Beispiel Uniklinik Düsseldorf: Organisationen erpresst von IT-Hackern – Kommunikationsexpertin Sigrid Baum rät, wie sich Krankenhäuser wappnen sollten

Die Uniklinik Düsseldorf ist seit sechs Tage lahm gelegt: keine Notfallversorgung mehr, planbare und ambulante Operationen sind allesamt abgesagt. Was ist passiert? von einem Hackerangriff auf das IT-System der Klinik ist die Rede, im Klartext Computersabotage. Die Cybercrime in Köln ist eingeschaltet, die Staatsanwaltschaft soll ein Ermittlungsverfahren eingeleitet haben. Ein Erpresserschreiben soll es geben, angeblich werden 870.000 Euro in Bitcoins gefordert laut „Express“. Würden die nicht gezahlt, wollen die Täter die Patientendaten im Netz veröffentlichen. Und der Betrieb? Einzelne Röntgengeräte funktionieren noch, können aber keine Daten und Untersuchungsergebnisse ins IT-Netz leiten.

TV-Tipp hierzu: In der US-Ärzte-Serie Greys Anatomie“ wurde kürzlich eindrucksvoll gezeigt, welches Chaos im Klinikalltag bei einem Hackerangriff und einem lahm gelegten IT-System ausbricht (14. Staffel Folge 8).

 

Krankenhäuser können sich jedenfalls auf so eine Krise vorbereiten, die Uniklinik Düsseldorf ist kein Einzelfall. Auch das Lukaskrankenhaus in Neuss geriet mit so einer IT-Hacker-Erpressung in die Schlagzeilen. Der Schaden: 900.000 Euro. Auch am Klinikum Arnsberg konnte eine ebensolche Erpressungs-Krise nur gemanaged werden, weil die Mitarbeiter so enorm hohen Einsatz zeigten und halfen, von zuhause aus mit den eigenen Computern den Betrieb aufrecht zu erhalten. Und: es gab noch Faxe sowie medizinische Geräte, die nicht am Netz hangen.

 

 

Sigrid Baum (Foto: Privat)

 

Kommunikationsexpertin Sigrid Baum, Spezialistin für die Beratung von Kliniken, hat schon mehrere Krankenhäuser vor und durch Erpressungssituationen begleitet. und rät zu diesem Fahrplan:

1.Vorbeugen mit einem Spezialisten

Auch bei dem Umgang mit einer Krise ist Vorbeugen der Schlüsselbegriff. Denn eigentlich ist es ganz einfach: Saubere und langfristige Prävention ist das A und O. Und zwar schon dann, wenn noch keine Krise in Sicht ist. Die Maxime: Selbst die Schwachstellen im Unternehmen finden, sie beseitigen und sich auf den Rest kontinuierlich und ohne Aufregung vorbereiten.

Das gemeinsame Vorbeugen mit einem Spezialisten hilft, sich auf die richtigen Dinge vorzubereiten. Man spart dabei Zeit, Geld und Nerven.

 

2. Detail-Tiefe und Detail-Genauigkeit

Wichtig bei der Prävention sind Detail-Tiefe und Detail-Genauigkeit. Die Abläufe im Unternehmen müssen ganz genau analysiert und im Detail beschreiben werden. Prüfen: Wo sind Unklarheiten in den Zuständigkeiten, wo hat die Qualitätssicherung Lücken? Wo sind die Mitarbeiter unsicher? Die eigenen Unternehmens-Schwachstellen müssen gefunden werden.

 

3. Presseverteiler auf neuestem Stand

Der relevante Presseverteiler muss auf den aktuellen Stand gebracht werden. Dazu sind die Telefonnummern und E-Mail-Adressen der zuständigen Redakteure zusammenzustellen und an jeden internen Verantwortlichen verteilen.

 

4. Kristenstab, Räume und Equipment

Einen Krisenstab aus Fachleuten der betroffenen Bereiche ist zu bilden. In den Krisenstab gehören – je nach Fall – externe Experten wie Anwälte oder Krisen-PR-Profis. Für jeden im Krisenstab muss mindestens ein Vertreter benannt sein für Urlaubs- oder Krankheitsfälle.

Unerlässlich: Adressliste samt Mobilnummern vom Stab erstellen. Dann: Räume festlegen, in denen der Krisenstab im Falle einer Krise arbeiten kann, die notwendige technische Ausstattung besorgen und betriebsbereit halten.

