IT-Sicherheit: „Dafür haben die Krankenhäuser kaum Ressourcen“

Informatiker, Experte für Informationssicherheit und Trainer Joachim Reinke, Mitgründer und -geschäftsführer der einfachISO GmbH in Berlin, über die Verschärfung für IT-Sicherheit im Krankenhaus durch §75c SGB V und die daraus schon heute entstehenden Anforderungen an das Klinik-Management.

Von Heiner Sieger

Herr Reinke, ab dem 1. Januar 2022 gelten durch den durch §75c SGB V verschärfte Anforderungen für IT-Sicherheit im Krankenhaus. Wo stehen die Kliniken bei der Vorbereitung heute?

Rund 1800 Kliniken sind vom Thema Informationssicherheit betroffen. Ungefähr 300 KRITIS-Kliniken mussten sich seit 2018 schon darum kümmern. Das sind die großen Kliniken, also diejenigen, die auch die Ressourcen dafür haben und aufbauen konnten. Jetzt kommen 1500 weitere Kliniken in diese Situation, das sind die kleineren Kliniken. Deren Problem ist aber vor allem zu wenig Personal, dass die IT sichern kann. Diese Kliniken sollen sich jetzt auch noch um so ein strategisches Thema kümmern wie Informationssicherheit. Das sind dann teilweise auch banale Dinge wie etwa, den Laptop nicht offen stehen zu lassen sondern mit einem zu Passwort sichern oder das digitale Tablet nicht offen auf dem Servicewagen liegen zu lassen. Das betrifft die gesamte Organisation, allerdings kann da die IT nichts tun, wenn das der Krankenschwester passiert. Alle Klinik-Mitarbeiter müssen also für das Thema sensibilisiert und entsprechend geschult werden. Genau dafür haben die Krankenhäuser aber kaum Ressourcen, also nur bescheidene finanzielle Mittel und wenig Erfahrung. Dennoch müssen sie das umsetzen.

Joachim Reinke, Informatiker, Experte für Informationssicherheit, Trainer, Mitgründer und -geschäftsführer der einfachISO GmbH
© Joachim Reinke
Joachim Reinke, Informatiker, Experte für Informationssicherheit, Trainer, Mitgründer und -geschäftsführer der einfachISO GmbH

Was droht den Kliniken, die nicht rechtzeitig die richtigen Schritte ergreifen?

Nichts zu machen ist durchaus gefährlich. Der Grund: Wenn in der Klinik mal was passiert, wie zuletzt am Uniklinikum Düsseldorf, aus dem Patienten verlegt werden mussten, weil die IT gehackt worden war, fragt auch die betriebliche Haftpflichtversicherung nach, ob man sich an alle gesetzlichen Vorgaben gehalten hat. Ist sogar jemand zu Schaden gekommen dabei, kann es auch gut passieren, dass sich der Staatsanwalt einschaltet. Das kann erstens richtig teuer werden, aufgrund des zivilrechtlichen Schadens. Und zweitens aufgrund der strafrechtlichen Seite. Der Klinik-Geschäftsführer kann hier nicht argumentieren, er habe das nicht gewusst.

Erkennen die Kliniken die Tragweite des Problems?

Ich würde mal sagen: Die einen Kliniken haben das noch nicht auf dem Schirm. Die anderen wissen bereits, dass sie nicht in der Lage sind, das alles zu leisten. Und einige wenige haben bereits begonnen, das Thema umzusetzen.

Sie haben Fragen zur Anbindung an die Telematikinfrastruktur?

Wir beraten und unterstützen Sie gerne!

Ist das nicht ein sehr bedenklicher Zustand?

Durchaus, denn es drohen bei einem Cyberangriff unschöne Konsequenzen, siehe Düsseldorf. Und Düsseldorf ist eine große Klinik, die sich bereits seit 2018 um das Thema gekümmert hat. Es ist künftig sehr viel wahrscheinlicher, dass dies einer kleineren, weniger vorbereiteten Klink passiert.

Worin sehen Sie die größte Herausforderung für die IT-Sicherheit?

Die Kliniken müssen es schaffen, mit den vorhandenen Ressourcen zu wirtschaften. Da ist – Achtung: gute Nachricht – durchaus einiges möglich. Man muss risikobasiert rangehen, man muss nicht in wenigen Monaten alles zu 100 Prozent machen. Aber möglich ist, bestimmte Ressourcen abzustellen und mit den größten Risiken, den dicksten Fischen zu beginnen. Das fordert auch die Richtlinie B3S. Diese kann man durchgehen und alles so abarbeiten, wie es da vorgegeben ist. Dann erlangt man auch eine gewisse Rechtssicherheit. Die Sicherung finanzieller Mittel wird damit zu einer wesentlichen Herausforderung: Das  Krankenhauszukunftsgesetz bezuschusst nach ‚Fördertatbestand 10’ Investitionen in dem Bereich. Jeder andere der Fördertatbestände von 1-9 muss ebenfalls Informationssicherheit mit mindestens 15 Prozent unterstützen. Die Klinik muss im Antrag dazu beschreiben, wie sie bei jedem der geförderten Projekten 15 Prozent für die Informationssicherheit ausgibt. Anfallende Betriebskosten, wie etwa ein Consulting in dem Bereich, werden gesetzlich über drei Jahre gefördert.

Was passiert, wenn die Kliniken die gesetzlichen Vorgaben nicht erfüllen?

Zunächst einmal: Es gibt keine gesetzlichen Sanktionen, wenn ein Krankenhaus sich an die neuen Regelungen aus §75c SGB V nicht hält. Allerdings ist davon auszugehen, dass im Falle eines Angriffs oder einer Panne in der IT-Infrastruktur Schadensersatzforderungen auf das Krankenhaus zukommen.

Sollten sich die Klinken externe Unterstützung suchen? Und wo finden sie diese?

Da gibt es einige spezialisierte Beratungsunternehmen, die etabliert sind – denn rund 300 KRITIS-Kliniken sind ja schon in dem Prozess und werden auch bereits von Beratern unterstützt. Wer Hilfe benötigt, sollte daher speziell suchen nach  den Stichworten ‚Beratung’ und  ‚Informationssicherheit im Krankenhaus’. Übrigens: Das Thema lässt sich nicht aussitzen. Denn das Risiko ist enorm, auch wegen der persönlichen Haftbarkeit des Geschäftsführers.

Vielen Dank für das Gespräch!

Die Digitalisierung verändert das Gesundheitswesen. Unsere Videokurse bereiten Sie optimal darauf vor.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.
Die folgenden im Rahmen der DSGVO notwendigen Bedingungen müssen gelesen und akzeptiert werden:
Durch Abschicken des Formulares wird Ihr Name, E-Mail-Adresse und eingegebene Text in unserer Datenbank gespeichert. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Menü