Nicolas Krämer: Der Angriff ereignete sich am 10. Februar 2016 - Aschermittwoch. Am frühen Morgen war es zunächst in den bildgebenden Systemen unserer Radiologie zu auffälligen Verzögerungen gekommen. Wenig später tauchte auf einem der ersten Endgeräte eine Nachricht der Cyberkriminellen auf, dass unser Krankenhaus gehackt worden sei.

Wir haben daraufhin einen Krisenstab ins Leben gerufen, dessen erste Entscheidung darin bestand, alle IT-Systeme des Lukaskrankenhauses herunterzufahren. Wir wollten zum einen eine Ausbreitung des Virus verhindern, zum anderen unsere hochsensiblen Patientendaten vor unbefugten Zugriffen von außen schützen.

Nachdem wir festgestellt hatten, dass es eine sogenannte Ransomware-Attacke war, haben wir die Polizei eingeschaltet. Das LKA aus Düsseldorf war zu Spitzenzeiten mit sechzehn Cybercops hier. Das BSI ist ebenfalls sehr schnell gekommen und wir hatten verschiedene IT-Security-Firmen vor Ort. Gemeinsam ist es nach einigen Tagen gelungen, das Virus unschädlich zu machen.

Die Auswirkungen auf den Medizinbetrieb waren dennoch fatal. Wenn man als eines der Vorzeige-Krankenhäuser in der Digitalisierung von jetzt auf gleich von Automatik auf Handbetrieb umschalten muss, dann verändern sich natürlich Prozesse und Abläufe um den OP herum aber auch auf den Stationen.

Um welche Ransomware hat es sich dabei gehandelt?

Nicolas Krämer: Es war weder WannaCry noch Petya - die verbreiteten sich beide erst später. Es ging zwar in die Richtung von WannaCry, aber der Virus hat keinen eigenen Namen bekommen. Es gab jedoch viele andere Krankenhäuser in Nordrhein-Westfahlen, die zeitgleich einen Cyberangriff über sich ergehen lassen mussten. Deshalb wurde damals ein Gesamtzusammenhang vermutet. Heute wissen wir aber, dass diese Angriffe höchstwahrscheinlich nicht zusammenhingen. Es war wohl ein Streu- und kein gezielter Angriff auf eine kritische Infrastruktur.

Interessanterweise gab es zeitgleich einen weiteren Angriff, der mit dem auf das Lukaskrankenhaus sehr gut vergleichbar war. Nämlich den auf das Presbyterian Medical Center in Hollywood. Da waren die Auswirkungen ähnlich, aber auch da gab es keine besondere Bezeichnung.

Der Verschlüsselungstrojaner hatte das Ziel, Patientendaten zu verschlüsseln. Dadurch, dass wir die Systeme schnell heruntergefahren und Backup-Lösungen eingesetzt haben, ist es dazu nicht gekommen.

Über welchen Weg ist der Trojaner in Ihre Systeme gelangt?

Nicolas Krämer: Über eine klassische Phishing-Mail in der Verwaltung.

Welche Bereiche der IT waren von dem Trojaner betroffen?

Nicolas Krämer: Betroffen war das komplette Krankenhausinformationssystem, also alle Geräte mit Ausnahme der Medizintechnik, die nicht mit dem Netz verbunden war.

Ein Notfallplan ist essenziell

Wie lange hat es gedauert von der Aufdeckung des Angriffs bis zur Bildung des Krisenstabs und der Abschaltung der Systeme?

Nicolas Krämer: Das ging relativ schnell innerhalb von einer halben Stunde. Als mich unser IT-Leiter anrief und vorschlug, alle IT-Systeme herunterzufahren, war ich mir noch nicht sicher, dass das die richtige Entscheidung ist, weil mir das Ausmaß der Zerstörungskraft dieses Virus nicht bewusst war. Als er mir den Ernst der Lage verdeutlichte, entschieden wir uns dazu, den Krisenstab zu bilden. Dort saßen wir ziemlich genau eine halbe Stunde später alle zusammen.

