IT-Risikomanagement in deutschen Krankenhäusern in Zeiten von COVID 19

Die Mitnutzung von IT zur Behandlung und Versorgung von Patientinnen und Patienten in deutschen Krankenhäusern steht außer Frage. Im Jahre 2020 wird kaum ein Prozess von der Aufnahme bis zur Entlassung der Patientinnen und Patienten ohne die Beteiligung von IT bewältigt. Hohe Anforderungen an die Informationssicherheit, einschließlich dem IT-Risikomanagement gehen damit einher.
In Deutschland gibt es laut Angaben des statistischen Bundesamtes ca. 1900 Krankenhäuser, welche eine Kapazität von knapp 500.000 Betten erreichen. Die Planung und Sicherstellung der Leistungsangebote und der Versorgung obliegt dabei den Bundesländern und wird von den Landesgesundheitsministerien verantwortet.
Die Publikation „KRITIS-Sektor Gesundheit: Informationssicherheit in der stationären medizinischen Versorgung Rahmenbedingungen, Status Quo, Handlungsfelder“ welche vom Bundesamt für Sicherheit in der Informationstechnik am 30.06.2020 veröffentlicht wurde, thematisiert die aktuelle Lage.

Insgesamt zeigt sich bei der Umsetzung der Informationssicherheitsmaßnahmen, dass die Betreiber ihren Fokus primär auf die Umsetzung von technischen Maßnahmen zum Schutz ihrer kritischen Dienstleistung gelegt haben. So sind relevante IT-Systeme und Komponenten zur Erbringung der kritischen Dienstleistung in der Regel redundant ausgelegt und durch klassische Abwehrmaßnahmen (z.B. Firewall, DMZ, zentraler SPAM- und Malware-Schutz, Routing, VPN/https, dezentrale Malware-Scanner) zum Schutz vor Angriffen sowie Schadsoftware technisch umgesetzt.

Im Rahmen dieser Studie wurde aber auch festgestellt das grundlegende Elemente einer vollumfänglichen Informationssicherheit in vielen Krankenhäusern noch nicht richtig integriert sind.

Was sind das für Elemente, die zurzeit noch fehlen?

• Ein Mangel an einer IT-spezifischen Sicherheitskultur ist in vielen Krankenhausorganisationen anzutreffen. Die Sicherheitskultur eines Krankenhauses ist vorrangig von einer fehler- und schadensfreien Behandlung und Versorgung der Patientinnen und Patienten gekennzeichnet. Der schnelle Zugriff auf Patientendaten wird als wichtiger beurteilt, als die Sicherheit des Zugangs zu diesen Daten und damit die Sicherheit der Daten selbst. In kritischen Situationen wird der Zeitverlust, welcher mit einer Anmeldung zu den gesicherten Daten einhergeht, oft als nicht hinnehmbar beurteilt.
• Weiterbildungen für Personal zum Thema IT-Sicherheit finden kaum statt. Dazu zählen die Teilnahme an Präsenzveranstaltungen, Online-Seminaren oder die Nutzung von elektronischen Lernmedien, welche für das jeweilige Krankenhaus spezifisch aufbereitet sind.
• Ein systematisches IT-Risikomanagement ist in vielen Krankenhäusern nicht auf dem notwendigen Niveau.
• Schutzkonzepte und Compliance-Regelungen werden oftmals nur unvollständig entwickelt und eine darauf aufbauende Schulung findet häufig nicht im erforderlichen Umfang statt.
• Systematische Zugangskontrollen für Besucherinnen und Besucher sind im Krankenhaus weiterhin eine Ausnahme.
• Schließsysteme mit elektronischen Ausweisen, die die Stationen vor unberechtigten Zugang schützen, existieren allenfalls bei besonders kritischen Abteilungen.
• Vereinzelte Akzeptanzprobleme bei der Umsetzung technischer Schutzmaßnahmen, wie zum Beispiel das verschlüsseln von E-Mails oder mobiler Speichermedien.
• Netze innerhalb eines Krankenhauses sind nicht vollständig voneinander getrennt. Kommt es so zu einem Befall mit Schadsoftware kann diese sich möglicherweise in weite Bereiche des Krankenhauses verteilen. Wenn dieser Befall überhaupt bemerkt wird, denn Maßnahmen zu Detektion und Reaktion wird nur ein geringer Stellenwert eingeräumt.

Aber warum werden diese Elemente nicht vollständig integriert?

Das Problem ist vielschichtig. Aus eigener Erfahrung bei der Beteiligung einer Implementierung eines Risikomanagementsystems in einem Krankenhaus kann ich ableiten, dass die schiere Menge an IT, welche in einem Krankenhaus im Einsatz ist, schon allein ein Bewältigungsproblem darstellt. Zudem zeigt sich das es einen ganzheitlichen Ansatz braucht, um die Informationssicherheit in Krankenhäusern sicher zu stellen. Zusätzlich dominiert der soziale Aspekt des medizinischen Berufs die Einstellung zur Arbeit. Diese Einstellung stellt die Patientinnen und Patienten in den Mittelpunkt und das 24/7.

Wie kann man es denn besser machen?

Die Handlungsempfehlungen des BSI decken sich mit den Erfahrungen, die im Zuge der Implementierung gemacht wurden. Die Kernpunkte dieser Empfehlungen zielen dabei auf eine systematische Planung und Umsetzung von zielgerichteten technischen und organisatorischen IT-Sicherheitsmaßnahmen ab.

• Der Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) sowie dessen kontinuierliche Weiterentwicklung, falls noch nicht vorhanden.
• Rahmenbedingungen für das IT-Risikomanagement festlegen und diese auf jeden Teilprozess anwenden (langwierige, aber lohende Aufgabe).
• Das IT-Risikomanagement stärker an das vorhandene klinische Risikomanagement anbinden.
• IT-Anforderungen bei bereichsübergreifenden Prozessen beachten.
• Netz voneinander trennen, wo keine Verbindung nötig ist. Mit einem kontinuierlich geführten ISMS erkennt man hier die benötigten Abgrenzungen.
• Medizintechnik und „normale“ IT sicher miteinander verbinden, Trennung zum Beispiel durch eigene Router oder Firewalls und Monitoring der Kommunikation dieser Geräte.
• Kontinuierliches Patchmanagement und Cyber-Schutzlösungen implementieren, um zum Beispiel frühestmöglich auf E-Mails mit schadhaftem Anhang reagieren zu können.

Die Steigerung der Informationssicherheit in Krankenhäusern kann in Zukunft viel Aufwand sparen und damit auch Kosten und sollte dahingehend nicht als reiner aktueller Kostenfaktor behandelt werden. Angebote sollten genutzt werden, um zum Beispiel Personal zu schulen oder Unterstützung durch andere Dienstleister zu erhalten.
Ausführliche Informationen und passende Angebote, wie Sie sich professionell auf diesem Gebiet weiterbilden können, finden Sie hier.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht.