3.2016 das Krankenhaus Editorial DKG-Hauptgeschäftsführer Georg Baum IT-Sicherheit: Alle sind gefordert C ybercrime – eine neue Angst geht um. Niemand, auch allerhöchste und scheinbar sicherste Institutionen sind gefeit. Pentagon, Bundestag, Banken und große Weltkonzerne aus der IT-Branche eingeschlossen. Damit soll nicht verharmlost werden, dass nun auch deutsche Krankenhäuser Opfer von Cybercrime-Attacken geworden sind. Die Problematik muss aber auch sachgerecht eingeordnet werden. Es besteht kein Grund anzunehmen, dass Krankenhäuser in Sachen ITSicherheit und Datenschutz nicht das notwendige Problembewusstsein hätten. Krankenhäuser zählen zum Bereich der kritischen Infrastrukturen. Sie werden offiziell von der Bundesregierung wie Energieversorger und andere öffentliche Daseinseinrichtungen eingestuft. Die Verantwortlichen in den Krankenhäusern wissen das. IT-Sicherheit und Datenschutz hat in den Krankenhäusern deshalb einen sehr hohen Stellenwert. Selbstverständlich haben alle Krankenhäuser einen Datenschutzbeauftragten. Es gibt regelmäßige Mitarbeiterschulungen, Nutzungsausweise und dergleichen mehr. Die IT-Systeme der Krankenhäuser werden von spezialisierten, hochprofessionellen IT-Anbietern (KIS-Anbietern) betreut. Wie in allen Bereichen der kritischen Infrastrukturen sind auch die Anbieter in besonderer Weise gefordert, die Sicherheit der Systeme stets weiterzuentwickeln. Erst mit Beginn des Jahres ist das IT-Sicherheitsgesetz der Bundesregierung in Kraft getreten, während die korrespondierende Netz- und Informationssicherheits-Richtlinie der EU noch finalisiert wird. Die EU-Datenschutzgrundverordnung wurde zwar in diesem Jahr geeint, bekommt aber erst ab 2018 in allen Teilen in Deutschland Gültigkeit. Dies zeigt, dass Staat und Gesetzgeber sich schwer tun, den Rechtsrahmen der rasanten Entwicklung bei der Digitalisierung aller Arbeits- und Lebensbereiche anzupassen. Die aktuellen Attacken machen aber auch deutlich, dass das intensive Bemühen der Selbstverwaltungs-Trägerverbände in der gematik um maximale Vorrangigkeit von Datenschutz- und Systemsicherheit vor schnellen (politisch gewünschten) Ergebnissen richtig ist. Denn wenn erst einmal die alle mit allen vernetzende IT-Gesundheits-Infrastruktur geschaffen worden ist und Versichertenstammdaten, Patientenakten, Arztbriefe, Medikamentenpläne und vieles Höchstpersönliches mehr in einem riesigen Netz zirku- lierbar werden, nimmt die Angriffsfläche für Cyberattacken hochgradig zu. Um Lösegeldforderungen von 15 000 € wird es dann sicher nicht mehr gehen. Im Vergleich dazu sind die stark dezentral organisierten Krankenhaus-IT-Systeme für Kriminelle nur begrenzt ergiebig. Auch die aktuellen Angriffe waren sehr wahrscheinlich nicht bewusst auf Krankenhäuser gerichtet, sondern wurden zufällig auch getroffen. Die größte Sorge gilt der Betriebssicherheit der Medizintechnologie, insbesondere von digital gesteuerten Medizinprodukten wie Arzneimittelpumpen oder Narkoseautomaten. In vielen Fällen ist die Software fester Bestandteil des Produktes. Hier verbietet das Medizinproduktegesetz jeden Eingriff des Krankenhauses oder des IT-Dienstleisters. Vor allem die Hersteller dieser Produkte sind also gefordert, für maximale Sicherheit und bestmögliche Attackenabwehr zu sorgen. Etwa 600 Mio. € jährlich würde eine sachgerechte Ausstattung der IT-Bereiche erfordern. Das sind ca. 10 Prozent des Investitionsmittelbedarfs der Krankenhäuser. Die für die Investitionsfinanzierung zuständigen Bundesländer bringen nicht einmal die Hälfte ihres Pflichtbeitrages auf. Die Feststellung des Beauftragten der Bundesregierung für die Patienten, Staatssekretär Karl-Josef Laumann, dass viele Bundesländer in den vergangen Jahren deutlich zu wenig Geld in die Hand genommen hätten, ist voll zutreffend – und leider weiterhin Realität. Die DKG hatte im Rahmen der Krankenhausreform gefordert, die 1 Mrd. € aus dem Investitionsstrukturfonds auch für die IT-Modernisierung einsetzbar zu machen. Das ist nicht geschehen. Wenn nun der Bundesgesetzgeber über neue Sicherheitsanforderungen wie Meldepflichten bei Cyberattacken nachdenkt, ist das richtig. Gleichzeitig aber muss über ein nationales Förderprogramm für die IT-Sicherheit im Gesundheitswesen nachgedacht werden. Denn bei aller Bereitschaft der Krankenhäuser zu bestmöglicher IT-Sicherheit: Sie dürfen bei der Aufbringung der Investitionskosten nicht alleine gelassen werden. 173