Wer war im Stab außer Ihnen und dem IT-Leiter?

Nicolas Krämer: Die komplette Betriebsleitung, der Leiter der Notfallmedizin, unsere Juristin und zwei Pressesprecher. Das war das Kernteam. Zusätzlich hatten wir Experten, die wir zu bestimmten Themen immer wieder mit dazu geholt haben.

30 Minuten ist eine schnelle Reaktionszeit. Hatten Sie sich gezielt auf so einen Fall vorbereitet?

Nicolas Krämer: In Krankenhäusern muss man immer mit Notfällen rechnen - ob das die massenhafte Einlieferung von Verletzten ist oder ein sogenannter Gelb- oder Rot-Alarm in der Notaufnahme. Wir sind mit Krisensituationen also relativ geübt. Das sind dann meistens auch Situationen, bei denen Menschenleben auf dem Spiel stehen. Insofern haben wir eine gewisse Erfahrung. Wir hatten zudem am 16. August 2014 - also eineinhalb Jahre vorher - eine Verfahrensanweisung auf den Weg gebracht, die regelt, was passiert, wenn der Strom oder die IT-Systeme ausfallen. Dadurch hatten wir einen groben roten Faden, der uns in der Situation geholfen hat. Durch den Cyberangriff ist kein Patient gestorben und auch die sensiblen Patientendaten wurden zu keinem Zeitpunkt kompromittiert.

Waren sie verpflichtet, diese Verfahrensanweisung zu entwickeln, oder haben Sie das von sich aus gemacht?

Nicolas Krämer: Das war unsere Initiative. Ich habe am 1. Juli 2014 als Geschäftsführer des Krankenhauses angefangen und wir hatten relativ schnell eine Krisensituation, die mir gezeigt hat, dass der Notfallplan noch nicht von allen gelebt wird. Wir hatten eine Schießerei hier im Haus und da hat es mit dem Notfallplan nicht so hingehauen.

Das haben wir damals zum Anlass genommen, uns intensiver damit zu beschäftigen und die Verfahrensanweisung, die schon vor meinem Einstand auf den Weg gebracht worden war, zu finalisieren. Ein wichtiger Aspekt dabei ist, dass die Abteilungsleiter den Notfallplan stets gegenwärtig haben.

Wird der Notfallplan regelmäßig geprobt?

Nicolas Krämer: Nach dem Ransomware-Angriff am 10. Februar 2016 haben wir das noch nicht wieder geprobt. Hin und wieder gibt es Übungen und Probealarme -auch in Zusammenarbeit mit der Feuerwehr. in

Wir machen hin und wieder Penetration-Tests oder ergreifen Maßnahmen, um die Awareness der Mitarbeiter zu prüfen. Aber dass wir den Krisenfall in der Weise trainieren, dass wir einen Tag die Patientenversorgung einstellen und eine Cyberattacke inklusive Bildung des Krisenstabs und den Entscheidungen, die getroffen werden müssen, proben, kriegen wir im Tagesgeschäft momentan einfach nicht gestemmt.

Eine Million Euro für fünf Tage Blackout

Zurück zum Cyberangriff: Der Verschlüsselungstrojaner war eingedrungen und Sie haben die Systeme heruntergefahren. Wie ging es dann weiter?

Nicolas Krämer: Nach der Abschaltung war ein großes Krankenhaus inklusive des Bereichs Nuklearmedizin, zwei Linearbeschleunigern und vier Herzkatheter-Messplätzen erstmal im Offline-Betrieb. Jetzt galt es, die Mitarbeiter darüber informieren, wie die alternativen Prozesse aussehen. Wir haben dann im Rahmen des Krisenmanagements großen Wert auf Krisenkommunikation gelegt - gegenüber den Mitarbeitern, den Patienten und den Angehörigen.

