Eine Krankenschwester eilt durch einen Krankenhausflur
Krankenhäuser sind lebensnotwendig. Vor allem in Notsituationen ist es wichtig, dass alles reibungslos funktioniert. Bildrechte: Colourbox.de

Kritische Infrastruktur IT-Sicherheit in Krankenhäusern muss auf den Prüfstand

Zur "kritischen Infrastruktur", die zum Funktionieren des Landes notwendig ist, zählt der Gesetzgeber die Wasser-, Strom- und Gas-Versorgung, außerdem Computer- und Mobilfunknetze sowie: die Krankenhäuser des Landes. Letztere müssen bis Mitte 2019 nachweisen, dass sie auf einen Ausfall vorbereitet sind. Allerdings fallen nur Unternehmen ab einer bestimmten Größte unter diese Vorschriften. Und das könnte zum Problem werden.

von Marcel Roth, MDR AKTUELL

Eine Krankenschwester eilt durch einen Krankenhausflur
Krankenhäuser sind lebensnotwendig. Vor allem in Notsituationen ist es wichtig, dass alles reibungslos funktioniert. Bildrechte: Colourbox.de

Für Gerhard Oppenhorst sind kritische Infrastrukturen Alltag. Als Geschäftsführer von ESC, einer IT-Sicherheitsfirma in Halle, programmiert und betreut er unter anderem Firewalls und Virenschutzsysteme vor allem für kleine Krankenhäuser. Die Firma ESC kümmert sich überwiegend um Krankenhäuser, die noch unter dem Radar der jetzigen Kritischen-Infrastruktur-Verordnung (kurz: Kritis) liegen. Die großen Krankenhäuser würden in großen Verbünden kontrolliert werden, erklärt Oppenhorst. "Diese Verbünde haben viele Services zentralisiert und haben auch viele IT-Sicherheitstechniker, die das für mehrere Kliniken zentral machen", ergänzt der IT-Berater.

Problematisch für ländliche Regionen

Hat ein Krankenhaus mehr als 30.000 vollstationäre Fälle im Jahr, fällt es unter die Kritis-Verordnung. Als vollstationär gilt eine Behandlung, wenn ein Patient Tag und Nacht im Krankenhaus untergebracht ist und die stationären Leistungen komplett in Anspruch nimmt. In Sachsen, Sachsen-Anhalt und Thüringen sind das nur 17 von 169 Krankenhäusern. Das sind vor allem Unikliniken und Häuser in großen Städten. Kleinere Krankenhäuser – zum Beispiel in Gardelegen, Schleitz oder Döbeln – fallen nicht darunter. Vor allem für ländliche Regionen sei das nicht optimal, sagt Oppenhorst.

Das ist der Nachteil der Kritis-Verordnung, dass man sich an absoluten Zahlen orientiert. Wenn dort ein Krankenhaus in der Kreisstadt ausfällt, habe ich im Umkreis von 50 Kilometern eben kein Krankenhaus mehr, das funktioniert.

Gerhard Oppenhorst, Geschäftsführer ESC

Viele IT-Systeme veraltet

Ähnliche Anforderungen sollten deshalb auch für kleinere Krankenhäuser gelten, fordert Oppenhorst. Sachsen-Anhalts Sozialministerium schreibt auf Anfrage von MDR AKTUELL, es sei zwingend erforderlich, dass auch kleine Häuser über zeitgemäße IT-Systeme verfügten.

Der IT-Branchenverband Bitkom will sich nicht zu konkreten Anforderungen äußern, sagt aber, dass Krankenhäuser im Vergleich zu Banken und Versicherungen bei der IT-Sicherheit schlechter aufgestellt seien. Nabil Alsabah von Bitkom erklärt, dass viele Krankenhäuser mit älteren IT-Systemen arbeiten würden, die zum Teil nicht mehr von den Herstellern geupdatet würden. Verständlich, findet Alsabah, da es sich auch um sehr alte Geräte handele.

Sitte: Patientendaten unsicher

Damit steigt die Gefahr, dass Systeme durch Schadprogramme lahmgelegt werden oder Hacker Patientendaten erbeuten. Vor diesem Szenario warnt zum Beispiel die Linke-Bundestagsabgeordnete Petra Sitte.

Petra Sitte, DIE LINKE, im Deutschen Bundestag
Petra Sitte (Linke) befürchtet, dass Patientendaten unsicher gespeichert sind. Bildrechte: Deutscher Bundestag / Lichtblick/Achim Melde

Wir wissen, dass natürlich ein Markt besteht für Gesundheitsdaten. Es ist nicht die Frage, ob das Krankenhaus damit handelt, sondern es ist die Frage, ob die Infrastruktur des Krankenhauses angreifbar ist.

Petra Sitte, Linken-Bundestagsabgeordnete

Recht auf Datenschutz

Egal wie groß das Krankenhaus sei, Patienten hätten ein Anrecht, dass ihre Daten geschützt würden. Früher oder später würde jedes Krankenhaus unter die Kritis-Verordnung fallen, glaubt Sitte. Auf den ersten Blick sieht das auch CDU-Bundestagsabgeordneter Christoph Bernstiel so.

Wenn wir sagen, Krankenhäuser sind kritische Infrastruktur, dann bitte auch alle, aber wir evaluieren jetzt, nehmen solche Hinweise auf und schauen, was ist praktikabel und was nicht.

Christoph Bernstiel, CDU-Bundestagsabgeordneter

Politik muss mehr unterstützen

IT-Berater Gerhard Oppenhorst aus Halle ist skeptisch, ob sich die Politik dazu durchringt, alle Kliniken in die Kritis-Verordnung aufzunehmen. Die Politik müsste sehr viel mehr Mittel zur Verfügung stellen. "Und gerade im Gesundheitswesen wissen wir, dass sich die Politik da sehr schwer tut", ergänzt Oppenhorst.

Dieses Thema im Programm: MDR AKTUELL RADIO | 27. Dezember 2018 | 05:00 Uhr

Zuletzt aktualisiert: 27. Dezember 2018, 12:17 Uhr