Zum Hauptinhalt springen

Netzwerkausfall am InselspitalWenn die Patientendaten plötzlich nicht mehr zugänglich sind

Vor zwei Jahren brach im Inselspital das Informatiknetzwerk zusammen. Der Ausfall dauerte 14 Stunden. Bis heute weiss die Öffentlichkeit nichts davon.

Röntgenbilder oder Patientendaten sind beim Inselspital ständig abrufbar – es sei denn, die Informatik steigt aus.
Röntgenbilder oder Patientendaten sind beim Inselspital ständig abrufbar – es sei denn, die Informatik steigt aus.
Keystone

Als die Ärztinnen und Pflegefachpersonen des Notfallzentrums am frühen Morgen des 27. Februar 2018 zur Arbeit erscheinen und sich auf den Computern einloggen, merken sie rasch, dass etwas nicht stimmen kann. Verschiedene Softwareprogramme laufen langsam oder überhaupt nicht.

Laborwerte, Vitaldaten, Röntgenbilder: Das alles ist im Berner Inselspital normalerweise über ein sogenanntes Klinikinformationssystem abrufbar. Nicht so an diesem Tag. Fehlermeldung reiht sich auf den Bildschirmen an Fehlermeldung. Irgendwann funktionieren nicht einmal mehr die Telefone. Die Leute vom Notfallzentrum schlagen Alarm.

Was folgen sollte, ist einer der grössten Informatikausfälle in der Geschichte des Inselspitals. Innert kurzer Zeit brach beinahe das gesamte Netzwerk der grössten Schweizer Spitalgruppe zusammen. Der Notfall dauerte 14 Stunden, dann hatte man die Situation einigermassen im Griff. Doch erst drei Tage später war das Problem endgültig gelöst.

In einem Spital, das pro Tag mehrere Tausend Patienten betreut und in dem zunehmend jedes Analysegerät, jede lebenserhaltende Maschine oder jeder Operationsroboter vernetzt arbeitet, ist nicht auszumalen, was bei einem solchen Grounding passieren könnte.

Bis heute weiss die Bevölkerung nichts von der Panne. Unklar ist zudem, ob es sich um einen Hackerangriff gehandelt hat oder nicht.

Recherchen dieser Zeitung zeigen jetzt erstmals, was damals passiert ist. Dank verschiedenen Gesprächen mit Beteiligten kann der IT-Ausfall nachgezeichnet und aufgezeigt werden, wie das Spital darauf reagiert hat.

Was die Panne ausgelöst hat

Wenige Minuten nach Mitternacht am Dienstag, 27. Februar 2018, spielen zwei Netzwerkkomponenten irgendwo unter dem Boden des Inselspitals von einer Sekunde auf die andere verrückt. «Normalerweise kommunizieren die beiden Komponenten miteinander und überprüfen, wie es dem anderen geht», sagt Giovanni Conti, ad interim Direktor Technologie und Innovation. Redundantes System nennt man das. Fällt das eine aus, übernimmt das andere, so die Idee.

Giovanni Conti, ad interim Direktor Technologie und Innovation am Inselspital.
Giovanni Conti, ad interim Direktor Technologie und Innovation am Inselspital.
Insel-Gruppe

In dieser Nacht allerdings verstehen sich die Komponenten plötzlich nicht mehr. Sie beginnen zeitgleich unzählige Signale an die vorgelagerten Kernkomponenten zu senden. «Diese wurden stark überlastet», so Conti. Die Folge: Das Netzwerk der gesamten Insel-Gruppe bricht nach und nach zusammen.

Da in der Nacht relativ wenig los ist, merkt vorerst niemand etwas davon. Laut Conti wurde auch beim externen IT-Dienstleister kein Alarm ausgelöst, weil die Komponenten noch liefen und kein Fehlersignal ausgesandt haben. Also wird am Morgen normal mit dem OP-Betrieb begonnen.

Erst als die Angestellten des Notfallzentrums Alarm schlagen, wird das Problem bemerkt. Um circa sieben Uhr habe sich das IT-Team versammelt, sagt ein damals Beteiligter, der nicht namentlich genannt werden will. «Wir hatten keine Ahnung, was los war, und dachten sofort an einen Hackerangriff.»

Der Ausfall verschärft sich zunehmend. Um zehn Uhr sei noch etwa 10 Prozent der Netzwerkkapazität zur Verfügung gestanden. Also habe man entschieden, den Krisenstab einzuberufen, sagt die Quelle. In der Folge habe man auch den OP-Betrieb gestoppt. Denn weder die Server noch die Programme, die am Netzwerk hängen, seien abrufbar gewesen. Auf Medikamentenpläne, Patientendaten, OP-Buchungen oder Röntgenbilder kann nicht mehr zugegriffen werden.

