IT-Sicherheit ist ein Dauerbrenner für jedes Krankenhaus. Welche Trends bestimmen das Jahr 2021? Welche Schwerpunkte sieht die DKG und welchen Einfluss hat das Krankenhauszukunftsgesetz auf Investitionen in diesem Bereich? Diese und andere Fragen beantwortet kundig und differenziert der Geschäftsführer IT, Datenaustausch und eHealth der DKG Markus Holzbrecher-Morys.

M&K:  Wie schätzen Sie aktuell die IT-Sicherheit in Kliniken und Krankenhäusern in Deutschland ein? Welche Bedrohungen halten Sie für die derzeit gefährlichsten, welche Trends sehen Sie in diesem Jahr?

Markus Holzbrecher-Morys: Mit der Übernahme der Emotet-Infrastruktur durch die Ermittlungsbehörden wurde eine große Bedrohung Im Bereich IT-Sicherheit ausgeschaltet, die auch für Krankenhäuser relevant war. Doch längst stehen andere Player bereit, die „Lücke“ auszufüllen. Der Druck auf die Perimetergrenzen der Krankenhäuser ist unverändert hoch. Hinzu kommt, dass mit der stark und vor allem schnell anwachsenden Digitalisierung die Anzahl der abzusichernden Systeme und damit der Druck auf das entsprechende Personal steigt, ohne dass dieses ähnlich schnell mitwachsen könnte. Werden medizinische Anwendungen, wie die elektronische Patientenakte, in der Fläche verfügbar und können ihren Nutzen unter Beweis stellen, wird dies für die Akzeptanz von Digitalisierung im Gesundheitswesen sicher positive Effekte haben – das ist ja auch das erklärte Ziel des Gesetzgebers, der mit dem Krankenhauszukunftsgesetz diese Bereiche fördern möchte. Dabei soll IT-Sicherheit immer mitgedacht werden. Es braucht aber neben Investitionen auch die entsprechenden Fachkräfte, um die schiere Anzahl an zusätzlicher „Angriffsfläche“ abzusichern, die eine digitale Öffnung der Krankenhäuser nach außen hin bedeutet. Der Trend zu digitalen Gesundheitsanwendungen, die künftige Nutzung der Telematikinfrastruktur und die Beschleunigung der Digitalisierung insgesamt werden zu Prozessänderungen führen, die immer auch unter Aspekten der IT-Sicherheit mitgedacht werden müssen.

Das IT-Sicherheitsgesetz 2.0 befindet sich derzeit noch in der parlamentarischen Beratung. Am 1. März fand z.B. eine Expertenanhörung des Ausschusses für Inneres und Heimat statt. Was erwarten Sie (mit Ihrem aktuellen Wissensstand) für Neuerungen von der Gesetzesnovelle für Krankenhäuser?

Holzbrecher-Morys: Eine wesentliche Neuerung für die vom IT-Sicherheitsgesetz betroffenen Krankenhäuser – die so genannten Kritischen Infrastrukturen, also Krankenhäuser mit mehr als 30.000 vollstationären Behandlungsfällen im Jahr – wird in den zusätzlichen Anforderungen an die Absicherung ihrer Systeme liegen. Künftig werden Systeme zur digitalen Einbruchserkennung, Intrusion Detection Systeme (IDS), für kritische Infrastrukturen vorgeschrieben sein. Auch wenn die ursprünglich vorgesehene mehrjährige, datenschutzkonforme Speicherung entsprechender Protokollierungs-Informationen inzwischen fallen gelassen wurde – dies wäre weder technisch noch personell leistbar gewesen – so stellt doch der geplante Umsetzungszeitraum von einem Jahr nach Inkrafttreten des Gesetzes die kritischen Infrastrukturen in Deutschland, zu denen eben auch ca. 5 – 10% der Krankenhäuser zählen, vor immense Herausforderungen, schon allein, wenn man auf Beschaffungsprozesse und entsprechende Fristen bei ggf. notwendigen Ausschreibungsverfahren blickt.

