Was droht den Kliniken, die nicht rechtzeitig die richtigen Schritte ergreifen?
Nichts zu machen ist durchaus gefährlich. Der Grund: Wenn in der Klinik mal was passiert, wie zuletzt am Uniklinikum Düsseldorf, aus dem Patienten verlegt werden mussten, weil die IT gehackt worden war, fragt auch die betriebliche Haftpflichtversicherung nach, ob man sich an alle gesetzlichen Vorgaben gehalten hat. Ist sogar jemand zu Schaden gekommen dabei, kann es auch gut passieren, dass sich der Staatsanwalt einschaltet. Das kann erstens richtig teuer werden, aufgrund des zivilrechtlichen Schadens. Und zweitens aufgrund der strafrechtlichen Seite. Der Klinik-Geschäftsführer kann hier nicht argumentieren, er habe das nicht gewusst.
Erkennen die Kliniken die Tragweite des Problems?
Ich würde mal sagen: Die einen Kliniken haben das noch nicht auf dem Schirm. Die anderen wissen bereits, dass sie nicht in der Lage sind, das alles zu leisten. Und einige wenige haben bereits begonnen, das Thema umzusetzen.
Sie haben Fragen zur Anbindung an die Telematikinfrastruktur?
Wir beraten und unterstützen Sie gerne!
Ist das nicht ein sehr bedenklicher Zustand?
Durchaus, denn es drohen bei einem Cyberangriff unschöne Konsequenzen, siehe Düsseldorf. Und Düsseldorf ist eine große Klinik, die sich bereits seit 2018 um das Thema gekümmert hat. Es ist künftig sehr viel wahrscheinlicher, dass dies einer kleineren, weniger vorbereiteten Klink passiert.
Worin sehen Sie die größte Herausforderung für die IT-Sicherheit?
Die Kliniken müssen es schaffen, mit den vorhandenen Ressourcen zu wirtschaften. Da ist – Achtung: gute Nachricht – durchaus einiges möglich. Man muss risikobasiert rangehen, man muss nicht in wenigen Monaten alles zu 100 Prozent machen. Aber möglich ist, bestimmte Ressourcen abzustellen und mit den größten Risiken, den dicksten Fischen zu beginnen. Das fordert auch die Richtlinie B3S. Diese kann man durchgehen und alles so abarbeiten, wie es da vorgegeben ist. Dann erlangt man auch eine gewisse Rechtssicherheit. Die Sicherung finanzieller Mittel wird damit zu einer wesentlichen Herausforderung: Das Krankenhauszukunftsgesetz bezuschusst nach ‚Fördertatbestand 10’ Investitionen in dem Bereich. Jeder andere der Fördertatbestände von 1-9 muss ebenfalls Informationssicherheit mit mindestens 15 Prozent unterstützen. Die Klinik muss im Antrag dazu beschreiben, wie sie bei jedem der geförderten Projekten 15 Prozent für die Informationssicherheit ausgibt. Anfallende Betriebskosten, wie etwa ein Consulting in dem Bereich, werden gesetzlich über drei Jahre gefördert.
Was passiert, wenn die Kliniken die gesetzlichen Vorgaben nicht erfüllen?
Zunächst einmal: Es gibt keine gesetzlichen Sanktionen, wenn ein Krankenhaus sich an die neuen Regelungen aus §75c SGB V nicht hält. Allerdings ist davon auszugehen, dass im Falle eines Angriffs oder einer Panne in der IT-Infrastruktur Schadensersatzforderungen auf das Krankenhaus zukommen.
Sollten sich die Klinken externe Unterstützung suchen? Und wo finden sie diese?
Da gibt es einige spezialisierte Beratungsunternehmen, die etabliert sind – denn rund 300 KRITIS-Kliniken sind ja schon in dem Prozess und werden auch bereits von Beratern unterstützt. Wer Hilfe benötigt, sollte daher speziell suchen nach den Stichworten ‚Beratung’ und ‚Informationssicherheit im Krankenhaus’. Übrigens: Das Thema lässt sich nicht aussitzen. Denn das Risiko ist enorm, auch wegen der persönlichen Haftbarkeit des Geschäftsführers.
Vielen Dank für das Gespräch!