Es war nicht ohne Ironie, dass die erste politische Initiative der EU-Kommission in diesem Jahr ausgerechnet Krankenhäuser betraf. Am Mittwoch wurde ein Aktionsplan vorgestellt, der deren Schutz vor Cyberangriffen verbessern soll – ein großes Problem, gerade auch in Deutschland. Das war eine von sieben Initiativen, welche Ursula von der Leyen als Priorität für die ersten hundert Tage ihrer zweiten Amtszeit ausgegeben hat. Die Kommissionssitzung, in welcher der Plan beschlossen wurde, leitete jedoch nicht sie, sondern ihre Stellvertreterin Teresa Ribera. Von der Leyen erholt sich weiter von der schweren Lungenentzündung, die bei ihr Anfang des Jahres diagnostiziert worden war. Inzwischen kam heraus: Sie musste deshalb selbst eine Woche lang im Krankenhaus behandelt werden.

Ihre Sprecherin in Brüssel hatte versucht, diesen Sachverhalt zu verschleiern. Von der Leyen nehme ihre Amtsgeschäfte "von Hannover aus" wahr, hieß es zunächst. Das wurde in Brüssel so verstanden, als genese sie daheim, in einem kleinen Dorf nahe der niedersächsischen Landeshauptstadt. Als die Sprecherin explizit gefragt wurde, ob die Präsidentin im Krankenhaus behandelt werde, antwortete sie lediglich, es gebe dazu "nichts Neues". Das stimmte, allerdings in einem anderen Sinn: Von der Leyen lag nämlich in der Universitätsklinik zur Behandlung, wenn auch nicht auf der Intensivstation. Vor allem angelsächsische Berichterstatter empörten sich über diese "Lüge". Dabei ging etwas unter, dass von der Leyen anders als der US-Präsident nur über ein Heer von Beamten gebietet, nicht aber über eine Armee und Atomwaffen. Ende der Woche will sie, die am Freitag nach Hause entlassen wurde, ihre Amtsgeschäfte wieder aufnehmen.

Als ausgebildete Ärztin, die jahrelang an der Medizinischen Hochschule Hannover arbeitete, dort forschte und promovierte, bevor sie 2003 in die Politik wechselte, dürfte von der Leyen mit den Sicherheitsproblemen im Gesundheitssektor besser vertraut sein als viele andere. Tatsächlich gab es dort in den vergangenen vier Jahren mehr Cyberangriffe als in jedem anderen Bereich von Dienstleistungen und Industrie, wie die Kommission am Mittwoch darlegte. Gut die Hälfte dieser Angriffe wurde mit Ransomware unternommen – einer Software, die Daten der Opfer kapert, verschlüsselt und erst gegen Zahlung eines "Lösegelds" wieder freigibt. Oft werden dann auch noch vertrauliche Gesundheitsdaten exfiltriert, um Geld von Einzelpersonen zu erpressen. Das ist ein lukratives Geschäft, im Schnitt verursacht jeder solche Fall Schäden in Höhe von acht Millionen Euro.

Die Folgen können sogar tödlich sein, wie ein Angriff mit Ransomware auf die Universitätsklinik Düsseldorf 2020 vor Augen führte. Seinerzeit fiel die IT der Notfallversorgung aus, die Intensivstation musste für zwei Wochen geschlossen werden. Eine Patientin, die dort eingeliefert werden sollte und dann nach Wuppertal umgeleitet wurde, starb. Ob sie andernfalls hätte gerettet werden können, blieb ungeklärt. Nachdem die Polizei die Hacker auf die Folgen ihrer Tat hinwies, gaben diese den Schlüssel freiwillig heraus. In den meisten Fällen zahlen Krankenhäuser aber lieber schnell Geld, als das Leben ihrer Patienten zu gefährden. Das macht sie für kriminelle Netzwerke zu lukrativen Opfern.

Gesundheitskommissar Olivér Várhelyi wollte am Mittwoch keine Empfehlung aussprechen, von solchen Zahlungen abzusehen, riet den Anbietern aber: "Investieren Sie mehr in ihre Cybersicherheit!" Es reiche nicht, nur Wachleute für den physischen Schutz von Gebäuden zu beschäftigen, Krankenhäuser etwa müssten genauso viel für die Sicherheit ihrer IT-Systeme ausgeben wie für ihre medizinische Ausstattung. Von der EU dürfen sie sich zwar kein Geld erwarten, wohl aber logistische Unterstützung. In der Behörde für Cybersicherheit mit Sitz in Athen soll dafür ein Zentrum eingerichtet werden – das ist der Kern des Aktionsplans. Es wird Gesundheitsanbietern Tipps für den besseren Schutz ihrer IT geben, sie vor Angriffen warnen und besser untereinander vernetzen. Hilfe soll es auch bei der Entschlüsselung von Daten geben, die mit Ransomware gesperrt wurden. Die Polizeibehörde Europol bietet dafür schon jetzt allerlei Werkzeuge an.

Wenn Gesundheitsanbieter sich trotzdem genötigt sehen, auf Erpresser einzugehen, sollen sie dies künftig wenigstens melden. Es gehe darum, die Geldströme, Geschäftspraktiken und Schwachstellen besser zu verstehen, erläuterte eine EU-Beamtin. Allerdings kann die Kommission nur dazu aufrufen, eine Berichtspflicht müssten nationale Gesetzgeber einführen.