Mediensprecher Thomas Lüthi zum Cyberangriff auf die Psychiatrie Baselland

Vor gut zwei Wochen haben Cyberkriminelle das IT-System der Psychiatrie Baselland lahmgelegt. Thomas Lüthi, Leiter Kommunikation und Marketing, gibt Auskunft über die Bewältigung der Attacke. Auf Details zum Vorgehen der Täter will er nicht eingehen.

David Thommen

Herr Lüthi, die Psychiatrie Baselland wurde am 16. Oktober Opfer einer Cyberattacke, bei der ein grosser Teil der IT-Daten verschlüsselt wurde. Wie stellte sich die Situation an jenem Montagmorgen dar?
Thomas Lüthi: Unsere Informatik-Anwendungen waren blockiert. Wenn man sich anmelden wollte, erschien eine Fehlermeldung. Der E-Mail-Verkehr funktionierte nicht mehr und wir konnten nicht mehr auf unsere Daten zugreifen. Schnell war für unsere Informatiker klar, dass es sich um einen Hackerangriff gehandelt haben musste.

Welche Sofortmassnahmen wurden ergriffen?
Wir haben die Psychiatrie Baselland vom Internet abgekoppelt und die Informatik-Systeme aus Sicherheitsgründen kontrolliert heruntergefahren. Dann haben wir gemeinsam mit externen Cybersicherheits-Spezialisten angefangen, die Cyberattacke Schritt für Schritt zu bewältigen.

Inwieweit wurde die Arbeit mit den Patientinnen und Patienten beeinträchtigt?
Die Behandlung und Betreuung unserer Patientinnen und Patienten und die Sicherheit haben wir jederzeit gewährleisten können.

Gelitten haben dürfte in erster Linie die Administration. Zum Beispiel die ganze Rechnungsstellung dürfte unmöglich geworden sein, oder täuscht das?
Ohne funktionierende Kommunikationskanäle war es nicht einfach. Aber wir konnten immerhin noch telefonieren, und die Post ist ja auch noch da. Unsere Geschäftspartner haben wir informiert, dass es zu Verzögerungen bei der Bezahlung von Rechnungen kommen kann. Seit einigen Tagen laufen die Systeme wieder und wir sind daran, Pendenzen abzutragen. Das ist zwar mühsam, doch es kann bewältigt werden. Wesentliche Informationen sind uns keine verloren gegangen.

In welchen Dimensionen dürfte sich der Schaden bewegen? Ist die Klinik für solche Fälle versichert?
Zahlen können wir keine nennen. Ein Teil der Kosten wird durch Versicherungsleistungen gedeckt.

Sind wesentliche Daten heute nach wie vor verschlüsselt?
Nein. Wir können praktisch wieder ganz normal arbeiten.

Andere «gehackte» Unternehmen brauchten deutlich mehr Zeit, bis ihre Systeme wieder liefen – erinnert sei an die CH Media. Es dauerte sehr lange, bis die NZZ oder auch die «bz Basel» wieder geordnet erscheinen konnten.
Ich kann den Fall «CH Media» nicht beurteilen. Wir haben sofort mit externen IT-Spezialisten begonnen, unsere System wieder aufzubauen. Das ist gelungen, weil wir unsere Daten zuvor geschützt hatten. Es wird noch einige Wochen bis zum vollständigen Normalzustand dauern, bis jetzt läuft aber alles sehr gut. Von aussen bemerkt man heute kaum noch etwas.

Verfügte die Psychiatrie Baselland also noch über ein vollständiges Backup – über einen unverseuchten Datensatz?
Natürlich. Wir sind verpflichtet, unsere Daten zu schützen, zu sichern und zu archivieren.

Am schnellsten bekommt man den Zugriff auf das IT-System in der Regel zurück, in dem man die Lösegeldforderung erfüllt.  Wie viel wurde verlangt und mit welchem Ultimatum?
Dazu können wir keine Angaben machen.

In vielen bisher bekannten Fällen sind die Kriminellen schon Wochen vor der eigentlichen Verschlüsselung der Daten ins IT-System eingedrungen und haben dort alles durchsucht und Daten gestohlen. Gibt es Hinweise darauf, wann und wie der Einbruch vonstatten ging?
Wir verstehen das Interesse an Details zum Cyberangriff, können diesem Wunsch aber nicht nachkommen. Das entspricht auch den Empfehlungen aus der Kriminalprävention und von anderen Experten, die wir nach dem Vorfall in die Bewältigung des Angriffs einbezogen haben.