Ein weiteres Gesetz, das im Herbst letzten Jahres verabschiedet wurde, legt ebenfalls viel Wert auf IT-Sicherheit: das Krankenhauszukunftsgesetz (KHZG). Es zielt darauf ab, die Ausstattung der Krankenhäuser zu modernisieren und deren Digitalisierung voranzutreiben. Gefördert werden sollen aber auch Investitionen in die IT- und Cybersicherheit der Krankenhäuser und Hochschulkliniken. Jeder Förderantrag muss mindestens 15 Prozent der Gelder für IT-Sicherheit einplanen. Was wissen Sie von der aktuellen Antragspraxis, in welchen Bereichen erwarten Sie durch das KHZG signifikante Verbesserungen der IT-Sicherheit im Krankenhaus?

Holzbrecher-Morys: Die Förderung der IT-Sicherheit im KHZG ist durchaus differenziert zu betrachten. Es wird ausdrücklich begrüßt, dass das Thema „Finanzierung von IT-Sicherheit“ nun vom Gesetzgeber als notwendige Voraussetzung für Digitalisierung aufgegriffen wurde. Auch die Größenordnung von 15% je Fördermaßnahme bewegt sich in einem Rahmen, der – vielleicht etwas pauschal – aber in jedem Fall in einer nachvollziehbaren Dimension verortet wurde. Im Detail stellen sich den Krankenhäusern dann aber doch immer wieder konkrete Fragen, für die wir aktuell immer wieder auch Antworten geben müssen – beispielsweise welche Maßnahmen zur Verbesserung der IT-Sicherheit im Kontext der einzelnen Fördertatbestände relevant sein können. Mit dem Branchenspezifischen Sicherheitsstandard der DKG, für den das BSI die Eignung nach § 8a BSI-Gesetz festgestellt hat, sind fast 170 konkrete Anforderungen an die Sicherheit von IT im Krankenhaus definiert, die hier herangezogen werden können. Das KHZG definiert einen gesonderten Fördertatbestand für übergreifende IT-Sicherheitsmaßnahmen, welcher z.B. für Intrusion Detection Systeme genutzt werden könnte. Ausgerechnet diese wichtige Förderung der IT-Sicherheit ist jedoch den Krankenhäusern, die als Kritische Infrastruktur gelten, verwehrt. Von den Hochschulkliniken abgesehen dürfen KRITIS-Krankenhäuser diese Mittel nicht beantragen, da es hierfür theoretisch andere Fördermöglichkeiten gäbe. Diese werden jedoch seit Jahren von den Krankenkassen blockiert, die bei alternativen Fördermöglichkeiten ein Veto-Recht haben. Dieses Problem hat der Gesetzgeber aus den leidvollen Erfahrungen der Krankenhäuser aus der Vergangenheit für den Krankenhausstrukturfonds zwar gelöst – aber ausgerechnet denjenigen Krankenhäusern, für die künftig verschärfte gesetzliche Maßnahmen nach dem IT-Sicherheitsgesetz gefordert werden, bleibt die Förderung übergreifender Maßnahmen aus formalen Gründen versagt. Die DKG setzt sich dafür ein, dass es hierfür eine pragmatische und vor allem schnelle Lösung geben muss und hat entsprechende Gespräche mit den Beteiligten geführt. Klar ist: die Zeit spielt gegen die Krankenhäuser. Noch ist eine Lösung hierfür nicht in Sicht.

Eingangs haben wir nach der aktuellen Bedrohungslage gefragt, zwischendrin über aktualisierte gesetzliche Grundlagen für die IT-Sicherheit in Krankenhäusern und zuletzt über das KHZG gesprochen. Alles in allem: wo sehen Sie den größten Handlungs- und Investitionsbedarf für die IT-Sicherheit im Jahr 2021 in Kliniken und Krankenhäusern? Welche Empfehlungen gibt die DKG den Krankenhausbetreibern?

