Die Laune von Markus Holzbrecher-Morys war schon mal besser. „Zurzeit müssen wir einfach zu viele Kämpfe ausfechten“, stellt der Geschäftsführer des Dezernats III für IT, Datenaustausch und eHealth bei der Deutschen Krankenhausgesellschaft e.V. in Berlin ernüchtert fest. Aktuell wirbelt Corona den Alltag der Krankenhäuser mächtig durcheinander und erschwert den Krankenhäusern zusätzlich die Entwicklung künftig gesetzlich geforderter Sicherheitsstandards. „Corona, das KrankenhauszukunftsgesetzGesetz zur finanziellen Förderung der Digitalisierung von Krankenhäusern … mehr erfahren sowie die Änderungen im § 75c SGB V zusammen sind mindestens eine Anforderung zu viel“, sagt der Klinik-Experte. Er befürchtet, dass der erhebliche tägliche Handlungsdruck zu einer schlichten Überforderung der Krankenhäuser führen könne. Dabei begrüßt er die Regelung grundsätzlich: „IT-Sicherheit ist ja auch Patientensicherheit. Aber die Umsetzungsfrist ist aus unserer Sicht mindestens ein Jahr zu früh angesetzt.“
Nach § 75c sind Krankenhäuser ab dem 1. Januar 2022 verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.
Umgesetzt werden kann dies zum Beispiel mit dem branchenspezifischen Sicherheitsstandard B3S für Kliniken, den die Deutsche Krankenhausgesellschaft entwickelt hat. „Darin wird beschrieben, wie Krankenhäuser die kritische Dienstleistung – die vollstationäre Patientenbehandlung – sicherstellen können. Das ist alles andere als eine Feigenblattlösung und schon für die 120-180 KRITIS-Kliniken sehr herausfordernd, für die verschärfte Sicherheitsanforderungen gelten. Wichtig ist jetzt: Es müssen alle Kliniken – auch die mit weniger Ressourcen und Investitionsfinanzierung – in die Lage versetzt werden, diesen gestiegenen Anforderungen gerecht zu werden“, so Holzbrecher-Morys.
Wacklige Förderungen
Bei der finanziellen Unterstützung der notwendigen Maßnahmen könne das Krankenhauszukunftsgesetz grundsätzlich einiges bewirken. Bei darauf basierenden Förderungen sind 15 Prozent der Fördersummen für IT-Sicherheit vorzusehen. Zusätzlich gibt es noch den „Fördertatbestand 10“ der speziell auf die Verbesserung in der IT-Sicherheit gemünzt ist. „Der steht allen Krankenhäusern offen, außer den kritischen Infrastrukturen“, weiß Holzbrecher-Morys. Im Krankenhaus-Strukturfonds werden zudem bestimmte Anpassungen in Kliniken gefördert, etwa bei Krankenhauszusammenlegungen.
