HB Magazin 2 2022

TITEL

Es geht langsam los, der Zeitensprung ist dann umso heftiger: Eben nochmitten in der Digitalisierung, findet sich das Lukaskran kenhaus in Neuss im Jahr 2016 plötzlich auf dem Entwicklungsstand der Schwarzwaldklinik wieder. Der Klinikbetrieb ist nur noch mit Stift und Papier zu bewältigen. Was mit ungewöhnlich langsamen Geräten in der einen Abteilung beginnt, mit Druckerproble men oder Fehlermeldungen der Planungssoftware in der anderen, stellt sich bald als ausgewachsener Cyber-Angriff heraus, der im Krankenhausnetzwerk Daten verschlüsselt. Umdie sensiblen Patientendaten zu schützen und weitere Schäden zu verhindern, fährt das Krankenhaus fast die gesamte IT herunter. Die Folgen sind drastisch – die Notaufnahme wird ausgesetzt, es ist kein Zugriff auf digitale Patientenakten möglich, Medikamente können nicht mehr bestellt und die Strahlentherapie für Krebspatienten muss aus gesetzt werden. Beim zuständigen Landeskriminalamt fragt man sich, ob eine Mordkommission eingerichtet werden muss, falls durch die Ransomware-Attacke und deren Auswirkungen auf die Patientenversorgung ein Mensch sterben sollte. Vom Vorzeige krankenhaus der Digitalisierung ist das Lukaskrankenhaus nun selbst zu einem Notfall geworden. Cyber-Angriffe bedrohen inzwi schen längst regelmäßig auch die Strukturen im Gesundheitswesen und gefährden im Ernstfall auch Menschenleben. Nicht nur Krankenhäuser, sondern auch Arztpraxen sind Opfer von Attacken. Hier und da werden die Gefahren offensichtlich trotzdem noch immer unterschätzt. inmal zu gewinnen, Verteidiger muss ich das immer“

kenhäuser mit 30 000 vollstationären Patienten pro Jahr – als Teil der kritischen Infrastrukturen – die Verpflichtung, technische und organisatorische IT-Sicherheitsmaßnahmen nach dem „Stand der Technik“ umzusetzen und diese dem BSI alle zwei Jahre nachzu weisen. Doch nicht nur KRITIS-Häuser erfüllen eine wichtige Funk tion für die Bevölkerung, weshalb das Aufrechterhalten der stati onären medizinischen Versorgung unerlässlich ist. Das trifft auch auf Einrichtungen unterhalb des KRITIS-Schwellenwertes zu. Auch diese müssen sich mit der Bedrohung durch Cyberkriminalität aus einandersetzen. IT-Sicherheit rückt also auch hier immer mehr in den Fokus. Mit dem Krankenhauszukunftsgesetz (KHZG) von 2020 richtete der Bund sich deshalb an diese Zielgruppe. Mit dem Investitions programm für Krankenhäuser sollte die Digitalisierung vorangetrie ben werden. Mindestens 15 Prozent der jeweiligen Fördersumme für bewilligte Projekte mussten dabei für die Verbesserung der IT Sicherheit verwendet werden. Die Idee: Sicherheit soll bei der Di gitalisierung von Anfang an mitgedacht werden. Seit Januar diesen Jahres gilt mit dem IT-Sicherheitsgesetz 2.0, dass auch alle Nicht KRITIS-Häuser den branchenspezifischen Sicherheitsstandard für Gesundheitsversorgung im Krankenhaus erfüllen müssen. Zwar entfällt bei ihnen die Nachweisplicht gegenüber dem BSI. Scha densersatzforderungen und Haftungsrisiken aber treffen die Betrei ber trotzdem, falls ein Sicherheitsvorfall durch nicht ausreichend aufgerüstete IT-Technik eintritt. Das kann teuer werden. Bislang konnten Bußgelder vonmaximal 100 000 Euro erhoben werden, mit der Gesetzesänderung sind es nun bis zu 20 Millionen Euro. Und die niedergelassenen Ärztinnen und Ärzte? Arztpraxen zählen nicht zur kritischen Infrastruktur, aber Informationssicher heit geht auch sie etwas an: Die Kommunikation mit Patienten

Die Art und Weise, wie sich im Frühjahr 2016 die Ransomware im Krankenhausnetzwerk ausbreitet, ist damals noch unbekannt. Es dauert Tage, bis das Lukaskrankenhaus wieder im Normalbetrieb laufen kann. Menschen kommen nicht zu Schaden. Aber die Öffent lichkeit verfolgt das Geschehen aufmerksam. Seitdem werden im mer wieder Cyber-Angriffe bekannt, die Krankenhäuser, aber auch Praxen undweitere Akteure des Gesundheitswesens treffen. Zuneh mende Digitalisierung und Vernetzung sorgen nicht nur für mehr Effizienz und medizinischen Fortschritt. Es zeigt sich, dass diese auch Risiken bergen. Kein IT-System ist absolut sicher, wenn auch konsequente Sicherheitsmaßnahmen die Wahrscheinlichkeit eines erfolgreichen Angriffes minimieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet in den vergangenen Jahren einen Anstieg von IT-Sicherheitsvorfällen bei registrierten Betreibern der kritischen Infrastrukturen (KRITIS). Während eine erfolgreiche Attacke von Cyber-Kriminellen in der Industrie oder im produzierenden Gewerbe zu beträchtlichen Schäden, finanziellen Einbußen und Betriebsausfall führen kann, stehen im Gesundheits wesen auch Menschenleben auf dem Spiel. Wie also steht es um die Informationssicherheit im Gesundheitswesen, wo ein Großteil der Prozesse heute ohne Digitalisierung kaum vorstellbar ist – sind Pra xen und Krankenhäuser ausreichend gewappnet, um Schaden von der Praxisroutine sowie den Patientinnen und Patienten abzuweh ren, um sensible Daten zu sichern? Kritische Infrastruktur mit besonderer Verantwortung Aufgrund ihrer in vielerlei Hinsicht enormen Verantwortung müssen Einrichtungen des Gesundheitswesens besondere Sorg falt bei der Absicherung ihrer IT-Systeme walten lassen. Seit dem BSI-Gesetz und 2015 mit dem IT-Sicherheitsgesetz haben Kran

7