Großbaustelle Klinik-IT-Sicherheit

Berlin. „Es stand zu befürchten, dass Kliniken in Deutschland gerade in der Corona-Krise in den Fokus Cyberkrimineller geraten. Dies war zum Glück nicht der Fall, doch auch so ist der Handlungsdruck für die Häuser sehr hoch“, versucht Markus Holzbrecher-Morys, bei der Deutschen Krankenhausgesellschaft (DKG) Geschäftsführer IT, Datenaustausch und E-Health, auf Nachfrage der „Ärzte Zeitung“ eine spontane Bilanz zu ziehen, wo die Kliniken beim Aufrüsten ihrer IT-Infrastruktur stehen.

In der Tat stehen sie unter Zeitdruck, es naht der Jahreswechsel. Der im Zuge des Patientendatenschutzgesetzes (PDSG) im SGB V neu eingeführte Paragraf 75c verpflichtet ab diesem Zeitpunkt ausnahmslos alle Kliniken in Deutschland, „nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.“

Recht unspezifische Vorgaben zum „Stand der Technik“

Das Problem aus Sicht des IT-Experten Holzbrecher-Morys: „Die Vorgabe im 75c nach dem ‚Stand der Technik‘ ist recht unspezifisch, hier sind zusätzliche Hinweise und Umsetzungshilfen notwendig. Darüber hinaus bedarf es großer Anstrengungen, die Anforderungen dann auch umzusetzen. Dies wird nicht von heute auf morgen möglich sein, aber das Ziel ist klar: IT-Sicherheit ist letztlich auch Patientensicherheit.“ Wo stehen die Kliniken in Deutschland also beim Aufrüsten ihrer IT-Infrastruktur? Die DKG will es genau wissen und bereitet dafür eine Umfrage unter ihren Mitgliedern vor.

„Die Umstände sind alles andere als rosig. Zwar können im Zuge des Krankenhauszukunftsgesetzes Fördermittel auch für IT-Sicherheit abgerufen werden. Wir sehen jedoch einen sich verschärfenden Personalmangel gerade in der IT, da einerseits mit steigendem Digitalisierungsgrad immer mehr qualifiziertes Personal notwendig wird, auf der anderen Seite gerade im Moment ehemalige Klinikmitarbeiter in die Industrie oder die Beratung abwandern“, gibt Holzbrecher-Morys Einblick in den Maschinenraum der deutschen Klinik-IT, in dem offensichtlich der Motor an der einen oder anderen Stelle gewaltig stottert.

Unterstützungspaket für Kliniken geplant

Unabhängig vom jeweiligen Umsetzungsstand in den einzelnen Häusern finalisiere die DKG gerade noch ein umfangreiches Unterstützungspaket für die einzelnen Kliniken mit allerhand Ratschlägen und Vorlagen, Musterformularen und Hinweisen für die Umsetzung von IT-Sicherheit für Dienstleisterverträge, die bald auch auf der DKG-Website abrufbar sein sollen.

Überarbeitet wird derzeit der von der DKG in Zusammenarbeit mit Branchenexperten aus dem KRITIS-Umfeld und in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S). Dieser regelt die IT-Sicherheitsanforderungen an die Unikliniken und anderen Häuser mit jährlich mindestens 30.000 stationären Fällen, die als Kritische Infrastruktur gelten und den Anforderungen der KRITIS-Verordnung genügen müssen.

„Konkret geht es dabei um Hinweise und Klarstellungen zur bisherigen Version 1.1, die grundsätzlich beibehalten wird. Die Überarbeitung in der neuen Version 1.2 wird aber auch Ergänzungen enthalten, die die Anforderungen betreffen, die Kliniken ab Mai 2023 im Zuge des IT-Sicherheitsgesetzes 2.0 erfüllen müssen“, verdeutlicht Holzbrecher-Morys. So müssen die betreffenden Klinik-IT-Infrastrukturen über Intrusion Detection Systeme (IDS) verfügen, die Cyber-Angriffe von außen rechtzeitig erkennen und abwehren können.