Bloß – derzeit gibt es da ein größeres Problem: Die Krankenkassen haben ein Vetorecht beim ‚Krankenhausstrukturfonds 2’. „In vielen Bundesländern haben die Krankenkassen diese Anträge bislang weitgehend verhindert – lediglich eine einstellige Anzahl wurde bis heute bewilligt“, bemängelt Holzbrecher-Morys die wackligen Förderungen. Und klärt auf: „Die Regelung ist nämlich so: Wer theoretisch Geld aus dem Krankenhausstrukturfonds 2 bekommen könnte, bekommt nichts aus dem Zukunftsfonds – einzige Ausnahme sind die Uni-Kliniken. Das führt dazu, das viele Kliniken für IT-Sicherheit weder aus dem einen noch aus dem anderen Topf Geld bekommen – eine absurde Situation. Mit der Veröffentlichung des Krankenhauszukunftsgesetzes wurde das allen klar. Seitdem bemühen wir uns, das Problem zu beseitigen, aber bisher gibt es noch keine Lösung dafür.“
Ein Beispiel: Im Sicherheitsgesetz 2.0 werden unter anderem Intrusion Detection Systeme (IDS) zur Einbruchssicherung bei Kliniksystemen vorgeschrieben. Das ist eine andere Hausnummer als nur eine Firewall. IDS sind finanziell sehr aufwändig, aber auch personalintensiv. „Das hätte man als KRITIS-Klinik bezuschussen lassen können über den Fördertatbestand 10. Das geht aber nicht wegen des Krankenhausstrukturfonds“, moniert Holzbrecher-Morys. „Und weil die Krankenkassen sich sperren, gehen die meisten Kliniken leer aus. Dabei gehen wir davon aus, dass mehr oder weniger alle KRITIS-Kliniken diese Anträge gestellt haben. Das ist eigentlich nicht haltbar, dass ausgerechnet die KRITIS-Kliniken hier von der Förderung abgeschnitten werden.“
Engpass Fachpersonal
Dabei ist die mangelnde finanzielle Unterstützung nicht mal das Schlimmste. „Selbst wenn sich bei der Finanzierung noch eine Lösung finden würde, woher die Kliniken das dafür notwendige Fachpersonal rekrutieren sollen, ist offen. Genau das ist das Hauptproblem“, legt Holzbrecher-Morys den Finger in die Wunde. „Wir können zwar beschreiben, was zu tun ist für die IT-Sicherheit. Was wir aber nicht von heute auf morgen leisten können, ist die personelle Ausstattung, denn da stehen wir mit dem Rest der Wirtschaft in Konkurrenz. Darüber hinaus tragen die Beschäftigten im Krankenhaus eine hohe Verantwortung – es geht im Zweifelsfall nämlich um Menschenleben, die davon abhängen.“
„Damit nicht genug“, sagt Joachim Reinke, Medizintechniker und Trainer, Mitgründer und -geschäftsführer der einfachISO GmbH in Berlin, „alle Klinik-Mitarbeiter müssen lückenlos für das Thema sensibilisiert und entsprechend geschult werden. Genau dafür haben die Krankenhäuser aber kaum Ressourcen, eher nur bescheidene finanzielle Mittel und wenig Erfahrung. Dennoch müssen sie das umsetzen.“
Vor dieser Herausforderung steht zum Beispiel Benjamin Harfst, Leiter der EDV-Abteilung der Klinikum Bad Bramstedt GmbH. Er ist verantwortlich für fünf Systemadministratoren und vier Anwendungsbetreuer, die ihn bei seiner Arbeit unterstützen. Die IT-Sicherheitsschulungen, die jeder der 1000 Klinikmitarbeiter einmal im Jahr absolvieren muss, führt er selber durch. „Da werden die größten IT-Sicherheitskriterien unterrichtet von Phishing bis zum sicheren Umgang mit Daten und Accounts“ berichtet Harfst.
Überbordende Systemlandschaften
Zu den größten Hürden und Herausforderungen, die auf dem Weg zur Erfüllung der gesetzlichen Anforderungen zu meistern sind, gehört technologisch die Heterogenität der eingesetzten Systeme. „Das ein großes Thema: Bis zu 5000 – 6000 verschiedene Systeme sind bei großen Kliniken keine Seltenheit“, weiß Markus Holzbrecher-Morys. „Wenn man im Rahmen einer notwendigen Bestandsaufnahme alle Systeme und Prozesse anschaut und prüft, was da vorhanden ist und wie diese Systeme abgesichert werden müssen, sowie die unterschiedliche Verantwortlichkeit der jeweiligen Betreiber und Hersteller dieser Systeme, bei denen fast jeder beim Thema Verantwortung mit dem Finger auf den anderen zeigt – wird die Herausforderung klar, vor der Kliniken heute stehen.“
Mehrere tausend Systeme und Prozesse sind offenbar eher die Regel als die Ausnahme. Das strahlt insbesondere auf die IT-Sicherheit aus, denn für alles was eingesetzt ist, braucht es ständig Updates und Aktualisierungen. Das Problem dabei: Häufig bedarf es der Freigabe von Updates durch den Hersteller zum Beispiel eines Medizinproduktes. Zudem sind Cyberbedrohungen auch bei Kliniken in einer Geschwindigkeit angekommen, von der sie anfangs durchaus überrascht waren. Mittlerweile haben sie wohl verstanden, dass man sich dem Thema noch stärker widmen muss – Datenschutz und Informationssicherheit sind zwei Säulen der Digitalisierung ohne die diese auch nicht funktioniert.