Mit welcher Hackergruppe haben Sie es zu tun und woher stammt diese? Nicht selten brüsten sich die Gruppen ja mit ihren Angriffen …
Auch dazu können wir keine Angaben machen. Es gibt viele solcher Gruppen und wir werden ihnen ganz bestimmt keine Plattform geben. Natürlich hoffen wir, dass die Cyberkriminellen gefasst werden können.

Wie viele Patientendossiers sind im schlechtesten Fall betroffen?
Die Analyse des Cyberangriffs wird noch einige Zeit dauern, ebenso die Auswertung, welche Daten durch den Angriff tangiert sind. Falls sich aus der Analyse der Spezialisten Anhaltspunkte für Datenverletzungen ergeben, werden Betroffene von uns direkt informiert.

Bis in welches Jahr zurück sind die Dossiers bei Ihnen digitalisiert?
Mit der Digitalisierung der Patientendaten fingen wir im Jahr 2008 bei der Einführung unseres Klinikinformationssystems an.

Nicht selten werden gestohlene Daten nach solchen Attacken im Darknet veröffentlicht oder verkauft. Im Falle der NZZ sollen unter anderem die Löhne der Mitarbeitenden publiziert worden sein. Ihre Patientinnen und Patienten dürften also beunruhigt sein. Was sagen Sie ihnen? Gibt es eine Anlaufstelle?
Anliegen von Patientinnen und Patienten werden von uns sorgfältig bearbeitet. Wir haben dafür eine interne Stelle eingerichtet, die allfällige Fragen zu den Auswirkungen des Vorfalls aufnimmt. Wir haben bis jetzt wenige Reaktionen von Patientinnen und Patienten auf den Cyberangriff bekommen. Falls sich Anhaltspunkte für Datenverletzungen ergeben, werden davon Betroffene von uns wie gesagt direkt informiert.

Als Folge von Diebstahl solch sensibler Daten sind kriminelle Handlungen denkbar wie Betrug oder Erpressung. Was sind aus Sicht der Psychiatrie Baselland die potenziellen Gefahren für die Patientinnen und Patienten?
Darüber wollen wir nicht spekulieren.

Ransomware-Angriffe auf Institutionen des Gesundheitswesens sind längst nicht mehr überraschend. War die Psychiatrie Baselland stets vorsichtig genug? Oder gibt es Selbstkritik?
Wir investieren schon länger in den Schutz und die Sicherheit der sensiblen IT-Infrastruktur und werden dies verstärkt fortsetzen. Wir haben unsere Lehren gezogen. Eine hundertprozentige Sicherheit gibt es aber nie, selbst amerikanische Geheimdienste werden «gehackt».

Der Bund treibt die Einführung des elektronischen Patientendossiers voran. Dort sollen sämtliche persönlichen Gesundheitsdaten von Patienten gesammelt werden. Ist das mit Blick auf einen denkbaren Datendiebstahl durch Kriminelle nicht zu gefährlich?
Die Frage ist berechtigt. Die Federführung für dieses Projekt liegt beim Bund, und ich nehme stark an, dass die maximalen Sicherheitsmassnahmen ergriffen werden.

«Herausforderung Cybercrime»

vs. Heute Donnerstag reicht SP-Landrat Andreas Bammatter eine Interpellation zum Thema Cybercrime ein. In der ganzen Schweiz komme es vermehrt zu Cyberangriffen, stellt er in seinem Vorstoss fest und erwähnt als Beispiel die Psychiatrie Baselland. Auch seien bereits Gemeinden in der Westschweiz und im Kanton Aargau «gehackt» worden. Er fordert den Regierungsrat auf, zu prüfen, wo bei der Cybercrime-Abwehr Synergien zusammen mit den Gemeinden bei der Digitalisierungsstrategie genutzt werden könnten.
Ferner will Bammatter wissen, ob verbindliche Konzepte zur Verminderung der Cybercrime-Attacken bestehen und wie Verantwortliche bei Kanton und Gemeinden in Sachen Datensicherheit geschult und unterstützt werden.