Krankenhäuser sind stark von digitalen Werkzeugen abhängig — für viele im Gesundheitswesen Tätige, auch für Izzo selbst, ist das die einzige bekannte Arbeitsweise. Patienten tragen Armbänder mit Barcode zur Identitätsprüfung, elektronische Patientenakten verzeichnen Allergien, Krankengeschichte, mögliche Wechselwirkungen von Medikamenten und weitere relevante Daten. Bei einem Ransomware-Vorfall fallen all diese Systeme aus, und die Daten werden fragmentiert.

Personal könne Patienten zwar nach ihrer Krankengeschichte fragen, doch das sei “keine faire Erwartung”, und die Selbstauskunft sei unzuverlässig, so Izzo. Erschwerend komme hinzu, dass die Kommunikation mit anderen Ärzten, Apotheken oder Kliniken kompromittiert oder unsicher sein könne — selbst Faxgeräte könnten ausfallen. Medikamente und Eingriffe, die auf Basis unvollständiger Informationen verordnet oder durchgeführt würden, könnten zu einer schlechteren Versorgung führen, warnte er. “Versorgung beruht auf dem Gesamtbild, nicht nur auf der Momentaufnahme vor einem”, sagte Izzo. Ohne Vorbereitung, etwa durch belastbare analoge Alternativen, steige das Fehlerrisiko dramatisch.

Handbücher für geplante Ausfallzeiten helfen laut Izzo nicht gegen die langanhaltenden Störungen durch Ransomware; gefragt seien Flexibilität und unkonventionelles Denken. “Grauzonen” — unvorhersehbare Fehler, die selten besprochen werden, aber häufig auftreten — erschwerten die Wiederherstellung. Systeme könnten wieder laufen, dabei aber verzögert reagieren, Daten vermissen lassen oder nur zeitweise zugänglich sein. Die “unmögliche Frage” laute dann: Schaltet man auf Notbetrieb um oder bleibt man auf dem System? Beides berge Risiken. Deshalb sei es wichtig, auch teilweise Ausfälle und Grauzonen zu üben, nicht nur Totalausfälle.

Krankenhäuser müssten zudem vorbereitet sein, wenn Ransomware umliegende Einrichtungen treffe, die daraufhin Patienten umleiten müssten. “Die Vorbereitung entscheidet, ob die Situation eskaliert oder sich stabilisiert”, sagte er.

Zum Schutz der Identität seien menschliche Prüfung und mehrfache Kontrollen zentral. Izzo empfiehlt unter anderem redundante Verifizierungsabläufe, eine Bestätigung durch zwei Personen bei Hochrisikofällen sowie vorab geprüfte papierbasierte Verfahren zur Dokumentation der Medikamentengabe. Gegen eine verschlechterte Versorgung sollten Kliniken Planspiele durchführen, die das Personal an vorderster Front in Planung und Reaktion einbeziehen. Izzo beobachtete weniger Erschöpfung, wenn diese Mitarbeiter beteiligt waren.

Da Krankenhäuser zunehmend künstliche Intelligenz neben digitalen Werkzeugen einsetzen, sollten sie auch die Risiken von “Schatten-KI” verstehen — also den Einsatz nicht freigegebener Werkzeuge, die einen eigenen Angriffsvektor darstellen. KI sei nützlich, doch im Umgang damit sei Vorsicht geboten, warnte er. Erster Schritt sei es, an einer Stelle zu erfassen, wo “Identität, Information und Ausführung von digitalen Systemen abhängen”. “Üben Sie, und nutzen Sie glaubwürdige oder reale Fälle”, forderte Izzo.