Problemfeld Updates
„Eine Systemlandschaft dauerhaft auf dem aktuellen Stand zu halten, ist eine Herausforderung“, das bestätigt auch Harfst. „Wir sind zwar schon besonders gut aufgestellt, das zeigen die Penetrationstests, die regelmäßig im Klinikum Bad Bramstedt durchgeführt werden. Da machen wir sehr viel im Bereich IT-Sicherheit. Aber wir müssen immer aktuellste Patches von allen Systemen bereithalten, also ständig Updates fahren. Allein bei den Microsoft Betriebssystemen müssen wir alle 30 bis 40 Tage Sicherheitsupdates installieren und das ist bei weiten nicht alles.“ Auch sämtliche Security Gateways, von der Firewall, über die Emailproxys bis hin zu den VPN Schnittstellen müssen immer auf den aktuellen Stand gehalten werden. Das erfordert ein ständiges Monitoring. „Man könnte quasi eine Person nur damit beschäftigen, alle Systeme aktuell zu halten“, so Harfst.
Die Updates können aber auch zu Problemen führen, etwa wie zuletzt bei Microsoft, als es Probleme beim Ansteuern bestimmter Drucker gab. Da musste der EDV-Chef dann abwägen, was er lieber in Kauf nimmt – eine Sicherheitslücke, oder dass zahlreiche Drucker in der Klinik nicht funktionieren. Oft erkenne man erst hinterher, dass Probleme am Update lagen, so der EDV-Chef. Wenn man auf Sicherheitsupdates verzichtet, öffnet man aber möglicherweise Einfallstore für Cyberangriffe. Wie im vergangenen Jahr bei der Uniklinik Düsseldorf bei einem Securitygateway. Dort haben Hacker diese Sicherheitslücke ausgenutzt. „Wenn man auf Sicherheitsupdates verzichtet, holt man sich am Ende vielfältige Sicherheitsprobleme, Kompatibilitätsprobleme oder Performanceprobleme ins Haus und ist ruckzuck nicht mehr arbeitsfähig“, so Harfst. „Des Weiteren kommt es häufig zu Problemen bei der Implementierung neuer Software. Hersteller von Softwareprodukte nehmen selten Rücksicht auf Security und fordern meist eine uneingeschränkte Kommunikation der Systeme in alle Richtungen. Da sagen wir strikt: ‚So geht das nicht’ und achten stringent darauf, dass die bei uns hohen Sicherheitsanforderungen eingehalten werden und die Systeme nur die Kommunikationswege freigeschaltet bekommen die sie auch benötigen.“
Zudem muss jede Klinik ständig von extern erreichbar sein, per Mail und per Virtual Private Networks (VPN). Für den gesicherten Datenaustausch außerhalb des Klinik Netzwerk setzt Harfst auf die Software-Applikation Qiata. Etwa wenn Patientendaten mit der Rentenversicherung und sonstigen Kostenträgern ausgetauscht werden, aber auch wenn Daten an Anwaltskanzleien oder zu Wirtschaftsprüfern gehen, läuft alles über diese Applikation. „Die Applikation Qiata ist bei uns in einer mehrschichtigen DMZ (demilitarisierten Zone) platziert und bietet somit die Möglichkeit Emailanhänge gesichert auszutauschen ohne in das interne Netzwerk des Klinikums zu gelangen. Wenn wir Daten übertragen möchten, etwa an die Rentenversicherung, dann sind die Mailserver mit dem Qiata Add-on verbunden“, gibt der EDV-Chef einen Einblick in die Funktionsweise. „Die Mail geht zwar ganz normal an den Empfänger, der Anhang wird aber auf der Qiata-Plattform platziert und bereitgestellt. Der Empfänger bekommt die Aufforderung, den Anhang auf dieser Plattform über eine gesicherte ‚HTTPS Verbindung’ herunterzuladen. Nach der Registration kann der Empfänger der Mail den Anhang von der Qiata herunterladen.“
