Georg Thieme Verlag KG

IT-SicherheitKleinere Kliniken machen sich cyber-fit für die Zukunft

Kleinere Krankenhäuser müssen sich ebenso vor Cyberangriffen schützen wie die Großen, die unter die KRITIS-Verordnung fallen. Raimar Engelhardt und Jürgen Flemming vom Bundesverband der Krankenhaus-IT-Leiterinnen/Leiter (KH-IT) geben im Interview Auskunft über die aktuelle Situation.

Raimar Engelhardt
KH-IT

Raimar Engelhardt ist stellvertretender Vorsitzender im Vorstand des Bundesverbands der Krankenhaus-IT-Leiterinnen/Leiter (KH-IT).

Jürgen Flemming
KH-IT

Jürgen Flemming verantwortet im Vorstand des KH-IT als Beisitzer die Presse- und Öffentlichkeitsarbeit.

Viele deutsche Unternehmen klagen über verstärkte Cyberangriffe in der Pandemie. Wie ist die Situation bei den Krankenhäusern?

Engelhardt: Wir haben in der Pandemie keine verstärkten Cyberangriffe festgestellt. Für die Kliniken, die zurzeit einer extrem hohen Belastung ausgesetzt sind, wäre ein Cyberangriff eine enorme Zusatzbelastung. Gezielte Angriffe auf Krankenhäuser halte ich nach wie vor für unwahrscheinlich. Die Angreifer gehen zumeist nach dem Gießkannenprinzip vor und hoffen, dass irgendein Krankenhausmitarbeiter ihren manipulierten Link in einer E-Mail anklickt.

Sind die kleineren Krankenhäuser weniger gut geschützt als die großen, die unter KRITIS fallen?

Engelhardt: Das ist schwierig zu beurteilen, weil die kleineren Häuser eine ähnlich heterogene IT-Landschaft haben wie die großen. Es gibt kleinere Häuser, die ihre IT-Sicherheit sehr gut im Griff haben. In diesen Fällen sind die Geschäftsleitungen für das Thema IT-Sicherheit sensibilisiert und die Wirtschaftlichkeit des Hauses erlaubt es, entsprechend zu investieren.

Gemäß Paragraf 75 c SGB V sind Krankenhäuser dazu verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur IT-Sicherheit zu treffen. Was bedeutet das für die kleineren Krankenhäuser?

Engelhardt: Der Paragraf besagt, dass alle Krankenhäuser ab dem 1. Januar 2022 ihre IT-Sicherheitsmaßnahmen nach dem Stand der Technik richten müssen. Die kleineren Häuser müssen sich wie ein KRITIS-Haus aufstellen, obwohl sie nicht unter die KRITIS-Verordnung fallen. (Anm. d. Red.: Krankenhäuser mit mehr als 30 000 vollstationären Fällen pro Jahr zählen zur kritischen Infrastruktur (KRITIS). Das verschärft den Wettbewerb und die wirtschaftliche Situation vieler Häuser, die einerseits in Maßnahmen zur IT-Sicherheit investieren müssen und andererseits zusätzliche laufende Kosten haben.

Ein Beispiel: Die Investition in ein Information Security Management System (ISMS) bedeutet nicht nur, dass Lizenzgebühren entrichtet werden müssen, sondern dass auch Personal dafür eingestellt werden muss. Das Krankenhaus hat durch das ISMS höhere Kosten, aber keinen Return on Investment. Sich nicht an § 75 c SGB V zu halten, wäre grob fahrlässig, da bei einem Sicherheitsvorfall die Betriebsausfallversicherung gegebenenfalls nicht greifen würde.

B3S ist der Sicherheitsstandard, den KRITIS-Häuser anwenden müssen. Wie sinnvoll ist es für kleinere Häuser, B3S anzuwenden?

Engelhardt: Mein Eindruck ist, dass der Standard die Anforderungen trifft. Er kommt aus der Praxis und wurde zusammen mit der Deutschen Krankenhausgesellschaft entwickelt. Ich halte ihn für einen praktikablen Weg, um sich dem Thema IT-Sicherheit anzunehmen.

Flemming: Ich hatte die Gelegenheit, an der Entwicklung von B3S mitzuwirken. Wir haben uns damals große Mühe gegeben, die Sicherheitsstandards auf die Krankenhäuser herunterzubrechen und diese nicht zu überfordern. Ich glaube, dass uns das in Ansätzen durchaus gelungen ist. Man darf aber nicht die Augen davor verschließen, dass das Thema ITSicherheit für die Krankenhäuser eine massive Herausforderung darstellt. Ein Krankenhaus, das seine IT-Sicherheit nach B3S gewährleisten möchte, benötigt dafür auf Dauer sehr viel Geld. Wenn man weitere Abstriche an B3S machen würde, wäre die Sicherheit der Krankenhäuser tatsächlich an vielen Punkten nicht mehr gewährleistet. Ich persönlich halte B3S für anspruchsvoll, aber nicht überzogen.

Krankenhäuser erhalten durch das Krankenhauszukunftsgesetz zusätzliche Mittel für ihre IT-Sicherheit. Kritiker haben bemängelt, dass die Fristen für die Antragstellung zu kurz gewesen seien.

Flemming: Die im Gesetz festgeschriebene Frist, der 31. Dezember 2021, ist für das Antragsverfahren in Ordnung. Die Bundesländer haben jedoch zum Teil eine Verkürzung der Frist vorgenommen. Wir sehen das gesamte Verfahren mit dem Abschluss der Projekte bis zum 31. Dezember 2024 kritisch. Die Zeit ist knapp bemessen, da die Ressourcen zur Umsetzung aller Maßnahmen sowohl auf Seiten der Anbieter als auch auf Krankenhausebene sehr begrenzt sind. Es müssen gefühlt zehn Projekte parallel stattfinden, um die Ziele zu erreichen, damit ein Krankenhaus nicht unter die Malus-Regelung ab 2025 fällt.

Wie gehen die Krankenhäuser mit diesem Problem um?

Engelhardt: Die Verschärfung der Frist durch die Länder wirbelt einiges durcheinander. Die Antragstellung wird dadurch erschwert und es könnte passieren, dass auch Häuser durchs Raster fallen. Der Anteil von 15 Prozent für die Informationssicherheit an jedem Fördertatbestand bedeutet, dass man im Antrag Themen unterbringen kann, um zum Beispiel dem Stand der Technik gerecht zu werden, unter anderem mit einem ISMS. Wenn das Krankenhaus nicht kurzfristig in der Lage ist, ein ISMS aufzubauen, ist es ratsam, einen externen Informationssicherheitsbeauftragten damit beauftragen. Hinzu kommen noch verschiedene technische Maßnahmen, die einen gewissen Budgetrahmen benötigen.

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!