Die digitale Infrastruktur in Krankenhäusern ist hoch sensibel. Umso schlimmer, wenn die Häuser Opfer von Cyber-Kriminellen werden. Zum Schutz sowohl der Patienten als auch der Kliniken hat die Bundesregierung im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, erlassen. Damit sollen im besten Fall die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit werden. Uns interessiert: Wie steht es um die IT-Sicherheit in fränkischen Kliniken?

"Kritis-Verordnung"

Insbesondere im Bereich der Kritischen Infrastrukturen - "Kritis" - hätten Ausfall oder Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen. Der erste Teil der Kritis-Verordnung trat im Mai 2016 für die Bereiche Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung in Kraft. Im Juni 2017 wurde sie auf die Bereiche Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr ausgeweitet.

In der sogenannten Umsetzungsverordnung "KritisV" des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden entsprechende Kriterien und Schwellenwerte formuliert. Stichtag für die Umsetzung der "KritisV" ist der 30. Juni 2019.

Große Kliniken in Franken

Die Verordnung regelt für Krankenhäuser, Laboratorien, Apotheken und Hersteller von Medizinprodukten, wer unter das IT-Sicherheitsgesetz fällt. Bei Krankenhäusern sind das Einrichtungen mit mindestens 30 000 vollstationären Fällen pro Jahr (etwa 100 Einrichtungen in Deutschland). Dazu gehören in Franken unter anderem das Klinikum Bamberg und die Uniklinik Erlangen. Diese Zeitung hat nachgefragt, wie die Krankenhäuser ihre IT-Systeme sichern.

Beispiel Bamberg

Das Klinikum Bamberg wurde 2017 zu einer "kritischen Infrastruktur" bestimmt. Wie Sprecherin Brigitte Dippold auf Anfrage dieser Zeitung erklärt, verpflichte die Einstufung die Sozialstiftung Bamberg dazu, technische und organisatorische Maßnahmen nach dem "Stand der Technik" zu ergreifen. "Und das tun wir, indem bestehende IT-Maßnahmen kontinuierlich um weitere ergänzt und verbessert werden", sagt Dippold.

Dazu gehöre die Sensibilisierung der Mitarbeiter beim Thema IT-Sicherheit und eine Leitlinie zur Informationssicherheit. "Wir halten uns an die Vorgaben des IT-Gesetzes", sagt Dippold. Bereits 2017 sei ein zweites Rechenzentrum am Klinikum installiert worden, um die Datensicherheit zu verbessern und die Speicherkapazitäten zu erhöhen.

Beispiel Erlangen

"Am Universitätsklinikum Erlangen sind IT-Sicherheit und Datenschutz vor dem Hintergrund der zunehmenden Digitalisierung in der medizinischen Spitzenversorgung von größter Bedeutung", erklärt Pressesprecher Johannes Eissing. "eHealth-, Telemedizin-Leistungen sowie Entwicklungen der digitalen Medizin unterstützen die Behandlungsstrategien in der Spitzenmedizin zunehmend und halten demzufolge auch in der medizinischen Routineversorgung von Patienten Einzug." Die Anforderungen an IT-Sicherheit und Datenschutz lägen im Uni-Klinikum Erlangen auf höchstem Niveau." Am Uni-Klinikum wachten neben einer spezialisierten IT-Abteilung ein eigener IT-Sicherheitsbeauftragter und ein Datenschützer ständig über die Einhaltung der gesetzlichen Bestimmungen zu IT-Sicherheit und Datenschutz.

Und wenn die Technik im OP ausfällt?

Falls im Operationssaal die IT ausfallen sollte, habe das Klinikum spezielle Maßnahmen vorbereitet. "Ein OP ist ein Behandlungsort der höchsten Sicherheitseinstufung, da bei einem Strom- oder IT-Ausfall mittel- oder unmittelbar das Leben und die Gesundheit von Patienten gefährdet sein können", sagt Eissing. "Neben einem gezielten, übergreifenden Risikomanagement für diesem Versorgungsbereich werden Operationssäle daher mit alle zur Verfügung stehenden Mitteln gegen eine Ausfall abgesichert. Dies reicht von Notstromversorgung über redundante IT-Systeme bis hin zu organisatorischen Notfallmaßnahmen, die im schlimmsten Fall die notwendigen medizinische Versorgung der Patienten gewährleisten."

Beispiel Coburg und Lichtenfels

"Wir nehmen Datenschutz und Datensicherheit schon immer sehr ernst", heißt es auf Nachfrage auch aus den Regiomed-Kliniken. Zum Gesundheitsverbund gehören Standorte in Coburg, Neustadt und Lichtenfels sowie zwei in Thüringen. "Die Infrastruktur und die Daten der Systeme sind abhängig von der notwendigen Verfügbarkeit mehrfach gesichert", erklärt Sprecherin Anna Schaller.

Dies führe zum Beispiel auch dazu, dass vom Patienten mitgebrachte (Röntgen-)Daten nur an speziell gesicherten Rechnern eingespielt werden könnten. Die standortübergreifenden Datenschutzvorgaben sind Schaller zufolge zentral im Datenschutzhandbuch des Klinikverbunds geregelt. "Sie werden ständig aktualisiert und die Einhaltung überwacht."