Читать книгу DIVI Jahrbuch 2021/2022 - Группа авторов - Страница 32
3.1 Besondere Herausforderungen an die Cybersicherheit im medizinischen Sektor
ОглавлениеDer Grad der Digitalisierung und Vernetzung ist in den vergangenen Jahren auch in Krankenhäusern enorm gestiegen. In den fünf Kernprozessen der Patientenversorgung (Aufnahme, Diagnose, Therapie, Pflege und Entlassung) sorgten Digitalisierungsgewinne für ein Mehr an Effizienz, Patientenwohl und medizinischer Expertise. Zugleich wird auch ein Großteil der sogenannten Unterstützungsprozesse computergestützt betrieben. Dazu gehören Infrastruktur, Personalwesen, Verwaltung, Buchhaltung und Finanzierung sowie IT-Infrastruktur. In allen Bereichen findet sich netzwerkfähige Kommunikations-, Medizin- und Versorgungstechnik – jedes Element davon ein potenzielles Einfallstor für Hacker (3).
Orientiert man sich am internationalen Maßstab, so wird diese Vernetzung auch in Deutschland noch weiter voranschreiten. Das Electronic Medical Records Adoption Model (EMRAM) ermittelt den Digitalisierungsgrad von Krankenhäusern und ordnet diese anhand eines siebenstufigen Systems ein. Stufe 1 stellt dabei das Vorhandensein einzeln digital arbeitender Unterabteilungen dar, in der höchsten Stufe geht es um ungehinderte Datenströme innerhalb der gesamten Organisation und ein Ineinandergreifen der IT-Systeme. Die in Deutschland durch die HIMSS zertifizierten Krankenhäuser erreichen durchschnittlich den Wert 2,3 – damit liegen sie weit unter dem europäischen Durchschnitt von 3,6 (3). Die teilweise bereits eingeführten Tools wie die digitale Pflegedokumentation, die elektronische Patientenakte, mobile Visiten oder die zentrale Speicherung von Patientendaten zeigen, welche Vorteile die Digitalisierung mit sich bringt.
Dabei sollten Betreiber nicht aus dem Blick verlieren, dass sie in einem besonders sensiblen Bereich arbeiten. Laut IT-Sicherheitsgesetz (IT-SiG) und BSI-Kritisverordnung gehören Krankenhäuser mit mehr als 30.000 stationären Fällen pro Jahr zur kritischen Infrastruktur (KRITIS), haben also eine besondere Bedeutung für das staatliche Gemeinwesen. Sie müssen seit 2019 nachweisen, die IT-Sicherheit mit aktuellen technischen Lösungen abzusichern. Auch wenn dies nicht gesetzlich vorgeschrieben ist, so lohnt sich die Einrichtung von Sicherheitsstandards auch für kleinere Kliniken, um Krisen zu vermeiden beziehungsweise effizient mit ihnen umgehen zu können.
Dabei ist die Herstellung von Cybersicherheit im Krankenhaus mit besonderen Herausforderungen verbunden, weil eine Vielzahl von Prozessen ineinandergreifen, die jeder für sich ein Einfallstor für Angriffe darstellen. Zudem geht es nicht nur um Sicherheit als Selbstzweck, sondern zur Verhinderung von Versorgungsengpässen, Datenverlust und letztlich von Todesfällen. Oft handelt es sich nicht um einheitlich strukturierte, sondern durch eine Zunahme verschiedener digitaler Prozesse um gewachsene Systeme. Um die Effizienz- und Leistungsgewinne dieser Systeme nicht durch cyberkriminelle Aktivitäten oder andere Angriffe zu reduzieren, muss auf allen Ebenen Sicherheit mitgedacht werden. Das Thema sollte nicht als zusätzliche Last im ohnehin aufreibenden Klinikalltag verstanden werden, sondern als Prozessenabler der viele medizinische Leistungen erst möglich macht.