Wir mussten Operationen absagen und waren in den ersten 36 Stunden nicht in der Lage, Notfälle aufzunehmen. Danach konnten wir bis auf Herzinfarktpatienten und Polytrauma-Verletzte, die also mindestens eine lebensgefährliche Verletzung und weitere Verletzungen haben, die Notfallversorgung wieder aufnehmen.

Der Blackout dauerte also 36 Stunden?

Nicolas Krämer: Nein, der Blackout dauerte insgesamt fünf Tage. Am 15. Februar konnten wir langsam wieder mit dem Hochfahren unserer Systeme beginnen.

Wie lange hat es danach gedauert, bis die Systeme wieder im Normalbetrieb liefen?

Nicolas Krämer: Es hat etwa sechs Wochen gebraucht, bis 80 Prozent der IT wieder normal liefen. Die restlichen 20 Prozent haben sich dann über weitere Monate und teilweise sogar Jahre hingezogen. Dabei haben wir die Chance genutzt, bestimmte Systeme auf ein neues Niveau zu heben.

Welche Rolle spielte Ihr Backup-System?

Nicolas Krämer: Das war ganz wichtig, damit wir an die Daten wieder rankommen. Dabei mussten auch einige Teile über eine Data-Recovery-Firma wiederhergestellt werden, weil sich einige Systeme beim langsamen Wiederhochfahren gegenseitig zerschossen haben.

Es ist ein riesiger Unterscheid, ob Sie Ihren Laptop zuhause herunter- und wieder hochfahren oder ob es ein hochkomplexes Computernetzwerk eines Krankenhauses ist. Es ist ein riesiger Flickenteppich an Systemen und Subsystemen. Da kann sich das eine oder andere auch mal verschieben oder kaputtgehen - genau das ist bei uns passiert.

Waren die Backup-Daten auf dem neuesten Stand?

Nicolas Krämer: Es wird jeden Tag ein Backup gemacht, so dass nur Daten verloren gegangen sind, die wenige Minuten vor dem Zwischenfall am Morgen eingegeben worden waren.

Ab dem Blackout haben wir alles mit Papier und Bleistift dokumentiert. Eine ganz große Herausforderung bestand später darin, diese Daten wieder in die Systeme einzugeben. Das hat zu vielen Überstunden, Nacht- und Wochenendarbeit geführt.

Wie lang hat es gedauert, die während des Blackouts entstandenen Papierdaten wieder zu digitalisieren?

Nicolas Krämer: Es brauchte zwei Wochen Mehrarbeit in der Verwaltung, bis die fünf Tage aufgeholt waren.

Können Sie abschätzen, was der Angriff das Krankenhaus insgesamt gekostet hat?

Nicolas Krämer: Das war ziemlich genau eine Million Euro. Diese Schadensumme setzt sich vor allem aus Honoraren zusammen, die wir an IT-Sicherheitsfirmen gezahlt haben. Da waren gute dabei - aber auch weniger gute. Ein echter Erlösverlust ist uns nicht entstanden, weil wir einen großen Teil der ausgefallenen Operationen innerhalb von fünf Tagen nach dem Zwischenfall nachholen konnten, indem wir den regulären OP-Betrieb von 16 auf 20 Uhr verlängert haben.

Sicherheit vor Funktionalität

Welche Lehren haben Sie aus dem Angriff gezogen?

Nicolas Krämer: In der Vergangenheit haben wir die Chancen der Digitalisierung in den Vordergrund unseres Handelns in der IT gestellt. Wir waren unter den ersten, die iPads eingeführt haben, um den Ärzten und Pflegekräften die Arbeit zu erleichtern. Zudem haben wir eine offene Bring-your-own-Device-Politik gefahren, so dass Ärzte hier auch mit ihrem persönlichen Notebook arbeiten konnten.

Seit dem Angriff sehen wir auch die Risiken und Nebenwirkungen der Transformation. Wir haben ein neues Motto ausgegeben: "Sicherheit vor Funktionalität".

