IT-Sicherheitsgesetz 2.0 : Bessere IT-Sicherheit in Krankenhäusern?

Welch eine Zeit für Politik und Krankenhäuser. Alles dreht sich allein um das eine Thema. Keine Nachrichtensendung vergeht, in der es nicht um das Virus geht. Da verwundert es wenig, wenn andere wichtige Themen, wie das am 16. Dezember 2020 im Kabinett verabschiedete IT-Sicherheitsgesetz 2.0, mit seinen Auswirkungen auf die Krankenhauslandschaft weitgehend unbeachtet bleiben.

Dabei zählt der Sektor Gesundheit bereits nach Definition des ersten IT-Sicherheitsgesetzes aus 2015 zu den acht entscheidenden kritischen Infrastrukturen, kurz KRITIS. Darunter fallen die rund 120 größten Krankenhäuser und Uni-Kliniken Deutschlands, die jeweils mehr als 30.000 vollstationäre Behandlungsfälle im Jahr aufweisen. Ihre IT-Infrastruktur galt es gemäß der Vorgabe des Gesetzes besonders zu schützen, um gefährliche Auswirkungen auf die medizinische Versorgungslage der Bevölkerung zu verhindern.

Mehrere Ausfälle seit 2016 haben schmerzvoll gezeigt: Derartige Auswirkungen sind nicht nur ein theoretisches Risiko. Große Krankenhäuser, Klinikverbünde und eine komplette Uni-Klinik wurden in Deutschland bereits Opfer von Cyberangriffen.

Intersektorale Vernetzung als neue Herausforderung

Doch kann ein Gesetz die Krankenhäuser tatsächlich vor IT-Ausfällen oder Hackerangriffen schützen? IT-Experten in den Kliniken warnen seit Langem vor diesem Risiko, das mit jedem weiteren digital abgebildeten Behandlungsprozess steigt. Dabei schreitet die Digitalisierung des Gesundheitswesens im hohen Tempo unaufhaltsam voran. Haben elektronische Patientenakten, Pflegedokumentationssysteme und komplexe Bildsysteme mittlerweile alle Kliniken tief durchdrungen, beginnt mit dem pflichtgemäßen Anschluss an die Telematikinfrastruktur ab 2021 für alle Krankenhäuser der Einstieg in die intersektorale Vernetzung. Krankenhäuser, Krankenkassen, Praxen und andere Leistungsträger werden zukünftig elektronisch miteinander kommunizieren, Briefe und Faxe haben ausgedient.

Die erste Ausgabe des IT-Sicherheitsgesetzes hatte die zu KRITIS zählenden Krankenhäuser deshalb bereits 2016 dazu verpflichtet, ihre IT-Organisation gemäß dem aktuellen Stand der Technik auszurichten und dieses in regelmäßigen Audits nachzuweisen.

Anforderungen steigen, neue Lösungen helfen

Mit dem nun verabschiedeten IT-Sicherheitsgesetz 2.0 werden die Anforderungen ein weiteres Mal nach oben geschraubt. So könnten Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zukünftig die Auswahlentscheidung für ärztlich und pflegerisch genutzte Programme mitbestimmen, neben Funktionalität und ansprechender Benutzeroberflächen gewinnen Sicherheitserwägungen eine zunehmende Rolle. Das kann man durchaus als Vorteil werten – insbesondere aus Sicht des Patienten.

Auch genügen Virenscanner und Firewall allein nicht mehr, um die immer raffinierter werdenden Einfallstore für Cyberangriffe sicher zu verschließen. Das genaue Überwachen und Erkennen von Cyberangriffen wird deshalb vom aktuellen Gesetz in sehr viel intensiverer Form als bisher gefordert. Doch alle Technik ist nur so gut, wie in den Krankenhäusern dafür ausreichend qualifiziertes Personal bereitsteht. So entstehen aktuell vielerorts völlig neue Ausbildungsberufe wie zum Beispiel die Fachkraft für digitale Gesundheit oder der eHealth- und Telemedizin-Berater.

