Von Stefan Paravicini, New YorkEtwas mehr als ein Jahr ist es her, dass der Klick auf einen E-Mail-Anhang im Lukaskrankenhaus Neuss das Startsignal für eine Cyberattacke gab, die in der Folge fast das gesamte Hospital lahmlegte und sogar zur Verschiebung von Operationsterminen führte, weil das IT-System der Klinik komplett heruntergefahren werden musste.Als Teil der kritischen Infrastruktur, deren Hauptaugenmerk nicht auf der Verteidigung gegen Hackerangriffe liegt, eignen sich Spitäler hervorragend zur Demonstration einer Software, die die Resilienz von Computernetzwerken gegen Angriffe stärken soll. Das dachte sich offenbar auch das Start-up Tanium, ein Spezialist für Cybersicherheit aus Kalifornien, der von Investoren zuletzt mit 3,5 Mrd. Dollar bewertet wurde und der innerhalb der nächsten zwölf Monate sein Debüt an der Börse geben möchte.In Präsentationen vor potenziellen Kunden zog Tanium in den vergangenen Jahren immer wieder die IT-Architektur des El Camino Hospital aus dem Silicon Valley heran, um die Fähigkeiten der eigenen Software unter Beweis zu stellen, wie in den vergangenen Tagen bekannt geworden ist. Das Problem: Weder holte Tanium dafür das Einverständnis ihres Kunden ein, noch wurden die Namen von Netzwerken und Rechnern des Krankenhauses bei diesen Veranstaltungen geschützt. Die Teilnehmer an den Präsentationen, zu denen die Venture-Capital-Gesellschaft Andreessen Horowitz als Investor von Tanium in den vergangenen Jahren regelmäßig in die eigenen Geschäftsräumlichkeiten eingeladen hat, konnten sich also nicht nur ein Bild der Software machen, sondern erhielten auch tiefe Einblicke in die Schwächen der IT-Infrastruktur des Hospitals.Nach Einschätzung von Experten könnte Tanium mit dieser Geschäftspraktik sowohl gegen Bundesgesetze als auch gegen Gesetze des Bundesstaates Kalifornien verstoßen haben. “In jedem Fall ist das eine schlechte Geschäftspraxis”, kommentiert Daniel Appelman von der Kanzlei Montgomery & Hansen LLP. “Es klingt ziemlich krank.” Auch das Krankenhaus selbst könnte sich eines Verstoßes schuldig gemacht haben, fügt der Anwalt hinzu.El Camino Hospital teilte mit, dass man erst vor kurzem auf die Angelegenheit aufmerksam gemacht wurde. Man prüfe den Fall sorgfältig und nehme die Verantwortung für die Integrität der eigenen IT sehr ernst, erklärte eine Sprecherin. “Es ist wichtig festzuhalten, dass Tanium nie Zugang zu Patienteninformationen hatte und dass diese Informationen nach unserem jetzigen Kenntnisstand sicher sind”, lautete die erste Diagnose.Tanium hatte laut US-Medienberichten ihre Kundenpräsentationen mit dem Disclaimer gestartet, dass das Krankenhaus die Einwilligung zur Verwendung seiner Daten gegeben habe. CEO Orion Hindawi, der das Unternehmen 2007 mit seinem Vater David gegründet hat, entschuldigte sich in einem Blog-Eintrag. “Wir übernehmen die Verantwortung für Fehler im Umgang mit der Demo-Umgebung dieses einen Kunden”, schreibt Hindawi, der im Oktober angekündigt hatte, ein IPO innerhalb der nächsten 18 Monate anzupeilen. Derzeit ist bei Tanium der Zugriff auf eine Krankenakte allerdings leichter zu haben als ein Börsenprospekt. Das gilt erst recht nach dem überraschenden Rücktritt von CFO Eric Brown vor wenigen Tagen.