Für Verantwortliche in Kliniken ist das Schlagwort KRITIS mit grundlegenden Fragen verbunden. Insbesondere die Vorbereitung auf den schlimmsten Fall bedeutet für Entscheider tiefgreifende Recherche und Fachwissen zu verschiedensten Themen. Warum dabei das Thema Cybersecurity eine wichtige Rolle spielt, erläutert Gastautor Uwe Dieterich von Imprivata.
Gastbeitrag von Uwe Dieterich
Als im Sommer 2018 aufgrund der Dürre die Versorgung mit Benzin und anderen Gütern in Teilen Deutschlands kritisch wurde, gelangten wohl auch die letzten zu dem Schluss, dass die Vorbereitung auf Krisen immer wichtiger wird. Auch andere Bedrohungen wie Naturkatastrophen oder Cyberattacken stellen die Infrastruktur in Deutschland vor immer neue Probleme und sind insbesondere für essentielle Einrichtungen wichtige Faktoren für eine zukunftsfähige Planung.
In Deutschland sind die wichtigsten öffentlichen und privatwirtschaftlichen Einrichtungen unter dem Oberbegriff „Kritische Infrastrukturen“ – kurz KRITIS – zusammengefasst. Darunter fallen neben Unternehmen und Einrichtungen zur Energieversorgung und Telekommunikation auch Einrichtungen wie Krankenhäuser, die die medizinische Versorgung der Bürger zum Ziel haben. Institutionen, die sich zu KRITIS zählen dürfen, sind für die Versorgung der Bevölkerung essentiell und im Fall von Naturkatastrophen oder anderen unvorhersehbaren Ereignissen besonders wichtig. Ihre zuverlässige Betriebsfähigkeit muss daher immer sichergestellt sein. Nicht zuletzt aufgrund der immer höher werdenden Gefahr durch Cyberattacken oder menschliches Versagen bei immer komplexeren Systemen, müssen sich besonders Krankenhäuser mit sinnvollen Vorsichtsmaßnahmen auseinandersetzen. Da Fehler potentiell Gefahr für Leib und Leben bedeuten können, ist es verständlich, dass das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe besonders strenge Richtlinien entwickelt hat.
Krankenhausspezifische Anforderungen an KRITIS
Allgemein sind die Sektoren, die durch KRITIS abgedeckt werden, sehr vielfältig gesetzt und decken praktisch alle Bereiche des täglichen Lebens ab. Naturgemäß sind diese verschiedenen Bereiche vielfältig untereinander vernetzt und daher größtenteils interdependent. Fokussiert man sich in der Betrachtung auf das Gesundheitswesen, so sind für den regulären Betrieb von Krankenhäusern auch die Bereiche Transport und Verkehr, die Versorgung mit Gütern wie Wasser, Lebensmitteln und Energie, aber auch die Informations- und Kommunikationstechnologie, unabdingbar.
Insgesamt spielen Einrichtungen im Gesundheitswesen und Krankenhäuser auch innerhalb der KRITIS eine besonders wichtige Rolle. Fällt zum Beispiel das Internet aus, sind nicht direkt Leib und Leben von Patienten bedroht. Ähnliches gilt für einen Stromausfall oder kurzzeitige Engpässe bei der Lebensmittelversorgung. Im Fall von zu KRITIS zählenden Krankenhäusern, die den Schwellenwert der vollstationären Fallzahl von 30.000 Patienten im Jahr überschreiten, aber auch bei kleineren Einrichtungen, gestaltet sich ein Ausfall allerdings wesentlich gefährlicher für die Bevölkerung. Insbesondere Ereignisse wie ein Massenanfall von Verletzten oder Erkrankten, also Katastrophen, bei denen eine Vielzahl an Menschen medizinische Versorgung benötigen, setzen voraus, dass Krankenhäuser fehlerfrei funktionieren.
Auch innerhalb der Gesundheitsbranche bestehen Abhängigkeiten, deren Versagen den Ausfall des regulären Betriebes zur Folge haben können. So sind Krankenhäuser innerhalb der Gesundheitsbranche auch auf die reibungslose Zusammenarbeit mit Rettungsdiensten, Laboren, Apotheken und niedergelassenen Ärzten angewiesen. Doch auch hier enden die Abhängigkeiten, auf die beim Betrieb von KRITIS geachtet werden muss, nicht. Auch innerhalb des Krankenhauses selbst sind essentielle Versorgungslinien zu beachten, damit im Ernstfall der Betrieb aufrechterhalten werden kann. So sind einzelne Abteilungen im Krankenhaus wie die Küche oder die Verwaltung wichtig, damit alle Funktionen und Leistungen ständig verfügbar bleiben. Einen Spezialfall stellt hierbei die immer wichtiger werdende IT im Krankenhaus dar.