Fehlt qualifiziertes Personal, können Teile von Sicherheitsfunktionen mittlerweile in Servicecenter ausgelagert werden, jedoch geht damit oftmals wichtiges Know-how verloren. Auf der anderen Seite kommen zunehmend Programme auf den Markt, die es dank Künstlicher Intelligenz dem Administrator einfacher machen, abnormes Verhalten in seinem Netzwerk zu erkennen und mit wenig personellem Aufwand automatisiert abzuwehren. Bislang waren solche intelligenten Lösungen für viele Häuser schlicht zu teuer.

KHZG hilft vor allem kleineren Häusern

Doch in der Auseinandersetzung mit der fortschreitenden Digitalisierung und der Abwehr von Computergefahren bekommen die Krankenhäuser jetzt unverhofft Unterstützung. Und dazu trägt ausgerechnet der vermeintliche Hauptfeind Nummer eins, das Coronavirus, bei. Anlässlich der für die Krankenhäuser daraus entstandenen Aufwände wurde das Krankenhauszukunftsgesetz (KHZG) auf den Weg gebracht. Im KHZG sind Fördermittel aus einem drei Milliarden Euro umfassenden Krankenhauszukunftsfonds vorgesehen.

Neben dem Ausbau der Digitalisierung sind diese Mittel explizit auch für die Verbesserung der IT-Sicherheit in deutschen Krankenhäusern vorgesehen. Und das bewusst für alle Krankenhäuser, also auch für die zahlreichen kleineren, die nicht zur kritischen Infrastruktur gehören. Das ist grundsätzlich sehr zu begrüßen, sind gerade kleinere Häuser in besonderer Weise gefährdet, da ihnen für Ihre IT-Ausstattung nur geringe Mittel und wenig Personal zur Verfügung stehen. Beides lässt sich nun im Rahmen geeigneter Projekte über das KHZG finanzieren.

Fast könnten also alle Krankenhäuser zufrieden sein, wäre dem Gesetzgeber im Hinblick auf die KRITIS-Häuser beim KHZG nicht eine kleine aber folgenschwere Ungenauigkeit passiert. So ist der Hauptförderpunkt im KHZG zum Thema IT-Sicherheit, das Fördervorhaben 10 unter dem Paragraphen 19, ausgerechnet nur den kleineren Kliniken vorbehalten, die nicht unter KRITIS fallen. Dieses geschah in der Annahme, die größeren Krankenhäuser würden bereits aus dem Krankenhausstrukturfonds, der im Pflegepersonal-Stärkungsgesetzes (PpSG) im November 2018 neu aufgelegt wurde, Mittel für ihre IT-Sicherheit erhalten. 

Große Häuser gehen leer aus

Die Mittel aus diesem Strukturfonds stehen jedoch unter dem Vorbehalt der Zustimmung der Krankenkassen. Diese sahen das Geld in fast allen Bundesländern besser in andere, die Krankenhausstruktur verschlankende, oft betteneinsparende Maßnahmen investiert. So gehen die meisten der rund 120 großen KRITIS-Krankenhäuser, was die finanzielle Unterstützung ihrer IT-Sicherheit angeht, aktuell doppelt leer aus. Erst bekommen sie dafür von Bund und Ländern keine Gelder aus dem Krankenhausstrukturfonds, weil diese anderweitig verplant wurden. Nun bekommen sie dafür keine Gelder aus dem Krankenhauszukunftsfonds, weil ihnen in der Theorie das Geld dafür aus dem Strukturfonds zustehen würde.

Im Interesse der Patienten kann nur gehofft werden, dass der Gesetzgeber diesen Missstand schnellstmöglich behebt, bevor Computerausfälle wegen fehlender Mittel in den KRITIS-Häusern das Leben und die Gesundheit von Menschen gefährden. 

Thorsten Schütz ist Leiter IT und Betriebsorganisation am Klinikum Itzehoe und stellvertretender Vorsitzender des Bundesverbands der Krankenhaus-IT-Leiterinnen/Leiter KH-IT e.V.