Georg Thieme Verlag KG

... Fortsetzung des Artikels

KlinikenAbsolute IT-Sicherheit gibt es nicht

Das Bundesinnenministerium hat im Rahmen des IT-Sicherheitsgesetzes alle Kliniken mit über 30 000 vollstationären Fällen pro Jahr verpflichtet, Vorkehrungen gemäß dem Branchensicherheitsstandard UP KRITIS zu treffen. Greift dieser Schutz denn?

Hier muss man zwischen außeruniversitären großen Häusern und den Unikliniken differenzieren. Denn Unikliniken haben immer ein Nebeneinander von Forschung und Lehre auf der einen Seite und dem normalen Klinikbetrieb auf der anderen. Zwar verwendet man hier in der Regel physisch getrennte Netze, aber das funktioniert in der Realität nie hundertprozentig. Denn in Unikliniken sind viel mehr Leute in diesen kritischen Netzen unterwegs als in normalen Kliniken. Wenn zum Beispiel ein Chefarzt einen Lehrstuhl betreibt und seine Fachklinik, lässt er sich von einem IT-Experten oft nicht gerne sagen, wie er sein System zu führen hat. Zudem werden Geräte wie ein CT, ein Nuklearbeschleuniger oder auch Laboranalysegeräte heute in der Regel über das Internet ferngewartet und vom Hersteller überwacht. Dieser Zugang ist dann meist offen – was ganz klar nicht den Datenschutzanforderungen entspricht, aber in der Realität so ist – wodurch das Netz dieses Herstellers quasi ein weiterer Bestandteil des Krankenhausnetzes wird. Das Problem dabei ist: Sie haben auf die Sicherheit des Herstellernetzes keinen Einfluss.

Sollte der KRITIS-Schutz Ihrer Ansicht nach auch auf kleinere Häuser ausgeweitet werden?

Dem Innenministerium und dem BSI war von vornherein klar, dass die Regelung zunächst nur für die großen Häuser gelten kann, weil die kleinen Häuser kurzfristig gar nicht in der Lage sind, diese Forderungen umzusetzen. Es war aber genauso klar, dass sich mittelfristig auch kleine Häuser den gleichen Regeln beugen müssen. Damals wurde davon ausgegangen, dass zwei Entwicklungen greifen: Dass damit erstens das Verständnis für diese Regelungen steigt und damit auch die Bereitschaft, solche Dinge zu finanzieren – seitens der Kostenträger oder seitens der Länder. Zweitens aber auch, dass die Anbieter durch den sich vergrößernden Markt und die Zeit, die damit ins Land geht, gewisse Dienstleistungen und Hard- und Software vielleicht auch etwas günstiger anbieten. Beide Punkte sehe ich heute etwas kritischer. Trotzdem halte ich es für sehr sinnvoll, den KRITIS-Schutz auch auf kleine Häuser auszuweiten. Zumal das Thema auch eine Eigendynamik annimmt: Wenn durch Cyberangriffe kleine Häuser Schäden erleiden, werden die Versicherungen unter Verweis auf die KRITIS-Häuser auch von diesen Häusern verlangen, solche Maßnahmen umzusetzen – oder ihre Prämien erhöhen. Auch die Gerichte werden feststellen, das KRITIS eigentlich der Stand der Technik ist. Seitens der Kostenträger ist das Bewusstsein dafür, dass IT-Sicherheit im Krankenhaus ein entscheidender Faktor ist und daher genauso finanziert werden muss wie alles andere, allerdings noch nicht wirklich durchgedrungen.

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!