E-HEALTH-COM ist das unabhängige Fachmagazin für Gesundheitstelematik, vernetzte Medizintechnik , Telemedizin und Health-IT für Deutschland, Österreich und die Schweiz.
Mehr
Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden
Bild: © alexrow
Spätestens jetzt ist die IT-Sicherheit in deutschen Krankenhäusern nicht nur ein Thema, sondern auch ein Politikum. Innerhalb weniger Tage kam es zu mehreren schweren IT-Zwischenfällen. Wird genug getan?
Dass es auch in deutschen Krankenhäusern IT-Zwischenfälle gibt, kann niemanden überraschen. Neu ist, dass sie auch öffentlich werden. Am 10. Februar wurde bekannt, dass das IT-System am Lukas-Krankenhaus Neuss Opfer eines Schadsoftware-Angriffs wurde. Die Lokalpresse berichtete ausführlich, Aufnahmen und Operationen mussten verschoben werden. Nur wenige Tage später traf es das Krankenhaus Arnsberg. Ein Wochenende komplett ohne IT war die Folge, und auch hier mussten Patientenaufnahmen verschoben werden und die umliegenden Krankenhäuser einspringen.
Insbesondere das Krankenhaus Arnsberg hat bei allem Schaden vorbildlich reagiert. Per Pressemeldung wurde der Vorfall gleich am Montag transparent gemacht. Die nötigen IT-Protokolle wurden den Ermittlungsbehörden übergeben. So sollte es sein, aber viele Krankenhäuser halten bei derartigen Zwischenfällen noch immer die Vertuschung für die Strategie der Wahl. Berichten nordrhein-westfälischer Medien zufolge gab es in den letzten Wochen in dem Bundesland noch mindestens vier weitere Zwischenfälle, die nicht bzw. nur mit Verzögerung oder versehentlich öffentlich bekannt wurden. Heiko Ries, der 1. Vorsitzende des Bundesverbands der Krankenhaus-IT-Leiterinnern/Leiter e.V. sprach per Twitter von der „Spitze des Eisbergs“.
Sind die Krankenhaus-IT-Systeme nicht sicher genug, weil die Hersteller das Thema nicht ernst genug nehmen? Oder sind die Krankenhausbetreiber fahrlässig, weil sie ihre IT-Abteilungen personell und finanziell darben lassen? Wahrscheinlich kommen mehrere Faktoren zusammen. Tatsache ist, dass sich die Krankenhäuser und auch die Gesundheits-IT-Hersteller in den nächsten ein, zwei Jahren diesem Thema sehr intensiv werden widmen müssen. Politik und Datenschützer werden nicht ewig zuschauen. Wenn es nicht gelingt, die komplexen Krankenhaus-IT-Landschaften besser zu sichern, wird die Frage auftauchen, ob an IT-Architekturen im Krankenhaus nicht grundsätzlich anders, nämlich monolithischer, herangegangen werden muss. Erstrebenswert ist das nicht, aber die Sicherheitsprobleme müssen die Anhänger komplexer IT-Landschaften schon in den Griff bekommen.
Eine offene Frage ist, inwieweit das im vergangenen Sommer verabschiedete IT-Sicherheitsgesetz als Katalysator für mehr Sicherheit wirken kann. Bis jetzt ist noch nicht klar, welche Einrichtungen davon betroffen sind. Eine Arbeitsgruppe des BSI hat gerade die Arbeit aufgenommen und wird im Laufe des Jahres 2016 Umsetzungsvorschläge präsentieren. Zumindest die großen Krankenhäuser werden wohl mit zentralen Meldestellen arbeiten müssen und Zwischenfälle ab einer bestimmten Größenordnung an BSI und/oder Bundesnetzagentur melden müssen. An der Umsetzung des IT-Grundschutz und der ISO 27001 dürfte ebenfalls kein Weg vorbeiführen. Die erste Frage ist, ob das reicht. Und die zweite lautet, wie sichergestellt werden kann, dass auch die kleineren Häuser in Sachen IT-Sicherheit besser werden und außerdem Zwischenfälle konsequent transparent machen.
Philipp Grätzel von Grätz, Redaktion E-HEALTH-COM