Für den Kampf gegen das Coronavirus sind sie gerüstet, die Spitäler. Anders sieht es bei Viren aus, welche Computer und medizinische Geräte betreffen. Letztes Jahr hat die «Rundschau» von SRF darüber berichtet, dass die Schweizer Spitäler grosse Angriffsflächen für Cyberattacken bieten. Die Firma Dreamlab mit Sitz in Bern hat analysiert, wie verwundbar die 281 Spitäler sind. Das Fazit ist ernüchternd: Die Spezialisten fanden 570 Schwachstellen. 60 stuften sie als kritisch ein.

Dreamlab-Gründer und CEO Nicolas Mayencourt und sein Team haben auch die Spitäler im Aargau auf Schwachstellen untersucht – und sie sind fündig geworden. Auf der Suche nach Sicherheitslücken sind sie wie Hacker vorgegangen, haben aber keine Schutzvorrichtungen gebrochen. Sie sind also nicht in Systeme eingedrungen. Mayencourt erklärt: «Sie können sich das im übertragenen Sinn so vorstellen: Wir haben ein Gebäude von aussen beobachtet und nach offenen Fenstern und Türen gesucht, um reinzukommen.»

«Wir haben aber keine Schlösser geknackt oder Scheiben zerschlagen.»

Das war auch gar nicht nötig, um auf sensible Daten der Spitäler zu stossen. Die Cyberspezialisten fanden offene FTP-Server von Aargauer Spitälern, von denen sie Daten hätten ziehen können. Auch Log-in-Portale, über die man mit den richtigen Zugangsdaten Zugriff auf Röntgen- oder MRI-Bilder hätte, waren für Dreamlab zugänglich.

Mit den Gruppen-Log-ins und Passwortlisten, die sie fanden, wären sie wohl irgendwann auch in dieser Datenbank drin gewesen. «Trojaner können in solche Bilder eingebaut werden und überall, wo das Bild erscheint, zieht die Schadsoftware dann ihre Spuren», sagt Nicolas Mayencourt. Ausserdem könnten Röntgen-, MRI- oder CT-Bilder verändert werden. «Hacker können Diagnosen, zum Beispiel Tumore, rein- oder rausretouchieren.»

Das Problem des ungenügenden Schutzes beginne aber schon bei den Hosting-Anbietern, die den Spitälern Speicherplatz auf einem Server verkaufen. «Mache haben auf nicht speziell gesicherte Webhosting-Anbieter gesetzt. Ihre Daten liegen auf dem gleichen Server wie jene einer regionalen Sanitärfirma oder eines Hobby-Bloggers», sagt Mayencourt. Wenn nun eine dieser anderen Seiten gehackt werde, befinde sich der Hacker bereits auf dem Server, auf dem auch potenziell sensible Spitaldaten liegen.

Welches Aargauer Spital punkto Cybersicherheit wie abschneidet, könnte Mayencourt im Detail sagen. Er und sein Team haben jedem Spital, das sie untersucht haben, die Sicherheitslücken aufgelistet und präsentiert. Wo genau die Schwachstellen der einzelnen Häuser sind, soll aber nicht an die Öffentlichkeit. Das Risiko ist zu hoch: «Wenn diese Informationen in die falschen Hände geraten, könnte viel Schaden angerichtet werden», sagt Mayencourt. Er hält aber fest, dass sie in jeder Institution Sicherheitslücken gefunden hätten.

Der Problematik von Cyberattacken auf Spitäler ist sich auch der Aargauer Regierungsrat bewusst. Jüngste Angriffe auf Schweizer Spitäler hätten gezeigt, dass die «Bedrohung real und akuter ist denn jemals zuvor», schrieb die Regierung im März in ihrer Antwort auf eine Interpellation von FDP-Grossrätin und Parteipräsidentin Sabina Freiermuth.

Eine Mehrheit der Spitäler hat gegenüber der kantonalen Abteilung Gesundheit angegeben, regelmässig von Cyberattacken betroffen zu sein oder zumindest schon einmal betroffen gewesen zu sein. Die Attacken hätten jedoch in den allermeisten Fällen abgewehrt werden können, hält der Regierungsrat in seiner Antwort fest. Eine Attacke sei zwar erfolgreich gewesen, habe aber zu keinen grossen Auswirkungen oder Schäden geführt.

In der Schweiz gebe es zurzeit keine einheitlichen Vorschriften an die Sicherheitsvorkehrungen, welche die Spitäler zum Schutz ihrer IT-Systeme treffen müssen, hält die Regierung fest. Seitens der Gesundheitsdirektorenkonferenz seien aber Bestrebungen im Gang, Empfehlungen zu erarbeiten.

Der Regierungsrat begrüsst diese Bestrebungen. Er will die Empfehlungen der Gesundheitsdirektorenkonferenz abwarten, bevor er für den Aargau konkrete Massnahmen und Anforderungen betreffend IT-Sicherheit anstossen werde.

Die Spitäler würden das Thema IT-Sicherheit ernst nehmen, schreibt der Regierungsrat. Sie investieren – je nach Grösse – tiefe fünfstellige bis sechsstellige Beträge in die IT-Sicherheit. Dazu kommen gelegentliche grössere Investitionen.

Nahezu alle Spitäler hätten angegeben, die IT-Sicherheit laufend zu verbessern, schreibt der Regierungsrat. Ein Drittel der Spitäler nimmt Schutzmassnahmen des Nationalen Zentrums für Cybersicherheit in Anspruch. Ein weiteres Drittel nutzt das Angebot der Hint AG, die wiederum mit dem Nationalen Zentrum für Cybersicherheit zusammenarbeitet.

Laut Regierungsrat besteht daher kein unmittelbarer Handlungsbedarf. Er könnte sich aber vorstellen, in Zukunft die Vergabe eines Leistungsauftrags an den Nachweis einer hinreichenden IT-Sicherheit zu knüpfen.

Im Mai war der Vorstoss im Grossen Rat traktandiert. Interpellantin Sabina Freiermuth zeigte sich mit der Antwort der Regierung zufrieden. Allerdings regte sie an, «den Informationsfluss zwischen Departement und Leistungserbringern beim Thema Cyberattacken zu verstetigen».

Dadurch habe das Gesundheitsdepartement stets eine Übersicht über die aktuelle Lage und könnte im Falle einer umfassenden, vielleicht sogar häuserübergreifenden Attacke womöglich Schlimmeres verhindern.

Ende August doppelte Freiermuths Parteikollege, FDP-Grossrat Bernhard Scholl, mit einer weiteren Interpellation zum Thema nach. Er interessiert sich nicht nur für die IT-Sicherheit der Spitäler, sondern will von der Regierung wissen, wie sie die Sicherheit von Verwaltung, Gerichten, kantonalen Ämtern, Spitälern oder der Aargauischen Kantonalbank beurteile. Zudem interessiert sich Scholl für die Notfallpläne beim Ausfall einer kritischen Infrastruktur.