Wenn die Patientendaten verschlüsselt sind, die Telefonanlage schweigt und Journalisten im Eingangsbereich auf eine Stellungnahme warten, entscheidet sich, ob ein Krankenhaus seinen Krisenstab im Griff hat. Genau dieses Szenario simuliert das Fraunhofer-Institut für Sichere Informationstechnologie SIT in einem neuen Planspiel-Format speziell für Kliniken.

Die ganztägigen Übungen richten sich an interdisziplinäre Teams aus IT, Medizin, Pflege und Verwaltung. Je nach Klinikgröße nehmen zehn bis 20 Personen teil. Das IT-Team erhält zu Beginn nur fragmentarische Hinweise auf einen möglichen Vorfall, wann der Krisenstab einberufen wird und wie die Lage einzuschätzen ist, müssen die Teilnehmenden selbst entscheiden. Drei bis vier Trainerinnen und Trainer eskalieren die Lage gezielt: vom unklaren Systemfehler bis zum Totalausfall der Telefonie.

„Wir machen keine Powerpoint-Games“, betont Dr. Markus Willing, Projektleiter beim Fraunhofer SIT und Informationssicherheitsbeauftragter am Ev. Klinikum Bethel. Auf Wunsch bauen die Trainer lokale Besonderheiten ein, etwa simulierte Lokalpresse oder parallele medizinische Ausnahmesituationen.

Schwachstelle Kommunikation zwischen IT und Krisenstab

Als kritischen Engpass identifiziert das Fraunhofer SIT regelmäßig die Übersetzungsarbeit zwischen Technik und Krisenstab. „Da der Krisenstab zum großen Teil aus IT-Laien besteht, ist hier eine enorme Übersetzungsleistung nötig, die das IT-Personal oft nicht gewohnt ist“, so Willing. Auch für Ärztinnen und Ärzte sei der Ausfall der Telefonie eine massive Belastung, da sie das Telefon zentral für Diagnosen und Behandlungsabsprachen benötigen.

Nach rund sechs Stunden Übung folgt ein direktes Debriefing. Die Ergebnisse fließen in ein Forschungsprojekt ein, das den Vorbereitungsstand deutscher Kliniken auf Cyberangriffe systematisch erfasst. Untersucht wird unter anderem, welche strukturellen Merkmale sich auf Reaktionsdauer und -qualität auswirken. Die teilnehmenden Häuser erhalten zudem eine Auswertung darüber, wo dokumentierte Notfallprozesse vom tatsächlichen Vorgehen abweichen.

NIS2 macht Krisensimulationen verpflichtend

Für Krankenhäuser hat das Thema längst Compliance-Relevanz: Das NIS-2-Umsetzungsgesetz schreibt ein Betriebskontinuitätskonzept sowie regelmäßige Wirksamkeitsüberprüfungen, etwa in Form von Krisensimulationen, verbindlich vor. Vor dem Hintergrund der angespannten geopolitischen Lage gewinnt das Thema laut Fraunhofer SIT zusätzlich an Dringlichkeit.