Ärzte Zeitung online, 15.03.2017
 

Klinikmanagement

Krankenhäuser haben viele Hausaufgaben in IT-Sicherheit

Der Schock über die Schäden an mehreren Kliniken durch CyberAngriffe im vergangenen Jahr wirkt noch nach. Nun sind Praxen und Kliniken am Zug, die IT-Sicherheit zu erhöhen. Der Gesetzgeber legt die Messlatte hoch.

Von Hauke Gerlof

Krankenhäuser haben viele Hausaufgaben in IT-Sicherheit

Sicherer Anschluss an das Internet? Große Kliniken müssen angemessene Sicherheitsvorkehrungen schon bald dem BSI gegenüber nachweisen.

© v.poth / Fotolia.com

FRANKFURT/MAIN. Die Verwundbarkeit von IT-Systemen in Krankenhäusern ist groß. Das haben die erfolgreichen Cyber-Angriffe mit Trojaner-Viren unter anderem auf Kliniken in Neuss, Arnsberg, Mönchengladbach, Essen, Kleve und Köln und nachfolgender Erpressung zu Beginn des vergangenen Jahres deutlich vor Augen geführt.

Daran erinnerte Arzt und Rechtsanwalt Professor Christian Dierks von der Kanzlei Dierks+Bohle beim 2. Expertenforum IT-Sicherheit und Telemedizin der RS Medical consult GmbH in Frankfurt am Main. Die Daten der Kliniksysteme seien von Trojanern wie "Locky" verschlüsselt worden und waren daher für Ärzte, Pfleger und Verwaltung nicht mehr zugänglich. Abgesehen von den Millionenschäden durch Erpressung und für die Wiederherstellung der Daten, seien die Klinikärzte teilweise auf eine Notfallversorgung ohne Computer zurückgeworfen gewesen.

Gesetzgeber hat schnell reagiert

Der Gesetzgeber habe mit dem IT-Sicherheitsgesetz, das größtenteils im Sommer 2015 in Kraft getreten ist, bereits vorher auf die Bedrohung durch Cyberkriminalität reagiert, erläuterte Dierks in seinem Vortrag zu aktuellen Rechtsfragen zur IT-Sicherheit.

Betreiber kritischer Infrastrukturen (KRITIS) werden von Gesetz wegen jetzt dazu angehalten, organisatorische und technische Vorkehrungen (OTV) zu treffen, um Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten zu verhindern. "Dabei treten die Datensicherheit und die Verfügbarkeit der Systeme im Vergleich zum Schutz der Daten immer mehr in den Vordergrund", erläuterte Dierks.

In Kürze werde voraussichtlich über die KRITIS-Verordnung festgelegt werden, dass Kliniken mit mehr als 30.000 vollstationären Fällen zu den Betreibern kritischer Infrastrukturen gezählt würden, das seien in Deutschland 110 Krankenhäuser. Sie müssten dann binnen zwei Jahren den Nachweis führen, dass die entsprechenden Vorkehrungen getroffen seien, sie müssten bei kritischen Sicherheitsvorfällen unverzüglich Meldung machen und eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik (BSI) einrichten, berichtete Dierks. Sicherlich sei nicht jeder einfache Angriffe durch Viren, die von Firewall oder Virenscanner detektiert werden, zu melden, sondern es gehe um erhebliche Störungen der IT-Systeme, die einen Ausfall der Einrichtung oder zu einer Beeinträchtigung der Funktionsfähigkeit verursacht habe oder hätte verursachen können, so der Rechtsanwalt weiter.

660 Euro Kosten je Meldung?

"Das BSI rechnet mit maximal sieben zu meldenden Vorfällen pro Jahr, die Kosten je Meldung werden auf 660 Euro geschätzt", erläuterte Dierks. Für die Anpassung der IT-Sicherheitssysteme, die Audits zum Nachweis der OTV und das Betreiben der Kontaktstelle müssten natürlich weitere Kosten kalkuliert werden. Die Deutsche Krankenhausgesellschaft rechne insgesamt mit 600 Millionen Euro Aufwand in Kliniken für das IT-Sicherheitsgesetz – das entspreche etwa zehn Prozent des gesamten Investitionsmittelbedarfs in Kliniken.

Wichtig sei, so Dierks, dass kleinere Kliniken sich nicht zurücklehnen und nichts tun. "Viele haben sich mit der Thematik noch nicht genug beschäftigt", betonte Dierks. "Die Haftung bei tatsächlichen Vorfällen ist in Krankenhäusern mit mehr als 30.000 vollstationären Fällen dieselbe wie in Häusern mit weniger Fällen", so Dierks. Die technischen und organisatorischen Vorkehrungen gegen Angriffe auf IT-Systeme gälten letztlich für alle. Der Angriff in Neuss etwa habe die betroffene Klinik ja letztlich auch Millionen gekostet.

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

Weitere Beiträge aus diesem Themenbereich

Es kommt Schwung in die Entwicklung neuer Psychopharmaka

Bald könnte es einen Schub für die Entwicklung neuer Psychopharmaka geben. Denn Forscher finden immer mehr über die Entstehung psychischer Erkrankungen heraus. mehr »

Spielt Krebs eine Rolle beim plötzlichen Kindstod?

Ein plötzlicher Kindstod bei einer unbekannten neoplastischen Erkrankung ist selten, aber kommt vor. Das ist das Ergebnis einer britischen Studie. mehr »

Patienten sollen Verdacht auf Nebenwirkung melden

Alle europäischen Arzneimittelbehörden fordern in einer gemeinsamen Kampagne Patienten auf, ihnen verstärkt Verdachtsfälle von Nebenwirkungen zu melden. mehr »