Niemals sei die Grundversorgung in Gefahr gewesen, so die kantonale Regierung. Jedoch schätzt sie die Lage kritisch ein.
Aufgrund der heiklen Daten der Patienten gelten Spitaler als beliebtes Ziel von Cyberkrimellen. Täglich komme es zu Angriffen im Kanton Zürich. Allerdings sei die Bezifferung schwierig, weil die meisten Attacken von den IT-Systemen abgefangen würden, antwortet der Regierungsrat in Zürich auf eine Anfrage, die von den Grünen und der Freien Demokratischen Partei gestellt wurde. Es gab keine Statistik über Cyberangriffe, welche auf die Spitäler in Zürich gerichtet waren.
Bislang war laut dem Regierungsrat die Grundversorgung nie gefährdet. Vom März ging aus einer Umfrage bei den Listenspitälern hervor, dass sich alle Leitungen in den Spitälern der Gefahr im Klaren sind und diese als “gross bis besonders gross” eingeschätzt wird.
Trotz allem sieht der Regierungsrat die Lage als kritisch an. Für die Spitäler seien Vorgaben nötig, erklärt er. Ausserdem hält der Regierungsrat fest: “Weil bei den Spitälern die technologische Abhängigkeit und damit ebenso die Verletzbarkeit in Zukunft weiterhin steigen sowie zugleich die Qualität und die Anzahl der Cyberangriffe sich erhöhen wird, nimmt bei der ständigen Verbesserung der Informationssicherheit ebenso der personelle Aufwand zu.”
Für die IT-Security sind verschiedene Ansätze angedacht
In den Spitälern kommen die personellen Ressourcen unterschiedlich zum Einsatz. Etliche sorgten für die Ausgliederung ihrer IT-Sicherheit an IT-Unternehmen. Der Regierungsrat meint, dass er sich zu dem Kosten-Nutzen-Verhältnis einer Auslagerung nicht äussern möchte.
Aktuell arbeiten im Universitätsspital in Zürich etwa 170 Beschäftigte in der IT und ein eigener CISO. Ein Netzwerk-Security-Management-Team, das aus vier Personen besteht, spielt bei der Sicherheit eine wichtige Rolle, wie in einem Schreiben des Regierungsrates erkennbar ist.
Für die IT-Security sind rund 60 Personen im Kantonsspital Winterthur verantwortlich. Den Kern des Sicherheitskonzepts stellen hier ein CISO sowie ein eigenes SOC dar, in welchem jeweils maximal fünf Personen tätig sind.
Durch eine Meldepflicht würde nicht eine Verbesserung der Sicherheit eintreten
In der momentanen Situation prüft die Gesundheitsdirektion, ob bei den Spitalisten das Erweitern eines Anhangs zur Informationssicherheit als sinnvoll erscheint. Es sei auch denkbar, für ein entsprechendes Spital die gesundheitspolizeiliche Bewilligung von derartigen Auflagen abhängig zu machen.
Allerdings hält der Regierungsrat es dagegen nicht für vernünftig, dass eine kantonale Meldepflicht erfolgt, wenn eine Cyberattacke auftritt. Das bringe kaum etwas. Unter den Spitälern seien nämlich die Sicherheitsverantwortlichen ohnehin miteinander vernetzt. Sie ständen sowie laufend miteinander im Kontakt.
Die Regierung in Zürich verweist auf Melani und ihre warnenden Hinweise. Somit stelle man sicher, dass bei den Spitälern die Sicherheitsverantwortlichen schnell in Alarmbereitschaft versetzt würden.