Wer einen Beweis dafür suchte, wie verletzlich die vernetzte Welt geworden ist, bekam ihn im Mai geliefert: Hackern gelang es, einen Trojaner namens Wanna Cry auf weltweit hunderttausenden Computern zu installieren. Auf den Bildschirmen war zu lesen, das System sei blockiert und werde erst nach der Zahlung eines Lösegelds wieder entsperrt. Besonders betroffen waren Spitäler in Grossbritannien. In Dutzenden Institutionen war der Betrieb lahmgelegt.

Die Kliniken in der Schweiz blieben von Wanna Cry zwar verschont. Doch Fachleute sind sich einig: Das Risiko entsprechender Attacken ist hierzulande ebenfalls hoch. Untersuchungen zeigen, dass die Informatik in Schweizer Spitälern teilweise gravierende Sicherheitslücken aufweist.

Trotzdem will der Bundesrat nichts von Leitlinien für die Cybersicherheit in diesem Bereich wissen. Nur zwei Tage vor der international bisher wohl grössten Attacke auf Spitäler nahm er sich aus der Verantwortung: «Jedes Unternehmen ist für den sicheren Betrieb seiner Informatik-Infrastruktur selber verantwortlich», hiess es in seiner Stellungnahme zu einer Interpellation der Solothurner SP-Nationalrätin Bea Heim. Der Vorstoss wurde von 30 Parlamentariern aller Fraktionen unterstützt.

Mindestvorgaben gefordert

Heim gibt sich damit nicht zufrieden: «Beim Bund scheint sich niemand wirklich zuständig zu fühlen.» Die langjährige Gesundheitspolitikerin warnt, die Kantone könnten die Verantwortung aus Ressourcengründen schlicht nicht alleine übernehmen. Und diese auf die Spitalleitungen abzuschieben, sei auch keine Lösung. Deshalb legt Heim jetzt nach: Sie fordert vom Bundesrat eine Strategie, um die Cybersicherheit im Gesundheitswesen zu stärken.

In einem entsprechenden Postulat, das sie in der laufenden Session einreichen wird, skizziert die Sozialdemokratin mögliche Massnahmen. Eine Bündelung der Ressourcen von Bund und Kantonen komme ebenso infrage wie eine Vereinbarung mit den Kantonen über Mindestvorgaben für die Informatiksicherheit in Spitälern.

Meldestelle gegen Meldepflicht

Zentral ist für Heim aber vor allem die Einführung einer gesetzlichen Meldepflicht für Cybervorfälle in Spitälern und anderen sicherheitsrelevanten Institutionen. Just die Meldestelle für Internetsicherheit (Melani) des Bundes steht einer solchen jedoch kritisch gegenüber, wie Informationen der «Nordwestschweiz» zeigen. Die Fachleute befürchten einerseits, dass betroffene Unternehmen künftig nur noch das melden, was sie müssen und wichtige Zusatzinformationen verschweigen. Andererseits ist eine Meldepflicht aus ihrer Sicht in der Praxis nur schwer durchsetzbar.

Bea Heim begrüsst zwar, dass sich der Bund immerhin bereit erklärt hat, die Vorgaben für die Informatiksicherheit in Spitälern zu überprüfen. Für sie steht aber fest: «Es braucht mehr, um den sich längst abgezeichneten und nun aktuellen Bedrohungen zu begegnen.»