Giovanni Conti, der erst im letzten September bei der Insel-Gruppe angefangen hat, bestätigt, dass die Daten nicht mehr zugänglich gewesen sind. Aber der OP-Betrieb sei nicht generell gestoppt worden. «Der Krisenstab hat entschieden, dass es sich um keine Katastrophensituation handelt und es in der Kompetenz der jeweiligen Kliniken liegt, adäquat zu handeln», sagt er. OPs seien allenfalls nur einige wenige verschoben worden.

Wie der Spitalbetrieb sichergestellt wurde

Nachdem das Problem erkannt worden ist, setzt der Krisenstab das Notkonzept des Inselspitals in Kraft. Das bedeutet: zurück ins 20. Jahrhundert. «Grundsätzlich sieht das Konzept vor, dass wir die Dokumentation wie vor fünfzig Jahren auf Papier weiterführen» sagt Aristomenis Exadaktylos, Chef des Notfallzentrums. Lokale Kopien der Patientendaten werden ausgedruckt, neue Patienten mit Bändern am Handgelenk gekennzeichnet, Laborbefunde vor Ort abgeholt oder per Luftdruckrohrpost versendet.

Aristomenis Exadaktylos, Direktor des Notfallzentrums am Inselspital.
Aristomenis Exadaktylos, Direktor des Notfallzentrums am Inselspital.
Christian Pfander

Die meisten Medizinalgeräte wie Röntgen, MRI oder Lebensüberwachungssysteme können nach wie vor verwendet werden. «Sie sind nicht auf eine Echtzeit-Netzwerkanbindung angewiesen», sagt Conti. Die generierten Daten werden aber nicht mehr auf den Servern abgespeichert.

Die Netzwerktelefonie wird zudem durch die Notfalltelefonie abgelöst, die über herkömmliche Leitungen funktioniert. Zum Einsatz sind auch Prepaidhandys gekommen. Eine gut unterrichtete Quelle sagt jedoch, dass es Probleme mit den Notfalltelefonen geben habe. «Wir haben herausgefunden, dass auch sie am Netzwerk angeschlossen sind», sagt die Quelle.

Conti bestreitet das und beruft sich auf Aussagen der Verantwortlichen des Krisenstabs. Da die Telefone teilweise mehr Zeit für den Verbindungsaufbau benötigten, hätten Mitarbeiter möglicherweise gedacht, dass sie nicht funktionieren würden. Ein zweitägiger Test Ende 2019 habe aber das Gegenteil bewiesen.

Trotz des gelähmten digitalen Nervensystems des Inselspitals sei es zu keinen lebensbedrohlichen Situation gekommen, die Patienten seien zu keiner Zeit gefährdet gewesen, betonen alle interviewten Personen. «Wir waren aufgrund der Papierdokumentation lediglich etwas langsamer unterwegs», sagt Exadaktylos. Grundsätzlich gelte: Solange das Inselspital Strom habe – im äussersten Notfall wird es mit Dieselaggregaten versorgt –, könne auch der Betrieb aufrechterhalten werden.

Das sei letztlich auch der Grund für die zurückhaltende Kommunikation gewesen, sagt Conti. «Wir hatten zeitweise zwar praktisch kein Netzwerk mehr zur Verfügung, aber das Spital hat funktioniert. Weshalb hätten wir Patienten oder Angehörige verunsichern sollen?», fragt er. Auch in einem Flugzeug bekomme man nicht jede Krise im Cockpit mit, ergänzt Exadaktylos.

Wie das Netzwerk wieder zum Laufen gebracht wurde

Gegen 13 Uhr hatten die Spezialisten der Informatikabteilung laut Giovanni Conti endlich herausgefunden, dass die Ursache des Netzwerkzusammenbruchs die beiden fehlerhaften Komponenten waren. Jetzt sollen diese abgeschaltet werden.

Nach einigen Stunden ist der Prozess abgeschlossen. «Das Netzwerk stabilisierte sich umgehend, wir hatten aber nun weniger Kapazität zur Verfügung. Trotzdem waren 14 Stunden nach der Alarmierung wieder 80 Prozent der Systeme am Laufen», sagt Conti.

Bis die nicht mehr funktionstüchtige Hardware allerdings ausgetauscht ist, dauert es noch zwei Tage. Die Herstellerfirma hat in Europa nicht alle Ersatzteile an Lager, weshalb manche aus den USA eingeflogen werden müssen. Die Installation der Komponenten wird schliesslich in der Nacht auf den 2. März abgeschlossen.

