Wie man so etwas durchsteht? Zusammen_halt!

Cyberangriffe auf Krankenhäuser: Vom Notfallmodus zurück zum Regelbetrieb

Wenn ein Cyberangriff festgestellt wird, greifen sofort strukturierte Notfallmaßnahmen, um Schaden einzudämmen und den Betrieb bestmöglich aufrechtzuerhalten.

Zunächst erfolgt die sogenannte Incident Response. Das bedeutet: betroffene Systeme werden umgehend vom Netz getrennt, um eine weitere Ausbreitung des Schadens zu verhindern. Parallel dazu beginnt die IT-Forensik, den Vorfall detailliert zu untersuchen. Dabei geht es unter anderem um Fragen wie: Seit wann ist der Angreifer im System? Welche Systeme sind noch vertrauenswürdig? Ab welchem Zeitpunkt können Backups sicher eingespielt werden?

Diese Phase kann – abhängig von der Vorbereitung und dem Ausmaß des Angriffs – zwischen 24 Stunden und bis zu zwei Wochen dauern. 
Für den laufenden Betrieb bedeutet das in vielen Fällen eine Rückkehr zu Notfall- und Papierprozessen. Gerade im Gesundheitsbereich ist dies eine große Herausforderung: IT-Systeme sind hier zentral für die Versorgung, aber auch für die rechtlich vorgeschriebene Dokumentation und Aufbewahrung von Behandlungsdaten. Eine schnelle, improvisierte Lösung „auf Knopfdruck“ ist nicht möglich, weil die Integrität der Daten oberste Priorität hat.

Sobald die Systeme wieder verfügbar sind, folgt ein umfangreicher Abgleich: Alle während des Notbetriebs entstandenen Informationen müssen sauber ins System übertragen werden, damit Realität und IT-Datenlage übereinstimmen. Nach einem größeren Cyberangriff dauert es erfahrungsgemäß Wochen bis Monate, bis die vollständige Rückkehr zum Regelbetrieb abgeschlossen ist.