Klinikmanagement
Krankenhäuser haben viele Hausaufgaben in IT-Sicherheit
Der Schock über die Schäden an mehreren Kliniken durch CyberAngriffe im vergangenen Jahr wirkt noch nach. Nun sind Praxen und Kliniken am Zug, die IT-Sicherheit zu erhöhen. Der Gesetzgeber legt die Messlatte hoch.
Veröffentlicht:FRANKFURT/MAIN. Die Verwundbarkeit von IT-Systemen in Krankenhäusern ist groß. Das haben die erfolgreichen Cyber-Angriffe mit Trojaner-Viren unter anderem auf Kliniken in Neuss, Arnsberg, Mönchengladbach, Essen, Kleve und Köln und nachfolgender Erpressung zu Beginn des vergangenen Jahres deutlich vor Augen geführt.
Daran erinnerte Arzt und Rechtsanwalt Professor Christian Dierks von der Kanzlei Dierks+Bohle beim 2. Expertenforum IT-Sicherheit und Telemedizin der RS Medical consult GmbH in Frankfurt am Main. Die Daten der Kliniksysteme seien von Trojanern wie "Locky" verschlüsselt worden und waren daher für Ärzte, Pfleger und Verwaltung nicht mehr zugänglich. Abgesehen von den Millionenschäden durch Erpressung und für die Wiederherstellung der Daten, seien die Klinikärzte teilweise auf eine Notfallversorgung ohne Computer zurückgeworfen gewesen.
Gesetzgeber hat schnell reagiert
Der Gesetzgeber habe mit dem IT-Sicherheitsgesetz, das größtenteils im Sommer 2015 in Kraft getreten ist, bereits vorher auf die Bedrohung durch Cyberkriminalität reagiert, erläuterte Dierks in seinem Vortrag zu aktuellen Rechtsfragen zur IT-Sicherheit.
Betreiber kritischer Infrastrukturen (KRITIS) werden von Gesetz wegen jetzt dazu angehalten, organisatorische und technische Vorkehrungen (OTV) zu treffen, um Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten zu verhindern. "Dabei treten die Datensicherheit und die Verfügbarkeit der Systeme im Vergleich zum Schutz der Daten immer mehr in den Vordergrund", erläuterte Dierks.
In Kürze werde voraussichtlich über die KRITIS-Verordnung festgelegt werden, dass Kliniken mit mehr als 30.000 vollstationären Fällen zu den Betreibern kritischer Infrastrukturen gezählt würden, das seien in Deutschland 110 Krankenhäuser. Sie müssten dann binnen zwei Jahren den Nachweis führen, dass die entsprechenden Vorkehrungen getroffen seien, sie müssten bei kritischen Sicherheitsvorfällen unverzüglich Meldung machen und eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik (BSI) einrichten, berichtete Dierks. Sicherlich sei nicht jeder einfache Angriffe durch Viren, die von Firewall oder Virenscanner detektiert werden, zu melden, sondern es gehe um erhebliche Störungen der IT-Systeme, die einen Ausfall der Einrichtung oder zu einer Beeinträchtigung der Funktionsfähigkeit verursacht habe oder hätte verursachen können, so der Rechtsanwalt weiter.
660 Euro Kosten je Meldung?
"Das BSI rechnet mit maximal sieben zu meldenden Vorfällen pro Jahr, die Kosten je Meldung werden auf 660 Euro geschätzt", erläuterte Dierks. Für die Anpassung der IT-Sicherheitssysteme, die Audits zum Nachweis der OTV und das Betreiben der Kontaktstelle müssten natürlich weitere Kosten kalkuliert werden. Die Deutsche Krankenhausgesellschaft rechne insgesamt mit 600 Millionen Euro Aufwand in Kliniken für das IT-Sicherheitsgesetz – das entspreche etwa zehn Prozent des gesamten Investitionsmittelbedarfs in Kliniken.
Wichtig sei, so Dierks, dass kleinere Kliniken sich nicht zurücklehnen und nichts tun. "Viele haben sich mit der Thematik noch nicht genug beschäftigt", betonte Dierks. "Die Haftung bei tatsächlichen Vorfällen ist in Krankenhäusern mit mehr als 30.000 vollstationären Fällen dieselbe wie in Häusern mit weniger Fällen", so Dierks. Die technischen und organisatorischen Vorkehrungen gegen Angriffe auf IT-Systeme gälten letztlich für alle. Der Angriff in Neuss etwa habe die betroffene Klinik ja letztlich auch Millionen gekostet.