In mehr als einem Dutzend Bundesstaaten haben Ärzte und Krankenschwestern auf Papier- und handschriftliche Behandlungsanweisungen zurückgegriffen, um die Krankheiten der Patienten aufzuzeichnen und zu verfolgen, ohne auf die detaillierten Krankengeschichten zuzugreifen, die lange Zeit nur über computergestützte Aufzeichnungen verfügbar waren.
Patienten mussten lange Zeit in der Notaufnahme warten und ihre Behandlungen verzögerten sich, während Laborergebnisse und Messwerte von Geräten wie MRTs durch provisorische Maßnahmen übermittelt wurden, denen es an der Geschwindigkeit elektronischer Uploads mangelte.
Seit mehr als zwei Wochen haben Tausende medizinisches Personal nach einem Cyberangriff auf Ascension, einem der größten Gesundheitssysteme des Landes mit etwa 140 Krankenhäusern in 19 Bundesstaaten und im District of Columbia, auf manuelle Methoden zurückgegriffen.
Der groß angelegte Angriff am 8. Mai erinnerte auf unheimliche Weise an den Hack von Change Healthcare, einer Tochtergesellschaft der UnitedHealth Group, die das größte Gesundheitszahlungssystem des Landes verwaltet. Der Angriff legte die digitalen Rechnungs- und Zahlungswege von Change lahm, sodass Krankenhäuser, Ärzte und Apotheker wochenlang keine Möglichkeit hatten, mit den Krankenversicherern zu kommunizieren. Patienten konnten ihre Rezepte nicht einlösen und Leistungserbringer konnten ihre Behandlung nicht bezahlen.
Während einige frühere Cyberangriffe einzelne Krankenhäuser oder kleinere medizinische Netzwerke betrafen, unterstrich der Zusammenbruch bei Change, wo ein Drittel aller US-Patientenakten verwaltet werden, die Gefahren einer Konsolidierung, wenn eine einzelne Einheit für das nationale Gesundheitssystem so wichtig wird.
Die Systeme von Ascension sind auf unbestimmte Zeit weiterhin nicht erreichbar, doch Ärzte und Pflegekräfte arbeiten daran, Wege zu finden, um an Informationen über die Krankengeschichte der Patienten zu gelangen, indem sie sich die Krankenakten anderer Anbieter ansehen. Ascension teilt Ärzten und Pflegekräften außerdem mit, dass sie schon bald in der Lage sein werden, vorhandene digitale Akten einzusehen.
„Es ist eine große Störung für alle Beteiligten“, sagte Kristine Kittelson, Krankenschwester am Ascension Seton Medical Center in Austin, Texas, die Mitglied der Gewerkschaft National Nurses United ist.
Der Angriff auf Ascension hatte ähnlich weitreichende Auswirkungen wie der Anschlag auf Change. Einige Krankenhäuser in Indiana, Michigan und anderswo mussten Krankenwagen umleiten. Die Krankenhäuser von Ascension bewältigen jährlich etwa drei Millionen Notaufnahmebesuche und führen fast 600.000 Operationen durch.
Wie Change war auch Ascension Gegenstand eines Ransomware-Angriffs, und die Krankenhausgruppe gibt an, mit den Strafverfolgungsbehörden des Bundes zusammenzuarbeiten. Nachrichtenberichten zufolge scheint der Angriff das Werk einer Gruppe namens Black Basta zu sein, die möglicherweise mit russischsprachigen Cyberkriminellen in Verbindung steht.
Es gibt Bedenken, dass die Hacker private medizinische Informationen preisgeben könnten, und Patienten haben bereits damit begonnen, Klagen vor Bundesbehörden gegen Ascension einzureichen, mit der Begründung, das Unternehmen habe nicht genug zum Schutz ihrer Daten unternommen.
Große Gesundheitsorganisationen sind zunehmend zum Hauptziel von Cyberkriminellen geworden, die darauf bedacht sind, so viel Schaden wie möglich in einem wichtigen Teil der US-Infrastruktur anzurichten. „Das wird immer wieder passieren“, sagte Steve Cagle, Vorstandsvorsitzender von Clearwater, einem Compliance-Unternehmen im Gesundheitswesen.