Wir haben eine große Awareness-Kampagne auf den Weg gebracht, um unsere Mitarbeiter noch mehr für den sicheren Umgang mit der IT zu sensibilisieren. Außerdem haben wir zusammen mit einem E-Learning-Anbieter einen sogenannten IT-Führerschein entwickelt. Mitarbeiter, die hier mit IT zu tun haben, müssen einen zehn Fragen umfassenden Online-Test bestehen, um überhaupt mit der IT arbeiten zu dürfen.

Und schließlich haben wir in unsere technische Infrastruktur und IT-Sicherheitsarchitektur investiert. Neben den regelmäßigen Penetration-Tests haben wir unter anderem ein Sandbox-System implementiert, in dem verdächtige E-Mail-Anhänge geprüft und gegebenenfalls entschärft werden.

Das heißt nicht, dass wir die Chancen der Digitalisierung nicht weiter nutzen, aber eben mit angezogener Handbremse und mit viel Gefühl für die Gefahren, die die Digitalisierung zweifelsohne mit sich bringt.

Wie kommt das bei den Mitarbeitern an?

Nicolas Krämer: Natürlich gab es nicht nur Applaus, wenn Maßnahmen durchgesetzt worden sind, die die Funktionalität eingeschränkt haben. Auf der anderen Seite waren viele unserer Mitarbeiter 2016 von der IT-Krise betroffen und haben am eigenen Leib die Auswirkungen spüren müssen. Sie haben volles Verständnis dafür, dass wir unsere IT-Sicherheitspolitik nochmal überdacht haben.

Digitalisierung weiter als Chance sehen

Treiben Sie die Digitalisierung Ihrer Klinik jetzt mit angezogener Handbremse voran?

Nicolas Krämer: Nein, ich bin nach wie vor ein großer Freund der Digitalisierung in der Gesundheitswirtschaft. Ich nenne Ihnen ein Beispiel: Alle 18 Rettungswagen bei uns im Rhein-Kreis Neuss sind mit telemedizinischen EKG-Geräten ausgestattet. Wenn also ein Patient mit Verdacht auf einen Herzinfarkt zu uns ins Lukaskrankenhaus gebracht wird, wird im Notarztwagen ein EKG geschrieben. Diese Daten werden telemetrisch in unsere "Chest Pain Unit" übertragen, wo sich die Mitarbeiter gezielt auf den einzelnen Patienten vorbereiten können. Dadurch ist die Sterberate um ganze 23 Prozent gesunken. Das ist ein messbarer Vorteil der Digitalisierung.

Wenn wir über die IT-Sicherheit sprechen ist auch die Frage, ob die Daten der Patienten in der analogen Welt so viel besser geschützt sind als in der digitalen Welt. Ich weiß genau, wie ein durchschnittliches Patientenakten-Archiv in einem Krankenhaus aussieht. Das ist der feuchte Keller, der Dachboden oder das Logistikzentrum irgendwo in der Peripherie ohne Kameraüberwachung, Wärter oder Vorhängeschloss. Da kann jeder, der ein bisschen kriminelle Energie mitbringt, einsteigen und mit diesen Daten, die 30 Jahre aufbewahrt werden müssen, Schindluder treiben. Das interessiert in Deutschland niemanden. Aber immer dann, wenn es um Big Data geht, bricht hierzulande Paranoia aus.

Ich sage ganz klar, die Chancen der Digitalisierung sind riesig. Insbesondere wenn wir an die Zukunft denken, kann ich sagen, dass das Gesundheitswesen vor einem echten Paradigmenwechsel steht. Dabei geht es nicht um Fitnessarmbänder oder darum, dass viele Patienten erstmal den persönlichen Leibarzt Doktor Google konsultieren und der Krankenhausarzt für die Zweitmeinung zuständig ist. Da reden wir über 3D-Drucker, mit denen menschliche Kniegelenke und Organe reproduziert werden können. Ich denke an Big-Data-Analysen, mit denen es möglich sein wird, Krankheiten zu heilen, die heute noch als unheilbar gelten. Der Nutzen der Digitalisierung der Medizin ist so groß, dass man die Risiken zwar ernst nehmen, die Potenziale aber auf gar keinen Fall unterschätzen sollte.

