Der Druck auf die IT-Verantwortlichen in Krankenhäusern wächst. Cyberangriffe auf Infrastruktur und Patientendaten, dringender Modernisierungsbedarf vor dem Hintergrund anstehender Digitalisierungsprojekte. Dazu drängeln die Behörden: KRITIS Audits laufen bei vielen Häusern an oder stehen bevor. Die Einführung der Digitalen Gesundheitskarte ist für Januar 2022 bindend. Keine einfache Situation.
„Angespannt bis kritisch“ ist die Lage im deutschen Gesundheitssystem, heißt es im BSI-Bericht zur Lage der IT-Sicherheit. „Erpressung mit Patientendaten? Cyberangriffe für Ärzte zunehmend ein Problem“ titelte die Ärztezeitung im Oktober anlässlich der Veröffentlichung des BSI.
„Und vor allem für Krankenhäuser“ möchte man ergänzen, denn im laufenden Jahr ist vieles – durchaus öffentlichkeitswirksam – passiert. Größere Kliniken berichten von 50.000 bis 60.000 Angriffen pro Jahr, die allein auf das Netzwerk direkt zielen. Denn gerade die Patientendaten bilden für Cyberkriminelle ein attraktives Angriffsziel. „Im Darknet können Patientendatensätze über Crypto Währung gekauft werden“, erklärt Andreas Helling, Manager Systems Engineering bei Extreme Networks. Wobei es natürlich auch attraktiv ist, eine Klinik direkt abzukassieren, ohne die Daten abziehen zu müssen.
Aus diesem Grund steht IT-Security ganz oben auf der Aufgabenliste vieler IT-Verantwortlicher in deutschen Krankenhäusern. Ab 30.000 vollstationären Fällen pro Jahr gilt ein Krankenhaus als kritische Infrastruktur (KRITIS) und muss besondere Vorkehrungen für die IT-Sicherheit treffen. Weil viel passiert ist, hat in den großen Häusern die Zahl der KRITIS-Audits zugenommen, erklärt Andreas Helling. Mit seinem Kollegen Michael Schwanke-Seer, als Key Account Manager Healthcare bei Extreme Networks, unterstützt er IT-Verantwortliche in Krankenhäusern dabei, ihre Digitalisierungs-Aufgabenliste abzuarbeiten.
KRITIS – bald auch kleinere Häuser betroffen
Der Maßnahmenkatalog nach einem Audit kann umfangreich sein. „Einige Verantwortliche berichten, dass sie ihr gesamtes Rechenzentrumskonzept kurzfristig überarbeiten mussten“, ergänzt Michael Schwanke-Seer. „Ganz Europa schaut bei KRITIS nach Deutschland und die Kleinen auf die Großen“, weiß Andreas Beiner, Niederlassungsleiter der AirITSystems in München. Der IT-Spezialist kennt die Szene gut. Er hat täglich mit IT-Verantwortlichen aus Krankenhäusern zu tun. Sein Unternehmen – ein Joint Venture der Flughäfen Hannover und Frankfurt ist auf den IT-Betrieb spezialisiert. Eine wachsende Kundengruppe sind Krankenhäuser und Klinikverbunde. Eine Ausweitung der KRITIS-Kriterien auch auf kleinere Häuser sei mittelfristig absolut denkbar. Viele seiner Ansprechpartner treffen bereits Vorkehrungen, den IT-Beitrieb ihrer Häuser „compliant“ zu gestalten.
Zurück auf manuellen Betrieb – eine Illusion
Immer wieder ist zu lesen, Krankenhäuser seien nach einem Hackerangriff „zurückgekehrt zum analogen Betrieb“. Eine höchst problematische Aussage, findet Andreas Helling: Dass es gelinge, die Grundversorgung aufrecht zu erhalten, sei plausibel, „denn Ärzte und Pflege sind extrem einfallsreich, um das Überleben ihrer Patienten zu sichern“.
„Einen auch nur mittelfristig wirtschaftlichen Betrieb halte ich bei dem heutigen Grad der Digitalisierung und beim Einsatz elektronischer Lösungen und Geräte für eine Illusion“, erklärt der Spezialist und nennt ein Beispiel: Die Verteilung von Notambulanzfällen. Fällt der Bildschirm in einem Krankenhaus aus, wird es im Leitsystem als nicht verfügbar geführt und erhält keine Fälle mehr zugeteilt. „Der Schaden ist unmittelbar in Geld darzustellen.“
Nicht IT-Sicherheit allein
„Wir bemerken in allen Krankenhäusern, in die wir kommen, einen erheblichen Projektstau“, beobachtet Andreas Beiner von AirITSystems. Denn auf die Verantwortlichen prasseln Anforderungen und Neuerungen von allen Seiten ein: Die elektronische Gesundheitskarte etwa. Oder Ärzte und Patienten, die selbstverständlich ein WLAN erwarten, das überall funktioniert. „Ärzte wollen natürlich mit ihren Tablets ständig online sein. Wissen aber nicht, was für ein großer IT-Aufwand dahintersteckt“.
Dazu kommt Corona-bedingt erhöhte Flexibilität: Personal muss schnell umgeschichtet werden, aus normalen Stationen werden Intensivstationen. „Und Geschäftsführern und Chefärzten ist nicht immer klar, wie wichtig eine funktionierende IT-Infrastruktur für alle diese Anforderungen ist“, erklärt Andreas Beiner. Und viele IT-Verantwortliche – gerade in kleineren Häusern – tun sind schwer, auf Augenhöhe zu kommunizieren: „Häufig unterstützen wir die IT bei der internen Lobbyarbeit.“
Strukturiertes Vorgehen ist unerlässlich
„Qualifizierte Unterstützung und die Sicht von außen ist absolut gefragt und hilfreich“, berichtet Beiner aus der Praxis. Seine Experten unterstützen die IT-Leiter dabei, den IST-Zustand zu bestimmen und anstehende IT-Projekte zu definieren und zu priorisieren.
Dabei könne es nicht das Ziel sein, „alles auf einmal auszutauschen“. Viel wichtiger sei die Fragestellung: „Wie verbaue ich mir nichts und halte mir die richtigen Optionen offen.“
„Die IT in den Krankenhäusern ist immens wichtig,“ resümiert Michael Schwanke-Seer, „doch allzu oft werden diese Bedürfnisse aufgrund anderer, drängenderer Themen wie Pandemie, Pflegenotstand etc. nach hinten gedrängt. Die IT bildet jedoch das Rückgrat und die Basis eines jeden Krankenhauses, gleich welcher Digitalisierungsgrad vorhanden wurde: keine OP ohne IT!“
Der Beitrag basiert auf einem Expertentalk zum Thema IT im Gesundheitswesen, dem 3KV Netzwerk Talk. Die Aufzeichnung des vollständigen Gesprächs finden Sie hier: https://3kv.de/unternehmen/3kv/3kv-netzwerk-talk-healthcare