Editorial

Nicht jammern. Handeln.


Glück gehabt, waren viele versucht zu sagen, als Mitte Mai die Nachricht die Runde machte, dass eine Schadsoftware namens WannaCry in 150 Ländern über 230 000 Computer infiziert hatte. Das deutsche Gesundheitswesen kam glimpflich davon. Das britische weniger. Ein unglaublich klingendes Fünftel aller englischen NHS-Trusts war betroffen, nicht wenige davon mussten Notaufnahmen oder ambulante Patientenaufnahmen eine Zeit lang schließen.

Die üblichen Reflexe halfen im Fall WannaCry nur begrenzt. Es brauchte keine Hundertschaft an vermeintlich „Dummen“, die USB-Sticks steckten oder E-Mail-Anhänge öffneten. WannaCry konnte sich zumindest teilweise ohne menschliches Zutun ausbreiten – unter Ausnutzung einer Sicherheitslücke, die der NSA schon seit über fünf Jahren bekannt war.

Lässt sich irgendetwas lernen aus dem Vergleich zwischen dem, was WannaCry angerichtet hat und jenen Ransomware-Attacken, die Anfang 2016 das deutsche Gesundheitswesen in Atem hielten?  Vielleicht zweierlei. Zum einen zeigt das Beispiel NHS die Verwundbarkeit regionaler Netzwerke mit zentralisierter Infrastruktur. Als das Lukaskrankenhaus Neuss Anfang 2016 vom Netz ging, war das dramatisch, aber Patienten konnten zu benachbarten Notaufnahmen ausweichen. Im NHS wurden dagegen dank Zentralisierung und dank dem perfiden Übertragungsverhalten der Malware ganze Regionen von der Gesundheitsversorgung abgehängt – inklusive GPs. Das kann in Deutschland so nicht passieren. Dezentralität mag oft mühsam sein, aber sie kann auch Vorteile haben.

Eine zweite Lektion lautet, dass es sich lohnt, Brandmauern einzuziehen. Einige Kommentatoren in Großbritannien haben darauf hingewiesen, dass oft nur Teilkomponenten lahmgelegt wurden, etwa die Laborkommunikation. Die betroffenen NHS-Trusts kamen insgesamt auch relativ schnell wieder auf die
Beine, weil es vielen IT-Verantwortlichen gelang, die „Infektionsherde“ abzukapseln. So etwas lässt sich planen, und einige der Anfang 2016 betroffenen deutschen Krankenhäuser haben ihre IT-Architektur in genau dieser Richtung modifiziert. Es wird keinen absoluten Schutz geben. Aber es gibt Maßnahmen, die den Schaden solcher Angriffe begrenzen. Sie müssen allerdings im Vorfeld ergriffen werden. Deswegen sollte WannaCry nicht Anlass zum Jammern geben, sondern Anlass zum Handeln.

Philipp Grätzel von Grätz, Chefredakteur E-HEALTH-COM
redaktion@e-health-com.eu