Sie ist die nationale Agentur für digitale Medizin und verantwortet die gesamte Telematikinfrastruktur, die „Datenautobahn“ des deutschen Gesundheitswesens. Deshalb ist es auch die Gematik, die immer wieder über Schwachstellen und Sicherheitslücken informiert. Gerade erst im vergangenen Dezember mussten einige Dienste der Telematikinfrastruktur präventiv vom Netz genommen werden. Der Grund: eine Schwachstelle in der Java-Bibliothek „log4j“, die zum Anmelden von Anwendungen genutzt wird und sich über die Jahre zum De-facto-Standard entwickelt hat.
Es sind genau diese Sicherheitslücken, die sich Hacker zunutze machen. Und mit zunehmender Digitalisierung sieht sich das Gesundheitswesen einem ebenso gestiegenen Sicherheitsrisiko gegenüber. Das sei laut dem Bundeslagebild des BKA unter anderem darauf zurückzuführen, dass sich Cyberkriminelle schnell an gesellschaftliche Notlagen anpassten und diese gekonnt für ihre Zwecke ausnutzten. Institutionen und Unternehmen mit einem hohen gesellschaftlichen Stellenwert rücken so zunehmend ins Visier. Entsprechend rechnet der Global Threat Intelligence Report 2021 des IT-Dienstleister NTT vor, dass Cyberattacken im Gesundheitswesen 2020 im Vergleich zum Vorjahr um 200 Prozent gestiegen seien. Allein von Oktober 2020 bis Januar 2021 nahm die Anzahl aufgedeckter Cyberattacken um rund 45 Prozent zu. Vor allem die stärkere Nutzung von Telemedizin sei für den Anstieg verantwortlich. 97 Prozent der Angriffe seien über Web-Applikationen erfolgt oder waren anwendungsspezifisch.
Kein Unterschied zu anderen Branchen
Dass das Gesundheitswesen jedoch im Gesamtkontext einer besonderen Bedrohungslage ausgesetzt sei, sieht Dr. Raimar Goldschmidt nicht. Er ist Chief Digital Officer am Städtischen Klinikum Braunschweig und zudem Geschäftsführer des dortigen digitalen Spin-off skbs.digital. Er sagt: „Alle Branchen sind vermehrten Cyberangriffen ausgesetzt, nicht nur das Gesundheitswesen. Dies ist dem inzwischen leichten Zugang zu Angriffstools geschuldet. Die Möglichkeit, Cyberangriffe vom Homeoffice aus zu starten mit Aussicht auf Lösegeld über anonyme Bitcoins, hat eine ganz neue Branche erschaffen.“ Groß sei die Gefahr deshalb vor allem bei Phishing-Mails sowie bei Sicherheitslücken in Standardtools. Deshalb werde die Belegschaft regelmäßig geschult, Softwarelösungen bei Sicherheitslücken aktualisiert und moderne Firewall-Systeme betrieben.
Dem pflichtet auch Dr. Anke Diehl bei. Sie ist Chief Transformation Officer der Universitätsmedizin Essen. Aus ihrer Sicht lässt sich die Zunahme an Cyberangriffen auf das Gesundheitswesen nicht an einem Punkt festmachen. Vielmehr handele es sich um ein sehr komplexes, multifaktorielles Geschehen. Sie verweist ebenfalls auf die weltweite Zunahme an Cyberkriminalität sowie auf die insgesamt stärkere Digitalisierung und Vernetzung: „Eine höhere Verkehrsdichte geht ja leider auch mit einem höheren Unfallpotenzial einher und bedarf mehr Regelungen.“
KHZG – gezielte Förderung von IT-Sicherheit
Den Bedarf an zusätzlicher Regelung der IT-Sicherheit sieht auch der Gesetzgeber. Mit dem Krankenhauszukunftsgesetz, kurz KHZG, fördern Bund und Länder die Digitalisierung deutscher Kliniken mit insgesamt 4,3 Milliarden Euro. Elf Fördertatbestände wurden dafür identifiziert, wobei IT- und Cyber-Sicherheit eine elementare Rolle spielen. Mindestens 15 Prozent der gewährten Fördermittel müssen in entsprechende Maßnahmen fließen.
Diese neuen Investitionen in die Digitalisierung und vor allem in die IT-Sicherheit sind aus Sicht von Admir Kulin, Geschäftsführer der m.Doc GmbH, durchaus positiv zu werten. Er sieht in der immer professioneller werdenden Digitalisierung des Kliniksektors keine Gefahr für die IT-Sicherheit, sondern vielmehr großes Potenzial: „Mit dem KHZG haben wir die Chance, in den nächsten Jahren zukunftssichere Systeme einzuführen. Cyberattacken sind in allen Branchen Realität. Wenn sie jedoch auf veraltete Systeme treffen, ist der Schaden groß.“ Die Implementierung moderner Lösungen sei demnach zu begrüßen und auch eine sichere Cloud-Lösung „made in Germany“ sollte aus Sicht des Digital-Healthcare-Experten zum Standard werden.
IT-Sicherheit als Organisationsziel
Auch wenn der Grad der Digitalisierung im Gesundheitswesen merklich zunimmt – der Großteil der Prozesse in den Kliniken ist seit Jahren IT-gestützt. Dr. Diehl betont deshalb, dass es insbesondere für Krankenhäuser als Bestandteil der kritischen Infrastruktur, KRITIS, bereits vor Einführung des Patientendatenschutzgesetzes Sicherheitsrichtlinien gab. Allerdings ist sie davon überzeugt, dass mit zunehmender Digitalisierung auch ein Umdenken in Sachen IT- und Datensicherheit erfolgen muss: „Es ist wichtig zu verstehen, dass Sicherheitsrichtlinien nur dann erfolgreich umgesetzt werden können, wenn sie nicht Audit-getriggert sind und damit nur die entsprechende Dokumentation vorgehalten wird. Prozesse müssen grundlegend überprüft und IT-Sicherheit als Organisationsziel verankert werden.“ Für Krankenhäuser allgemein sei dies ein erfolgskritisches und damit absolut wichtiges Umdenken.
Es ist also nicht der höhere Digitalisierungsgrad, der eine Gefahr für die IT-Sicherheit im Gesundheitswesen darstellt, sondern die Transformation, die damit zwingend einhergehen muss. Neue Technologien mit veralteten Sicherheitsmaßnahmen locken Hacker aus ihrer Deckung hervor. Eine solche Transformation erfordert jedoch nicht nur ein Umdenken der Verantwortlichen sowie der Belegschaften, sie ist zeit-, kosten- und vor allem ressourcenintensiv. Und da muss man dem Gesundheitswesen zugestehen, dass der Wandel zu einem denkbar ungünstigen Zeitpunkt kommt, nachdem die Pandemie gerade mit Blick auf die ohnehin dünne Personaldecke für zusätzliche Spannung gesorgt hat. IT-Spezialisten sind branchenübergreifend nicht leicht zu bekommen. Daher bleibt der digitale Wandel, so wichtig und richtig er auch ist, für das Gesundheitswesen ein Balanceakt, der von offizieller Seite gefördert werden will und muss. Das Krankenhauszukunftsgesetz wird sicherlich nicht die einzige Finanzspritze für eine sichere digitale Medizin bleiben.
