das Krankenhaus 03/2016: Editorial

3.2016
das
Krankenhaus
Editorial
DKG-Hauptgeschäftsführer Georg Baum
IT-Sicherheit:
Alle sind gefordert
C
ybercrime – eine neue Angst geht um. Niemand, auch
allerhöchste und scheinbar sicherste Institutionen sind
gefeit. Pentagon, Bundestag, Banken und große Weltkonzerne
aus der IT-Branche eingeschlossen. Damit soll nicht verharmlost werden, dass nun auch deutsche Krankenhäuser Opfer
von Cybercrime-Attacken geworden sind. Die Problematik
muss aber auch sachgerecht eingeordnet werden. Es besteht
kein Grund anzunehmen, dass Krankenhäuser in Sachen ITSicherheit und Datenschutz nicht das notwendige Problembewusstsein hätten.
Krankenhäuser zählen zum Bereich der kritischen Infrastrukturen. Sie werden offiziell von der Bundesregierung wie
Energieversorger und andere öffentliche Daseinseinrichtungen eingestuft. Die Verantwortlichen in den Krankenhäusern
wissen das. IT-Sicherheit und Datenschutz hat in den Krankenhäusern deshalb einen sehr hohen Stellenwert. Selbstverständlich haben alle Krankenhäuser einen Datenschutzbeauftragten. Es gibt regelmäßige Mitarbeiterschulungen, Nutzungsausweise und dergleichen mehr. Die IT-Systeme der Krankenhäuser werden von spezialisierten, hochprofessionellen IT-Anbietern (KIS-Anbietern) betreut. Wie in allen Bereichen der
kritischen Infrastrukturen sind auch die Anbieter in besonderer Weise gefordert, die Sicherheit der Systeme stets weiterzuentwickeln.
Erst mit Beginn des Jahres ist das IT-Sicherheitsgesetz der
Bundesregierung in Kraft getreten, während die korrespondierende Netz- und Informationssicherheits-Richtlinie der EU
noch finalisiert wird. Die EU-Datenschutzgrundverordnung
wurde zwar in diesem Jahr geeint, bekommt aber erst ab 2018
in allen Teilen in Deutschland Gültigkeit. Dies zeigt, dass Staat
und Gesetzgeber sich schwer tun, den Rechtsrahmen der rasanten Entwicklung bei der Digitalisierung aller Arbeits- und
Lebensbereiche anzupassen. Die aktuellen Attacken machen
aber auch deutlich, dass das intensive Bemühen der Selbstverwaltungs-Trägerverbände in der gematik um maximale Vorrangigkeit von Datenschutz- und Systemsicherheit vor schnellen
(politisch gewünschten) Ergebnissen richtig ist. Denn wenn
erst einmal die alle mit allen vernetzende IT-Gesundheits-Infrastruktur geschaffen worden ist und Versichertenstammdaten, Patientenakten, Arztbriefe, Medikamentenpläne und
vieles Höchstpersönliches mehr in einem riesigen Netz zirku-
lierbar werden, nimmt die Angriffsfläche für Cyberattacken
hochgradig zu. Um Lösegeldforderungen von 15 000 € wird es
dann sicher nicht mehr gehen. Im Vergleich dazu sind die
stark dezentral organisierten Krankenhaus-IT-Systeme für Kriminelle nur begrenzt ergiebig. Auch die aktuellen Angriffe
waren sehr wahrscheinlich nicht bewusst auf Krankenhäuser
gerichtet, sondern wurden zufällig auch getroffen.
Die größte Sorge gilt der Betriebssicherheit der Medizintechnologie, insbesondere von digital gesteuerten Medizinprodukten wie Arzneimittelpumpen oder Narkoseautomaten. In
vielen Fällen ist die Software fester Bestandteil des Produktes.
Hier verbietet das Medizinproduktegesetz jeden Eingriff des
Krankenhauses oder des IT-Dienstleisters. Vor allem die Hersteller dieser Produkte sind also gefordert, für maximale Sicherheit und bestmögliche Attackenabwehr zu sorgen.
Etwa 600 Mio. € jährlich würde eine sachgerechte Ausstattung der IT-Bereiche erfordern. Das sind ca. 10 Prozent des
Investitionsmittelbedarfs der Krankenhäuser. Die für die Investitionsfinanzierung zuständigen Bundesländer bringen
nicht einmal die Hälfte ihres Pflichtbeitrages auf. Die Feststellung des Beauftragten der Bundesregierung für die Patienten,
Staatssekretär Karl-Josef Laumann, dass viele Bundesländer in
den vergangen Jahren deutlich zu wenig Geld in die Hand
genommen hätten, ist voll zutreffend – und leider weiterhin
Realität. Die DKG hatte im Rahmen der Krankenhausreform
gefordert, die 1 Mrd. € aus dem Investitionsstrukturfonds auch
für die IT-Modernisierung einsetzbar zu machen. Das ist nicht
geschehen. Wenn nun der Bundesgesetzgeber über neue Sicherheitsanforderungen wie Meldepflichten bei Cyberattacken
nachdenkt, ist das richtig. Gleichzeitig aber muss über ein nationales Förderprogramm für die IT-Sicherheit im Gesundheitswesen nachgedacht werden. Denn bei aller Bereitschaft
der Krankenhäuser zu bestmöglicher IT-Sicherheit: Sie dürfen
bei der Aufbringung der Investitionskosten nicht alleine gelassen werden.
173