Bei einem ausgedehnten Netzwerk von Krankenhäusern und Kliniken haben große Organisationen noch nicht herausgefunden, wo sie anfällig sind und wie sie die Beeinträchtigung durch einen schweren Angriff minimieren können. Die Branche habe „das nie geplant“, sagte Herr Cagle.
Während Ascension weiterhin Patienten behandelt, ist die Gefahr, dass Teile der Krankengeschichte eines Patienten verloren gehen, greifbar. In Interviews haben Ärzte und Krankenschwestern die Gefahren für die Patientenversorgung dargelegt: Die Patienten erinnern sich möglicherweise nicht an ihre Medikamente; frühere Besuche werden möglicherweise vergessen, ebenso wie die Ergebnisse früherer Verfahren oder Tests.
In Austin musste Frau Kittelson Dutzende von Papieren durchsuchen, um herauszufinden, welche Medikamente ein Arzt verordnet hatte oder um etwas über den Zustand des Patienten herauszufinden. „Ich mache mir Sorgen wegen der Dokumentation“, sagte sie und wies darauf hin, dass sie den Zustand und die Behandlung eines Patienten sorgfältig von Hand dokumentiert hatte.
Und viele der routinemäßigen Sicherheitsmaßnahmen waren nicht verfügbar. Das Pflegepersonal konnte ein Medikament und das Armband eines Patienten nicht scannen, um sicherzustellen, dass der richtige Patient das richtige Medikament erhielt, was die Wahrscheinlichkeit eines Medikationsfehlers erhöhte. Und sie sind sich immer weniger sicher, ob Ärzte wichtige Aktualisierungen über den Status eines Patienten erhalten haben.
„Unser großes Problem ist, dass der Cyberangriff die Krankenschwestern gelähmt hat“, sagte Lisa Watson, eine gewerkschaftlich organisierte Krankenschwester in einem Ascension-Krankenhaus in Wichita, Kan. Sie stellte fest, dass die Arbeitsbelastung erheblich zugenommen hatte.
„Das ist viel mehr als die alte Papierdokumentation“, sagte Frau Watson. Krankenschwestern mussten Rezepte und andere Behandlungen auf separate Formulare schreiben, die an verschiedene Abteilungen gingen. Anstatt sofortige Benachrichtigungen auf einem Computer zu erhalten, sieht eine Krankenschwester möglicherweise stundenlang kein neues Laborergebnis.
Am Dienstag erklärte Ascension, man mache „Fortschritte sowohl bei der Wiederherstellung des Betriebs als auch bei der Wiederanbindung unserer Partner an das Netzwerk“, und einige Krankenschwestern gaben an, dass sie möglicherweise bald nur noch eingeschränkten Zugriff auf frühere Aufzeichnungen haben werden. Ascension hat jedoch keinen Zeitplan für die Wiederherstellung des vollständigen digitalen Zugangs genannt und in einer E-Mail-Erklärung am Dienstagabend lediglich erklärt, dass „die Rückkehr zum normalen Betrieb einige Zeit dauern wird“.
In vielen Bundesstaaten und medizinischen Abteilungen waren nur wenige Anbieter bereit, das Ausmaß des durch die Ransomware-Angriffe verursachten Schadens öffentlich zu diskutieren. Die Verwüstung muss noch vollständig eingeschätzt werden und Ascension ist bestrebt, so viele seiner Betriebe wie möglich offen zu halten.
Gewerkschaftsmitglieder der Krankenpfleger sagen, der Cyberangriff habe den Personalmangel verschärft. Das Problem belastet die Arbeitsbeziehungen zu Ascension, obwohl das Unternehmen dies bestreitet. Krankenpfleger in Wichita gerieten kürzlich mit der Krankenhausleitung aneinander, weil es auf der Intensivstation zu wenig Pflegekräfte gebe.