Mussten Sie nach dem Angriff weitere Attacken abwehren?

Nicolas Krämer: Ich gehe davon aus, dass wir jeden Tag angegriffen werden. Ich gehe aber auch davon aus, dass unserer Abwehrsysteme mittlerweile so gut sind, dass diese Angriffe keinen Schaden anrichten. Wobei es natürlich immer abzuwarten bleibt, wie es uns gelingen wird, unsere Abwehrsysteme auch aktuell zu halten. Denn die Schutzmechanismen müssen sich genauso weiterentwickeln, wie die Angriffsmethoden der Hacker. IT-Sicherheit ist keine statische Angelegenheit, sondern ein dynamischer Prozess.

Haben Sie als Geschäftsführer Ihre Aufmerksamkeit nach dem Angriff 2016 stärker auf die IT-Sicherheit gelenkt?

Nicolas Krämer: Wir haben auch in den beiden Jahren vor diesem Cyberangriff deutlich mehr in IT-Sicherheit investiert als ein durchschnittliches Krankenhaus. Trotzdem konnte der Angriff gelingen. Wenn man über Tage und Wochen im Krisenstab verharrt und das miterlebt, was wir im Februar 2016 erfahren haben, hat das natürlich Nachwirkungen. Das führt dazu, dass man das Thema IT-Sicherheit nochmal anders betrachtet, denn nur aus Fehlern lernt man. Die Umsetzungsphase dauert bis zum heutigen Tage an.

Sie sind also heute noch dabei, die letzten 20 Prozent des Wiederaufbaus abzuschließen?

Nicolas Krämer: Ja, aber jetzt sind wir wirklich im Promille-Bereich. Wir sind in der Phase der kontinuierlichen und strategischen Weiterentwicklung.

Cyberversicherung ist ein Muss

Haben Sie zum Abschluss einen Ratschlag für andere Unternehmen, die sich ähnlichen Risiken ausgesetzt sehen wie Sie?

Nicolas Krämer: Ich kann nur jedem empfehlen eine Cyberversicherung abzuschließen. Ich bin für den unwahrscheinlichen Fall, dass der Goldhamster meiner fünfjährigen Tochter über die Straße rennt und eine Massenkarambolage verursacht, über die Haftpflicht versichert. Die Eintrittswahrscheinlichkeit dieses Risikos liegt im Promille-Bereich. Die Eintrittswahrscheinlichkeit eines Cyberangriffs auf mein Unternehmen - gerade auf ein Krankenhaus - liegt bei über 50 Prozent. Aber deutlich unter 50 Prozent der Betriebe verfügen über eine Cyberversicherung.

So eine Versicherung schützt mich zwar nicht davor Opfer eines Angriffs zu werden. Aber sie hilft, den immensen Schaden abzudecken. Deswegen kann ich die zögerliche Grundhaltung vieler meiner Kollegen an der Stelle nicht verstehen. Eine Cyberversicherung kostet nicht besonders viel Geld. Sie ist auch im Hinblick auf die Haftung des Geschäftsführers - Stichwort Fahrlässigkeit - um Schaden vom Unternehmen abzuwenden, ein ganz wichtiger Baustein.

Hatten Sie 2016 so eine Versicherung?

Nicolas Krämer: Die hatten wir nicht. Wir haben sie danach abgeschlossen. Aber es ist sicherlich mehr als ein Placebo, denn die Bedrohungslage ist vielen nicht bewusst. Eine Befragung von Roland Berger unter Krankenhausgeschäftsführern vor zwei Jahren hat belegt, dass 64 Prozent der 2.000 Krankenhäuser in Deutschland etwas Ähnliches erlebt haben wie wir. Das drückt aus, wie die Bedrohungslage tatsächlich ist.