Und damit noch nicht genug. Das Klinikum Bad Bramstedt setzt eine „Next Generation Firewall“ ein, über welche das gesamtes Routing des Netzwerkes läuft. Somit können Auffälligkeiten oder gar Bedrohungen sofort erkannt und eliminiert werden. Hinzu kommt auch noch der Einsatz einer der modernsten „End Point Protektion Lösung“ (Virenscanner) auf Basis von KI, der immer mitlauscht. Zudem ist unter anderem ein Mobile Device Management (MDM) im Einsatz, das ermöglicht, mit bestimmten Applikationen Firmenmails abzugreifen ohne den Mailserver der Klinik von außen erreichbar zu machen. Dazu kommt noch eine zusätzliche Applicationcontrol, die Kryptotrojaner oder andere Schadsoftware erkennt und die Ausführung direkt unterbindet.
„Viele nicht-IT-ler sehen ja überhaupt nicht, was wir den ganzen Tag machen“, so Harfst. „Systeme untereinander miteinander kommunizieren lassen, neue Systemlandschaften aufsetzen, dazu permanentes Monitoring, etwa, wenn die Klimaanlage ausfällt im Serverraum sowie Predictive Maintenance – eine vorab-Überwachung von Servern: Dabei können wir feststellen, wie geht es jedem einzelnen System, sind die Festplatte in Ordnung, laufen alle systemrelevanten Dienste.“
Kliniken läuft die Zeit davon
Längst nicht alle Kliniken sind bereits so gut eingespielt wie in Bad Bramstedt. Und viele brauchen einfach noch eine Weile, um mit dem Umfang der Anforderungen klar zu kommen. „Wir hatten schon im Gesetzgebungsverfahren moniert, dass der 1.1.2022 viel zu früh kommt“, sagt Holzbrecher-Morys. „Uns bleibt viel zu wenig Zeit. Auch wenn bisher keine direkten Sanktionen mit der Umsetzung der neuen Regelungen aus § 75c SGB V verknüpft sind, müssen die gesetzlichen Regelungen trotzdem eingehalten werden.“
Jetzt aufgrund der Überforderung nichts zu machen sei durchaus gefährlich, warnt IT-Sicherheitsexperte Joachim Reinke. „Wenn in der Klinik mal was passiert, wie zuletzt am Uniklinikum Düsseldorf, aus dem Patienten verlegt werden mussten, weil die IT gehackt worden war, fragt auch die betriebliche Haftpflichtversicherung nach, ob man sich an alle gesetzlichen Vorgaben gehalten hat. Ist sogar jemand zu Schaden gekommen dabei, kann es auch gut passieren, dass sich der Staatsanwalt einschaltet. Das kann erstens richtig teuer werden, aufgrund des zivilrechtlichen Schadens. Und zweitens aufgrund der strafrechtlichen Seite. Der Klinik-Geschäftsführer kann hier nicht argumentieren, er habe das nicht gewusst.“
Das könnte Sie auch interessieren:
- Krankenhauszukunftsfonds: Kein Geld ohne TI
- Patientensicht: „Es fehlt an Aufklärung und Information“
- „Wir sind erst am Anfang der digitalen Transformation“