Holzbrecher-Morys: Da die Ausgangsbedingungen für Krankenhäuser im Bereich Digitalisierung und IT-Sicherheit teils sehr heterogen sind, ist auch die Frage nach dem konkreten Handlungsbedarf für jedes Haus unterschiedlich zu beantworten. Der Branchensicherheitsstandard der DKG versucht hier, nicht nur Antworten auf das WAS der umzusetzenden Maßnahmen zu geben, sondern auch Hinweise zum WIE – insbesondere einer Priorisierung der Maßnahmen, die sich an der Kritikalität der beteiligten Prozesse und Systeme im Hinblick auf die Patientenversorgung orientiert. Ohne Zweifel wird jedoch die geforderte Digitalisierung in den durch das KHZG priorisierten Tatbeständen massiven Einfluss auf die IT-Prozesse in den Krankenhäusern – und damit auf die Absicherung dieser Prozesse und Systeme – haben. Am Ende steht jedoch die Erkenntnis, dass auch beim Einsatz innovativster Sicherheitskonzepte mit künstlicher Intelligenz der Mensch der entscheidende Faktor sein wird: Egal ob als Verantwortliche für IT-Sicherheit im Krankenhaus, als Experten für den Betrieb der eingesetzten Systeme, aber auch als geschulte und alerte Mitarbeitende in den medizinischen Bereichen und der Pflege – es braucht engagiertes Personal, um die Herausforderungen, die Digitalisierung mit sich bringt, zu meistern.

Mit dem Patientendaten-Schutz-Gesetz (PDSG) vom Oktober 2020 hat der Gesetzgeber Krankenhäuser verpflichtet, ab dem 1. Januar 2022 nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen zu treffen. Was sollten Krankenhäuser tun, um fristgerecht Vorkehrungen zu treffen, die Störungen der Verfügbarkeit, Integrität und Vertraulichkeit vermeiden sowie um weitere Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu erreichen?  

Holzbrecher-Morys: Auch in dieser Frage ist der Branchensicherheitsstandard die Richtschnur, an der sich Krankenhäuser orientieren können, wenn es um die Umsetzung von IT-Sicherheit im Krankenhaus geht. Allerdings ist dieser Standard nicht leicht zu erfüllen, vieles hängt in der Umsetzung auch von den personellen und finanziellen Möglichkeiten der Krankenhäuser ab. Daher wird derzeit auch an Lösungen gearbeitet, die Krankenhäuser auf dem Weg zum Branchenstandard unterstützen sollen. Neben der Überarbeitung des Branchenstandards, der durch das BSI alle zwei Jahre erneut auf Eignung geprüft wird, sind diese Umsetzungshinweise eines der zentralen Themen im Kontext IT-Sicherheit für die DKG.

Zur Person

Dipl.-Inform. Markus Holzbrecher-Morys ist DKG-Geschäftsführer (IT, Datenaustausch und eHealth). Nach dem Informatik-Studium forschte Holzbrecher-Morys ab 2006 im universitären Umfeld mit dem Schwerpunkt der Weiterentwicklung neuroinformatischer Verfahren zur Biosignalanalyse. Seit 2008 ist er bei der Deutschen Krankenhausgesellschaft e. V. (DKG) u.a. für elektronische Datenaustauschverfahren der Krankenhäuser und den Bereich Krankenhaus-Informationstechnik verantwortlich, hier insbesondere für den technischen Datenschutz, IT-Risikomanagement sowie Informationssicherheit. Er ist Sprecher des Branchenarbeitskreises „Medizinische Versorgung“ im UP KRITIS. Seit April 2020 leitet er das Dezernat „IT, Datenaustausch und eHealth“ der DKG.

Autor: Arno Laxy, München

Profitieren Sie vom Expertenwissen rund um das KHZG! Melden Sie sich jetzt zur online Panel Discussion an: "Krankenhauszukunftsgesetz - die Förderung optimal nutzen" am 21. April, 10-11:45 Uhr. Sie ist organisiert vom Wiley Verlag und kostenfrei.