Spezialfall IT und Telekommunikation
Während die Digitalisierung in anderen Gesellschaftsbereichen bereits einen essentiellen Bestandteil ausmacht, sind Krankenhäuser vor allem in den letzten Jahren mehr und mehr auf digitale Infrastrukturen umgestiegen. Vor allem mit Blick auf KRITIS sind Schritte hin zur Digitalisierung in Krankenhäusern allerdings mit einer tiefgehenden Auseinandersetzung mit den jeweiligen Systemen verbunden. Für den Ernstfall müssen IT und Telekommunikation innerhalb des Krankenhauses auch bei Stromausfall noch funktionieren und für eine Situation, in der es zum Totalausfall der IT und Kommunikation kommt, sollten zudem Redundanzsysteme wie die analoge Verarbeitung mit Papierformularen vorliegen. Allgemein sollten die IT-Systeme im Krankenhaus aber von Fachleuten betreut werden, die auf alle Eventualitäten achten.
Hinzu kommt, dass bei Krankenhäusern die gesamten Anforderungen an die IT-Infrastruktur noch komplexer sind als beispielsweise in der Wasserversorgung. Neben dem klinischen Personal, das für den Betrieb des Krankenhauses essentiell ist, müssen in solchen Einrichtungen auch eine Vielzahl anderer Personengruppen Zugang zu Netzwerkleistungen erhalten, die keine medizinischen Leistungen erbringen. So sind Verwaltungsmitarbeiter genauso im System integriert, wie beispielsweise Medizinstudenten oder externe Vertragspartner. Diese sollten zur Einhaltung des Datenschutzes unterschiedliche Befugnisse in der IT haben, was für Administratoren und Planer einen wesentlich höheren Aufwand bei der Umsetzung funktionierender und verlässlicher Systeme bedeutet als in anderen KRITIS-Einrichtungen.
Insgesamt muss zudem unterschieden werden, ob die jeweiligen Dienste im Krankenhaus selbst abgewickelt werden, also über ein Intranet funktionieren, oder eine Verbindung zum Internet benötigen. Zu Letzterem zählt unter anderem die Nutzung von Cloud-basierten Anwendungen. In jedem Fall müssen Krankenhäuser darauf achten, dass mit dem Internet verknüpfte Systeme durch ausreichende Cybersecurity-Maßnahmen geschützt sind. Darunter fallen zum Beispiel Firewalls und Virenscanner.
Schutz vor unberechtigtem Zugang ebenfalls wichtig
Dabei fällt unter den Aspekt der Cybersecurity nicht zwangsweise nur die Abschirmung von Angriffen von außen. Auch intern sollte die IT-Infrastruktur von Krankenhäusern sicher sein, nicht zuletzt, um Verstöße gegen die Datenschutzgrundverordnung zu verhindern. Unversperrte Arbeitsstationen sind beispielsweise auch in Krankenhäusern ein Einfallstor für mögliche Beschädigungen der IT-Infrastruktur. Gleichzeitig sollte das Krankenhauspersonal vor allem in Krisensituationen immer unkompliziert Zugang zu wichtigen digitalen Dokumenten und Programmen bekommen. Eine praktikable Lösung stellt also eine Gratwanderung zwischen notwendiger Sicherheit zum Erhalt des Zugangs zu IT-Systemen und der Abwehr vor böswilligen Angriffen dar.
Funktionierende und in der Praxis bewährte Lösungen sind hier beispielsweise Single Sign-On-Lösungen. Durch die Ausstattung von Ärzten und Pflegepersonal mit Badges oder Token zur zweifelsfreien Authentifizierung wird gewährleistet, dass nur diese Zugriff auf die jeweilige Arbeitsstation haben. Die zusätzliche automatische Sperrung von Arbeitsstationen nach einer vordefinierten Zeit ohne Aktion oder, wenn ein verbundenes mobiles Endgerät sich aus dem Zugangsbereich entfernt, sichert diese Lösung zusätzlich ab. Potentiellen Angriffen auf die IT-Infrastruktur innerhalb des Krankenhauses wird so effektiv ein Riegel vorgeschoben. Außerdem werden die IT und Telekommunikation von Krankenhäusern, die zu KRITIS gehören, effektiv vor internen Bedrohungen geschützt.
Das Gesamtbild nie außer Acht lassen
Betrachtet man nur einen Teilausschnitt der Vorbereitung eines Krankenhauses auf potentielle Gefahren- und Katastrophensituationen, kann eine Lösung durchaus auch mit vergleichsweise einfachen Mitteln erreicht werden. Wichtig ist, dass man sich in jedem Fall tiefgreifend mit der jeweiligen Problematik auseinandersetzt. Das gilt selbstverständlich nicht nur für die im Krankenhaus genutzten IT- und Kommunikationssysteme. Auch die anderen Teilbereiche der Versorgung von Patienten sowie des Krankenhauses mit wichtigen Gütern wie Wasser müssen dezidiert analysiert und überprüft werden. Schlussendlich ist aber auch dies nur ein Teilbereich der Auseinandersetzung mit KRITIS. Was auf den ersten Blick daher übermäßig kompliziert wirkt und hohe Hürden setzt, hat nur ein übergeordnetes Ziel: Den Schutz von Leib und Leben.