Niemals sei die Grundversorgung in Gefahr gewesen, so die kantonale Regierung. Die Lage schätzt sie trotzdem als kritisch ein.
Spitäler gelten wegen der sensiblen Patientendaten als beliebtes Ziel für Cyberkriminelle. Täglich komme es zu Angriffen im Kanton Zürich – die genaue Zahl sei aber schwer zu beziffern, weil die meisten Attacken von den IT-Systemen abgefangen würden. Das geht aus der Antwort des Zürcher Regierungsrats auf eine Anfrage der Grünen und der FDP hervor. Eine Statistik zu gezielten Cyberangriffen auf Zürcher Spitäler existierte bislang nicht.
Laut Regierungsrat war die Grundversorgung bisher nie gefährdet. Eine Umfrage bei den Listenspitälern vom März zeigt jedoch: Alle Spitalleitungen kennen die Bedrohung – und stufen sie als «gross bis besonders gross» ein.
Trotzdem sieht der Regierungsrat die Lage als kritisch an. Vorgaben für die Spitäler seien nötig. Wörtlich hält er fest: «Weil bei den Spitälern die technologische Abhängigkeit und damit ebenso die Verletzbarkeit in Zukunft weiterhin steigen sowie zugleich die Qualität und die Anzahl der Cyberangriffe sich erhöhen wird, nimmt bei der ständigen Verbesserung der Informationssicherheit ebenso der personelle Aufwand zu.»
Für die IT-Security sind verschiedene Ansätze angedacht
Wie Spitäler ihre personellen Ressourcen einsetzen, ist unterschiedlich. Manche haben ihre IT-Sicherheit an externe Unternehmen ausgelagert. Zum Kosten-Nutzen-Verhältnis dieser Auslagerung will sich der Regierungsrat nicht äussern.
Das Universitätsspital Zürich beschäftigt rund 170 IT-Mitarbeitende sowie einen eigenen CISO. Ein vierköpfiges Netzwerk-Security-Management-Team trägt laut dem Schreiben des Regierungsrats zentral zur Sicherheit bei.
Im Kantonsspital Winterthur sind rund 60 Personen für die IT-Security verantwortlich. Den Kern bilden ein CISO und ein eigenes SOC mit jeweils maximal fünf Personen.
Durch eine Meldepflicht würde nicht eine Verbesserung der Sicherheit eintreten
Derzeit prüft die Gesundheitsdirektion, ob ein erweiterter Anhang zur Informationssicherheit in den Spitalverträgen sinnvoll wäre. Denkbar sei auch, die gesundheitspolizeiliche Bewilligung an entsprechende Auflagen zu knüpfen.
Eine kantonale Meldepflicht bei Cyberangriffen hält der Regierungsrat dagegen für wenig zielführend. Die Sicherheitsverantwortlichen der Spitäler seien ohnehin untereinander vernetzt und stünden laufend in Kontakt.
Zusätzlich verweist die Zürcher Regierung auf die Warnmeldungen von Melani – so stelle man sicher, dass die Sicherheitsverantwortlichen in den Spitälern schnell in Alarmbereitschaft versetzt würden.