Veröffentlicht am

Reagiert Regierung auf zunehmende Spital-Attacken?

Die SVP-Kantonsräte Roland Lutz, Roman Bürgi und Thomas Hänggi haben eine Interpellation zur Cybersecurity in Spitälern eingereicht. Die

Die SVP-Kantonsräte Roland Lutz, Roman Bürgi und Thomas Hänggi haben eine Interpellation zur Cybersecurity in Spitälern eingereicht. Die Antwort des Regierungsrats zeigt, dass dieser zwar die Dringlichkeit erkennt, aber nicht zwingend Vorgaben machen möchte.

ANOUK ARBENZ

Im Juli 2020 ist es kriminellen Hackern gelungen, ins Netz der Hirslanden-Gruppe einzudringen und Daten zu verschlüsseln. Die Spitalkette ist mit einem blauen Auge davongekommen – und alle anderen Spitäler sind spätestens dann aufgewacht.

Das Spital Wetzikon war nur ein Jahr davor mit der Schadsoftware Emotet attackiert worden. Die Hirslanden-Gruppe hatte Glück und hat kurz darauf eine Überwachungssonde installiert und einen DNS-Server in Betrieb genommen, der Zugriffe auf bösartige Websites blockiert. Den Server benutzen auch fünf andere Schweizer Gesundheitsinstitutionen.

In einer Interpellation wollen die SVP-Kantonsräte Roland Lutz (Einsiedeln), Roman Bürgi (Goldau) und Thomas Hänggi (Schindellegi) vom Schwyzer Regierungsrat wissen, ob sich dieser regelmässig darüber in Kenntnis setze, was diesbezüglich in den Spitälern getan wird, welches Gewicht die Cybersicherheit der Spitäler bei der Bewilligungsvergabe hat, ob es diesbezüglich schon Vorgaben gibt für die Spitäler und ob die Beurteilungskriterien aufgrund der steigenden Risiken laufend angepasst werden.

Kein Kanton macht Vorgaben

Die Antwort kurz gefasst: nein. Vorgaben in Bezug auf die Cybersicherheit, um als Spital bewilligt zu werden, gibt es bis anhin keine. Das liegt laut Regierungsrat daran, dass es auch noch keinen national einheitlichen Standard dafür gibt.

Doch man hat die Bedeutung des Themas erkannt. Angriffe auf Spitäler hätten zugenommen. Die Angriffsfläche bei den Spitälern sei hoch. Das Nationale Zentrum für Cybersicherheit hat im September 2020 der Schweizerischen Konferenz der Gesundheitsdirektorinnen und -direktoren – wo auch Petra Steimen dabei ist – seine Sorge diesbezüglich zum Ausdruck gebracht.

Danach hat man beschlossen, dass das Thema Cybersecurity auf der Plattform für Bund und Kantone «Dialog Nationale Gesundheitspolitik» behandelt und eine Empfehlung zum Thema erarbeitet wird. Gleichzeitig hat man im März dieses Jahres eine Umfrage bei allen Spitälern durchgeführt.

Diese hat gezeigt: Kein einziger Kanton macht den Spitälern Vorgaben im Bereich Cybersicherheit, und nur fünf Kantone informieren sich regelmässig über den Stand bei den Spitälern. Nur in einem Kanton wird Cybersecurity bei der Erteilung einer Betriebsbewilligung berücksichtigt.

Der Regierungsrat stellt in Aussicht, bei der Spitalplanung 2024 minimale Vorgaben für die Spitäler «zu prüfen». Grundsätzlich seien die Spitäler frei und selbstständig.

Zudem habe eine Umfrage gezeigt, dass die Schwyzer Spitäler der Cybersicherheit bereits eine hohe Priorität beimessen: «Im Spital Einsiedeln und in der Seeklinik Brunnen wurden Stabsstellen zum IT-Security- und IT-Risk-Management etabliert, Richtlinien entwickelt oder moderne IT-Lösungen eingeführt », hält der Regierungsrat fest.

Das Thema werde auch im Austausch zwischen dem Departement des Innern und den Spitälern bei Bedarf persönlich angesprochen.

«Wir nehmen es ernst» Auch das Spital Lachen nimmt die Situation ernst, wie die Spitalleitung dieser Zeitung mitteilt. «Wir sind uns bewusst, dass wir hier eine grosse Verantwortung tragen. Die gesamte Informatik- Infrastruktur wird darum ständig überwacht und die Sicherheitssysteme laufend ausgebaut und optimiert.» Diese Infrastruktur werde in Lachen mit einigen Tausend Sensoren überwacht. «Wir setzen die neusten Firewall- und Virenscansoftware-Generationen ein und bleiben so auf dem neusten Stand. Ausserdem arbeiten wir mit Partnerfirmen zusammen.» Wichtig sei auch, das Bewusstsein der Mitarbeitenden zu schärfen. Denn zu Angriffsversuchen komme es immer wieder.

Seit dem Frühjahr 2020 können Patienten ein elektronisches Patientendossier anlegen. Das heisst, Spitäler und Praxen müssen dafür auch die Datensicherheit und den Datenschutz sicherstellen. Möglicherweise könne man daran anknüpfen, lässt der Schwyzer Regierungsrat in seiner Antwort verlauten.

«Im Spital Einsiedeln wurden Stabsstellen zum IT-Security- und IT-Risk-Management etabliert.»

Schwyzer Regierungsrat

Share
LATEST NEWS