Symbolträchtiger könnte die Attacke kaum sein. Ein Operationssaal irgendwo in Deutschland. Ein Narkosegerät verrichtet seinen Dienst wie in jedem Spital.

Der Sauerstoff strömt durch den Gummischlauch, die Maschine pumpt auf und ab. Auf dem Bildschirm blinken Kurven und Zahlen.

Was dann passiert, ist schlimmer als jedes Horrorszenario. Das Narkosegerät stoppt, der Bildschirm wird schwarz und die Steuerknöpfe lassen sich nicht mehr bedienen.

Ein Hacker hat das Narkosegerät gekapert. Von seinem Laptop aus blockiert er alle Funktionen und stoppt die Beatmung.

All dies war nur eine Übung, durchgeführt im vergangenen Juli. Kein Patient hing an der künstlichen Beatmung.

Der Hacker, ein Heidelberger Informatiker, attackierte das Narkosegerät mit Einwilligung des Spitals. Damit wollte er lediglich auf Sicherheitslücken hinweisen.

Solche gibt es auch in der Schweiz zuhauf: Jedes sechste Spital ist ungenügend gegen Hackerattacken geschützt.

Das zeigt eine wissenschaftliche Untersuchung, die der Sicherheitsexperte Martin Darms soeben in Fachmagazinen vorgestellt hat.

Ein paar Klicks zum Ziel

Der ETH-Elektroingenieur analysierte über 500 Informatiksysteme in Schweizer Spitälern. Mit seinem Computer nahm er deren Software auseinander. Immer wieder stiess Darms auf «gravierende Schwachstellen».

Bei der Sicherheit sind die Unterschiede gross: Manche Spitäler seien zehnmal schlechter geschützt als andere. In jedem System gebe es durchschnittlich eine kritische Stelle, so Darms.

Die Namen der betroffenen Spitäler hat er nicht veröffentlicht. Sie sollen die Gelegenheit haben, ihre Probleme zu beheben.

Von aussen sind die Spitäler zwar meist gut abgeschirmt. Eine Attacke über das Internet ist laut der Untersuchung nur schwer möglich. Doch die internen Netzwerke sind teilweise stark veraltet: Manche Spitäler schützen ihre Systeme nur mit Standard-Passwörtern, andere nutzen ungeschützte Testserver.

Genau das sind die häufigsten Einfallstore für Hacker. Das Erschreckende daran: Entsprechende Attacken sind nicht aufwendig. Mit wenigen Klicks auf ihrem Laptop schaffen es Kriminelle, in die Systeme einzudringen.

Das kann verheerende Folgen haben, denn die Digitalisierung macht vor der Medizintechnik nicht Halt. Narkosegeräte oder Computer-Tomographien sind an Spital-Netzwerke angeschlossen.

Und selbst Spritzenpumpen sind längst online. Patienten bekommen damit Medikamente intravenös verabreicht. Wer die Dosis ändern will, muss ein Passwort eingeben. Für Hacker ist es offenbar ein Leichtes, die Passwörter auszulesen.

Im Spital könnten sie sich ins Netz einschleusen und die Dosis eines Patienten nach oben schrauben – womöglich mit tödlichen Folgen.

Es geht um Leben und Tod

Nicht nur in Spitälern ist mittlerweile vieles vernetzt. Immer mehr Geräte sind über eingebaute Chips mit dem Internet verbunden. Andere kommunizieren zumindest über ein internes Netzwerk. Die Heizung lässt sich von unterwegs über das Smartphone regulieren.

Kühlschranke könnten ihre Vorräte schon bald automatisch beim Supermarkt bestellen. Zum sogenannten «Internet der Dinge» zählen aber auch Monitore in Tierställen, Bordcomputer in Autos oder eben medizinische Geräte. Bis 2020 soll die Zahl der vernetzten Geräte auf 200 Milliarden steigen.

Für kriminelle Hacker bieten sich damit neue Ziele. Mit dem technischen Fortschritt vergrössere sich die Angriffsfläche, bestätigt ein Hacking-Fachmann gegenüber der «Nordwestschweiz». «Die Chips in vielen Geräten sind heute sehr leistungsfähig.

Damit ist es auch für Kriminelle einfacher, darauf beliebige Programme laufen zu lassen.» Der Fachmann arbeitet für ein Unternehmen, das auf «Penetration Testing» spezialisiert ist. Das bedeutet: Informatiker attackieren die Systeme von Banken, Behörden oder Energiekonzernen und prüfen, ob sich darin Sicherheitslücken finden.

Bei Attacken auf Computer ist der Schaden meist abstrakt. Nun könnte dieser zunehmend physisch spürbar werden. Gerade in der Medizintechnik gehe es um «Leben und Tod», schreibt die Meldestelle Melani des Bundes in ihrem aktuellen Halbjahresbericht.

Konkret befürchten die Fachleute, dass Infusionspumpen aus der Ferne manipuliert werden könnten. In den USA warnt die Regulierungsbehörde bereits vor den Pumpen einiger Hersteller.

Wenn Hacker erpressen

Derzeit ist es allerdings kaum denkbar, dass ein Patient stirbt, weil sein Narkosegerät gekappt wird. Denn Hacker verfolgen meist finanzielle Absichten. Als wahrscheinlicher gilt es deshalb, dass Hersteller oder Spitäler erpresst werden.

Medizinische Geräte könnten gehackt und nur gegen Geld wieder freigeschaltet werden. Unter Hackern sind solche Methoden schon heute verbreitet.

Das Bewusstsein für die Bedrohung entwickelt sich erst allmählich. Der Medizintechnik-Dachverband Fasmed hat seine Mitglieder in diesem Monat auf die Manipulierbarkeit gewisser Geräte hingewiesen.

Man wolle die Branche «vermehrt sensibilisieren». Fasmed-Generalsekretär Fabian Stadler sagt: «Es besteht Handlungsbedarf.»

Für die Unternehmen geht es um viel. Machen sie es Kriminellen allzu leicht, spielen sie letztlich auch mit dem Vertrauen ihrer Kunden.