Was die Abklärungen ergeben haben

Nach dem Ausfall machen sich bei den Angestellten Gerüchte breit. Das Inselspital sei Opfer einer Hackerattacke geworden, wird herumerzählt. Auch die Unternehmensspitze und die Informatikabteilung ziehen ein solches Szenario offiziell in Betracht und erstatten Anzeige gegen unbekannt. Die kantonale Staatsanwaltschaft entscheidet im letzten Jahr jedoch, das Verfahren nicht an die Hand zu nehmen.

«Die Ermittlungsbehörden konnten keine Indizien dafür finden, dass es sich um einen Cyberangriff gehandelt hat», sagt Conti. Formell kann aber auch nichts ausgeschlossen werden. Denn dem IT-Anbieter sei es ebenfalls nicht gelungen, den Fehler im Labor zu reproduzieren oder eine Erklärung dafür zu finden.

Erstaunen würde ein Hackerangriff allerdings nicht. Spitäler geraten sowohl im In- als auch im Ausland zunehmend ins Visier von Cyberkriminellen. Diese versuchen etwa, mittels Viren Daten zu verschlüsseln und so die Unternehmen zu Lösegeldzahlungen zu bringen. Gerade erst im vergangenen Oktober wurden mehrere Gesundheitseinrichtungen, darunter das Spital Wetzikon, Opfer eines solchen Angriffs, wie die «Rundschau» kürzlich berichtete.

Auch in einem Flugzeug bekommt man nicht jede Krise im Cockpit mit.

Aristomenis Exadaktylos, Chef des Notfallzentrums

Verschärft wird das Problem, weil die Spitäler zwar immer digitaler werden, laut Experten aber ungenügend gegen Attacken geschützt sind. So machte etwa der kantonale Datenschützer 2018 «grobe Mängel» in der Sicherheit der IT-Grundstruktur der Insel-Gruppe aus.

Damit ist das Berner Unispital nicht allein. Die auf Cyberabwehr spezialisierte Firma Dreamlab fand gemäss «Rundschau» Hunderte offener Zugänge in den Schweizer Spitälern. Die IT-Infrastruktur einzelner Kliniken könnte sogar lahmgelegt werden, so das Fazit der Experten.

Welche Lehren die Insel-Gruppe aus dem Ausfall gezogen hat

Nach dem Vorfall stellt sich das Inselspital die Frage, wie der Umgang mit solchen Notlagen verbessert werden kann. Konkret ging es dabei laut Conti etwa um die Frage, wie die richtigen Leute schneller die richtigen Entscheide treffen können. Oder darum, wie die IT-Betriebspartner das Inselspital schneller über Auffälligkeiten informieren könnten. «Schliesslich hat kein Anbieter ein Interesse daran, zuzugeben, dass es ein Problem gibt. Er denkt sich vielmehr, dass er es vielleicht noch selber lösen kann.»

Parallel zu solchen Prozessüberlegungen investiert das Inselspital auch in die Cybersicherheit. «Ich habe zwar nicht dauernd schlaflose Nächte. Aber wir sind nicht gut gegen Angriffe geschützt», gibt Conti zu, der zuvor Chef beim Bundesamt für Informatik und Telekommunikation war.

Gerade erst letzte Woche schrieb das Unternehmen deshalb einen Auftrag zur Erneuerung der veralteten IT-Security-Infrastruktur aus. Dafür will die Insel-Gruppe einen einstelligen Millionenbetrag ausgeben. Zudem wurden bereits zwei zusätzliche Stellen in der IT-Security-Abteilung geschaffen und die Schulung und Sensibilisierung der Mitarbeiter für das Thema verstärkt. Conti: «Wir sind uns der Mängel in diesem Bereich bewusst und arbeiten sie Stein für Stein ab.»

Die Ermittlungsbehörden konnten keine Indizien dafür finden, dass es sich um einen Cyberangriff gehandelt hat.

Giovanni Conti, ad interim Direktor Technologie und Innovation

Eine weitere Lehre aus dem Vorfall: Alte Infrastruktur wie Faxgeräte oder analoge Telefonie ist im Krisenfall als Back-up-Ebene gerade für ein Spital enorm wichtig. «Als ich beim Inselspital angefangen habe, dachte ich, dass man vieles davon entsorgen könnte. Jetzt bin ich anderer Meinung», so der IT-Chef.

Trotz all dieser Massnahmen ist Conti aber auch überzeugt: Einen 100-prozentigen Schutz vor externen Angriffen und Ausfällen gibt es nicht. «Wir werden den Verbrechern immer hinterherrennen.» Zu einer beruhigenden Einsicht ist er nach dem Vorfall vom 27. Februar 2018 jedoch gekommen: Zwar kann die Informatik ausfallen oder lahmgelegt werden. «Das Inselspital funktioniert aber auch ohne diese weiter.»