„Trotz der Herausforderungen, die der jüngste Ransomware-Angriff mit sich bringt, hat die Patientensicherheit weiterhin höchste Priorität“, sagte Ascension in einer per E-Mail versandten Erklärung. „Unsere engagierten Ärzte, Krankenschwestern und Pflegeteams zeigen unglaubliche Rücksichtnahme und Belastbarkeit, während wir während der anhaltenden Störung der normalen Systeme manuelle und papierbasierte Systeme nutzen.“
„Unsere Pflegeteams sind mit dynamischen Situationen bestens vertraut und entsprechend geschult, um auch während Ausfallzeiten eine qualitativ hochwertige Versorgung aufrechtzuerhalten“, heißt es weiter. „Unsere Führungskräfte, Ärzte, Pflegeteams und Mitarbeiter arbeiten daran, die Patientenversorgung mit minimalen oder gar keinen Unterbrechungen fortzusetzen.“
Ascension teilte mit, dass die Patienten informiert würden, wenn ein Termin oder eine Behandlung verschoben werden müsse. Die Organisation hat noch nicht festgestellt, ob sensible Patientendaten kompromittiert wurden, und verweist die Öffentlichkeit auf ihre Website, um aktuelle Informationen zu erhalten.
Die Risiken für die Patientenversorgung durch Cyberangriffe sind gut dokumentiert. Studien haben gezeigt, dass die Sterblichkeit in Krankenhäusern nach einem Anfall steigt und die Auswirkungen möglicherweise auch in benachbarten Krankenhäusern zu spüren sind, wodurch sich die Qualität der Versorgung in den Krankenhäusern verschlechtert, die gezwungen sind, zusätzliche Patienten aufzunehmen.
Eine weitere Sorge ist, ob sensible Patientendaten kompromittiert wurden und wer dafür zur Verantwortung gezogen werden sollte. Nach dem Change-Angriff drängen Ärzte die US-Gesundheitsbehörden, klarzustellen, dass Change für die Benachrichtigung der Patienten verantwortlich ist. Laut einem Brief der American Medical Association und anderer Ärzteverbände von Anfang dieser Woche forderten die Ärzte die Behörden auf, „öffentlich zu erklären, dass sich die Untersuchung des Datenlecks und die sofortigen Behebungsmaßnahmen auf Change Healthcare konzentrieren werden und nicht auf die von Change Healthcares Datenleck betroffenen Anbieter.“
Diese Art von Ransomware-Angriffen kommt immer häufiger vor, da Cyberkriminelle, oft unterstützt von Kriminellen mit Verbindungen zu ausländischen Staaten wie Russland oder China, erkannt haben, wie lukrativ und störend es sein kann, große Gesundheitsorganisationen ins Visier zu nehmen. Der Vorstandsvorsitzende von UnitedHealth, Andrew Witty, teilte dem Kongress kürzlich mit, dass das Unternehmen 22 Millionen US-Dollar Lösegeld an Cyberkriminelle gezahlt habe.
Der Change-Angriff hat die Aufmerksamkeit der Regierung auf das Problem gelenkt. Das Weiße Haus und Bundesbehörden haben mehrere Treffen mit Vertretern der Industrie abgehalten, und der Kongress hat Herrn Witty gebeten, Anfang des Monats zu erscheinen, um den Hack im Detail zu besprechen. Viele Gesetzgeber wiesen auf die zunehmende Größe der Gesundheitsorganisationen als Grund hin, warum die medizinische Versorgung von Millionen Amerikanern im Land zunehmend gefährdeter geworden sei.
Experten für Cybersicherheit sagen, dass Krankenhäuser kaum eine andere Wahl haben, als ihre Systeme abzuschalten, wenn es einem Hacker gelingt, sich Zugang zu verschaffen. Da die Kriminellen das gesamte Computersystem infiltrieren, „haben die Krankenhäuser keine andere Wahl, als auf Papier umzusteigen“, sagt Errol Weiss, Sicherheitschef des Health Information Sharing and Analysis Center, das er als virtuelle Nachbarschaftswache für die Branche bezeichnet.
Er sagt, es wäre unrealistisch, von einem Krankenhaus zu erwarten, dass es im Falle eines Ransomware- oder Malware-Angriffs über ein Backup-System verfügt. „Das ist in diesem wirtschaftlichen Umfeld einfach nicht möglich und machbar“, sagte Herr Weiss.
