Zu Risiken und Nebenwirkungen fragen Sie Ihre IT-Abteilung
Der Arzt kommt zur Visite. Auch vor Krankenhäusern macht die Digitalisierung keinen Halt. Längst werden Patientendaten nicht mehr klassisch von einem Klemmbrett abgelesen. Stattdessen verfügen Ärzte über Tablets und sind mit dem Informationssystem des Krankenhauses verbunden. Der Patient Herr Müller hatte einen Unfall und muss am Bein operiert werden. Laut Informationen der Patientenakte heißt Herr Müller allerdings Herr Schmidt und hat statt eines gebrochenen Beines eine geschädigte Niere, die ihm entnommen werden soll. Undenkbar? Nein, denn ein Hacker hat sich Zugriff zum Krankenhausnetzwerk verschafft und die Daten aller Patienten manipuliert.
Da es hier um Menschenleben geht, ging man bis vor Kurzem davon aus, dass Hacker noch Skrupel vor Angriffen auf Gesundheitseinrichtungen haben. Solche Angriffe sind aber leider schon jetzt keine Seltenheit mehr. 2017 wurden laut einer Studie der Roland-Berger-Stiftung bereits 64 Prozent aller Kliniken in Deutschland Opfer eines Hackerangriffs.
Wie in anderen Unternehmen werden auch in Krankenhäusern nahezu alle Geschäftsprozesse inzwischen durch IT unterstützt. Doch nicht nur Geschäftsprozesse, sondern auch lebensnotwendige medizinische Geräte, Abläufe und das gesamte Krankenhausinformationssystem (KIS) basieren auf IT-Systemen.
Es gibt also gleich mehrere Angriffsmöglichkeiten: Cyberkriminelle stehlen Patientendaten, Erpresser verschlüsseln Daten, und Hacker manipulieren medizinische Geräte.
Da diese Szenarios dramatische Folgen für einen größeren Personenkreis haben können, werden Krankenhäuser mit mehr als 30.000 stationären Fällen pro Jahr seit dem 30.06.2017 als Kritische Infrastrukturen (KRITIS) eingestuft und fallen unter die Vorschriften des IT-Sicherheitsgesetzes. Demnach sind Krankenhausbetreiber dazu verpflichtet, IT-Systeme, personenbezogene Daten und Prozesse durch sogenannte TOMs (technische und organisatorische Maßnahmen) abzusichern. Sollte es dennoch zu einer Cyberattacke kommen, gilt eine Meldepflicht.
IT-Gesundheitscheck und regelmäßige Vorsorge erforderlich
Auch wenn einige Einrichtungen seit dieser Regelung vermehrt für die Absicherung ihrer IT-Systeme sorgen, wird noch immer in kaum einer Branche so wenig in die IT investiert wie in der Gesundheitsbranche. Dementsprechend ist natürlich oft auch keine IT-Strategie, geschweige denn eine IT-Sicherheitsstrategie, vorhanden. Ganz im Gegenteil: Häufig sind IT-Abteilungen unterbesetzt, und die Verantwortlichen sind nicht auf dem Laufenden, was notwendige Sicherheitssysteme, aktuelle Angriffsmethoden oder auch erforderliche Updates betrifft; und das, obwohl gemäß KRITIS-Verordnung die Sicherung eines kontinuierlich zur Verfügung stehenden medizinischen Betriebs sowie eine optimale Patientenversorgung stets gewährleistet sein muss.
Für jeden IT-gestützten Bereich sollte also eine entsprechende Absicherung vorhanden sein; sei es die Firewall als erste Barriere, ein Virenschutz für Endgeräte oder auch eine E-Mail-Verschlüsselung. Aber es reicht nicht aus, die erforderlichen IT-Systeme anzuschaffen und sie anschließend sich selbst zu überlassen. Neben den Systemen spielen auch die Mitarbeiter eine entscheidende Rolle. Jeder muss sich seiner Verantwortlichkeiten bewusst sein und für das Thema IT-Sicherheit sensibilisiert sowie im Umgang mit Sicherheitsrisiken geschult werden.
Denn mit der IT-Sicherheit verhält es sich wie bei einer Krankheit: Arbeitet ein einzelnes Organ nicht richtig, beeinträchtigt dies den ganzen Körper. Es macht ihn anfällig für andere Erreger, was somit zu einer Kettenreaktion führen kann. Hat sich ein Virus aufgrund eines geschwächten Immunsystems erst einmal festgesetzt, dringt er in die kleinsten Zellen ein und breitet sich im gesamten Körper aus. Wurden zum Beispiel Updates einer Firewall nicht ordnungsgemäß durchgeführt, entstehen Sicherheitslücken, die Hacker schnell Zugriff auf die wichtigsten Systeme und Daten gewähren.
KIS – das Herz eines Krankenhauses
Die wichtigsten Daten und Informationen eines Krankenhauses werden abteilungsübergreifend im KIS gesammelt. Dieses System stellt sicher, dass verschiedene Abteilungen übergreifend Zugriff auf die wichtigsten Informationen haben. Das KIS beinhaltet demnach unter anderem Patienten- und Stationsmanagement, Ressourcenverwaltung, Behandlungsdokumentation oder Krankenaktenverwaltung. Nutzen wir auch hier das Beispiel des Virus, der sich in das System schleust: Hat er sich im Körper ausgebreitet, kann er verschiedene Symptome hervorrufen. Geht man diesen nicht schnell genug auf den Grund oder sieht darüber hinweg, kann es bis zum Herz- und Kreislaufstillstand kommen. Werden nicht schnellstmöglich Gegenmaßnahmen ergriffen, stirbt der Betroffene. So auch in einem Krankenhaus: Kann das Personal aufgrund eines IT-Ausfalls durch einen Virenbefall nicht mehr auf das KIS zugreifen, kann der gesamte Krankenhausbetrieb zum Erliegen kommen. Während dies für ein Industrieunternehmen „nur“ den Stillstand der Produktion bedeutet, kann es in einem Krankenhaus über Leben und Tod entscheiden.