Mindeststandards eine klare Rolle übernehmen sollte. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.