Das Bundesamt für Sicherheit in der Informationstechnik hält den von der DKG vorgelegten „Branchenspezifischen Sicherheitsstandard für Krankenhäuser“ (B3S) für geeignet.

Die „Feststellungsurkunde“ wurde am 22. Oktober von BSI-Präsident Arne Schönbohm an den Hauptgeschäftsführer der Deutschen Krankenhausgesellschaft Georg Baum überreicht. Betreiber „Kritischer Infrastrukturen“ aus dem Kliniksektor, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, müssen ihre Informationstechnologie nach dem Stand der Technik absichern und können dies nun anhand des B3S umsetzen.

BSI-Präsident Arne Schönbohm erklärte: „Krankenhäuser und viele andere Einrichtungen des Gesundheitswesens tragen in mehrfacher Hinsicht eine besondere Verantwortung für ihre IT-Netzwerke. Der Schutz sensibler Patientendaten muss ebenso zuverlässig gewährleistet sein wie die zuverlässige Versorgung von Patienten mit Unterstützung modernster Computertechnologie. Vor diesem Hintergrund bietet der branchenspezifische Sicherheitsstandard wichtige Rahmenbedingungen, unter denen die Cyber-Sicherheit im Gesundheitswesen weiter erhöht werden kann.“

Baum stellte fest: „Krankenhäuser nehmen ihre Verantwortung beim Thema IT-Sicherheit ernst. Mit der jetzt erfolgten Eignungsfeststellung haben diejenigen Krankenhäuser, die als kritische Infrastrukturen gelten, Sicherheit, dass die gesetzlichen Anforderungen bei Anwendung dieses Standards erfüllt werden.“ IT-Sicherheit sei letztlich auch Patientensicherheit. Die DKG empfiehlt daher allen Krankenhäusern, vor dem Hintergrund der auch politisch vorangetriebenen Digitalisierung im Gesundheitswesen, die Sicherheit der Informationen und Systeme zu gewährleisten. Der vorliegende branchenspezifische Sicherheitsstandard sei dafür eine wichtige Grundlage.“

Nach umfangreichen Vorarbeiten hatte sich der Vorstand der DKG im vergangenen Jahr dafür ausgesprochen, gemeinsam mit Fachexperten aus dem Bereich der Informationssicherheit und in Abstimmung mit dem BSI einen Branchensicherheitsstandard für deutsche Krankenhäuser zu erarbeiten. Dieser Sicherheitsstandard beschreibt Maßnahmen, wie die an der Versorgung der Patienten genutzten Prozesse und Systeme vor dem Hintergrund der branchenspezifischen Gefährdungslage im Krankenhaus geschützt werden, um die Verfügbarkeit, Integrität und Vertraulichkeit der Informationen zu gewährleisten und damit die IT-Sicherheit in den deutschen Krankenhäusern zu verbessern.

Die DKG hat parallel zur Erstellung des Sicherheitsstandards auch eine Studie in Auftrag gegeben, die den Umsetzungsaufwand der erforderlichen Maßnahmen in den Krankenhäusern ermitteln soll. Demnach werden für die Bereiche Investition, Betrieb und Personal für ein Krankenhaus mit 30.000 vollstationären Fällen im Jahr initiale Kosten in der Größenordnung von 1,5 bis 2 Mio. € erwartet, in den Folgejahren ist mit jährlichen zusätzlichen Belastungen in der Größenordnung von ca. 500.000 bis 600.000 € zu rechnen.

„Mit Blick auf die Dimension der Budgets, die den Krankenhäusern für IT insgesamt zur Verfügung stehen, ist das eine erhebliche zusätzliche Belastung, die nicht aus der Substanz heraus gestemmt werden kann“, so DKG-Hauptgeschäftsführer Georg Baum.

Neben den finanziellen Auswirkungen besteht eine besondere Herausforderung in der Gewinnung des dafür notwendigen qualifizierten Fachpersonals. Quer durch alle Branchen zeigt sich der Bedarf an entsprechend ausgebildeten Fachkräften. Doch gerade dort, wo infolge möglicher Auswirkungen auf die Patienten die Verantwortung für die Sicherheit der Systeme besonders hoch ist, geben die finanziellen Rahmenbedingungen der Krankenhäuser nicht genügend Spielraum, um im Wettbewerb mit anderen Branchen die erforderliche Personalausstattung zu realisieren.