 

5. Weißer Ritter

Es sollte einen Externen geben, der das Krankenhaus gut kennt und als Leumundszeuge in separaten Statements oder bei einer Pressekonferenz auftreten kann. Das kann ein Kommunalpolitiker wie Bürgermeister oder Landrat sein, der Chef eines großen Unternehmens am Ort – der jedenfalls keine Vorteile davon haben darf, wenn er den Klinik beispringt. Auch möglich: Der Vertreter einer Krankenkasse, der öffentlich die Klinik für ihre Vorgehensweise lobt.

 

6. Krisenhandbuch mit exakten Abläufen abfassen

Danach: Schwachstellen beseitigen, Unklarheiten klären, Zuständigkeiten festlegen und Mitarbeiter in ihrer Rolle in der Krise sicher zu machen. Alles, auch die exakten Abläufe, sind in einem Krisenhandbuch aufzuschreiben. Jeder, der eine Rolle in der Kommunikation bei einer Krise spielt, muss dieses Handbuch in- und auswendig kennen.

 

6. Krisenvarianten und -reaktionen mit Experten der Abteilungen skizzieren

Überlegen: Welche Krise kann die Organisation treffen und wie sollten dann die gewünschten Handlungsabläufe sein? Die Fachleute der Abteilungen, die von der Krise gegebenenfalls betroffen sind,  müssen mit ihrem Fachwissen in die Erstellung des Krisenhandbuchs eingebunden werden.

 

7. Zeit investieren, Lücken ausmerzen – vorsorglich

Bis all das erledigt und zusammengestellt ist, dauert es eine ganze Zeit lang. Bei einer sorgfältigen Prävention hat die Vorbereitung auf eine Krise aber noch einen weiteren positiven Aspekt für das Unternehmen: sie minimiert die Krisen-Möglichkeiten.

Denn immer da, wo eine Schwachstelle gefunden und ausgemerzt ist, kann es anschließend keinen – oder keinen so großen – Krisenfall geben. Deshalb ist die Detail-Tiefe und Detail-Genauigkeit so ungeheuer wichtig.

 

8. Den Ernstfall proben

Zum Abschluss gilt für alle Beteiligten das kleine Einmaleins des Basisbereichs der Krisen-Kommunikation: immer wieder und wieder trainieren, trainieren, trainieren. Den Ernstfall auch ohne Ankündigung proben. Die einzelnen Krisenmöglichkeiten sind durchzuspielen und die Protagonisten in ihrer Aufgabe sicher zu machen und zu coachen. So bekommen man die Sicherheit, die man im Fall der Fälle so dringend braucht.

 

9. Check-up-Termine festschreiben

Für die Überprüfung der schriftlichen Unterlagen wie Presse- und Adressverteiler  feste Termine setzen, damit die Unterlagen immer auf den aktuellen Stand kommen.

 

Handlungsfähig bleiben heißt die Devise

Und das Ergebnis: Das Unternehmen bleibt – auch im Krisenfall – handlungsfähig. Alle Beteiligten wissen, was zu tun ist und können agieren. „Denn Krisen sind nicht planbar. Eine Krise kommt garantiert anders, als man sie sich vorstellt. Auch kommt sie immer, wenn man nicht mit ihr rechnet. Immer dann, wenn man sie nun wirklich nicht gebrauchen kann. Und wenn sie da ist, hat man keine Zeit mehr, etwas zu organisieren, dann kann man nur noch reagieren.

Wenn man durch ständiges Üben im Basisbereich sicher ist, verschafft man sich Luft und Nerven für den Part, bei dem schnelle Entscheidungen unter größtem Zeitdruck notwendig sind.

 

Zur Person: Sigrid Baum aus Issum war vor ihrer Selbstständigkeit langjährige PR-Chefin der Privatbrauerei Diebels, Europäische Kommunikations-Managerin bei Yakult und Geschäftsführerin Kommunikation bei Bofrost*. 

https://www.express.de/duesseldorf/uniklinik-duesseldorf-weiterhin-lahmgelegt-37331302?dmcid=nl_feed_KLN_EXP_OVEND-AUTO_1600191002_655686

https://rp-online.de/nrw/staedte/duesseldorf/uniklinik-duesseldorf-it-ausfall-betrifft-hunderte-patienten-viele-ops-abgesagt_aid-53382713

https://www.kma-online.de/aktuelles/klinik-news/detail/900000-euro-gesamtschaden-durch-cyberattacke-a-31629

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*