Das wünscht sich die Deutsche Krankenhausgesellschaft (DKG) und das Gesundheitswesen von Politik und Industrie
Spätestens seit Februar 2022 hat sich auch für Einrichtungen im Gesundheitswesen die Bedrohungslage im Bereich Cybersicherheit nochmals massiv verschärft. Täglich setzen sich Krankenhäuser gegen immer ausgefeiltere Varianten von Cyberangriffen zur Wehr – sowohl auf ihre Einrichtungen selbst als auch auf angeschlossene Dienstleister.
Michael Zimmer, Geschäftsführer der G DATA CyberDefense, berichtete in dieser Woche auf der DMEA 2025, einer der wichtigsten Messen im Bereich Digitalisierung im Gesundheitswesen in Europa von einer seit 2022 erheblich gestiegenen Bedrohungslage auch für Krankenhäuser. Wie andere kritische Infrastrukturen sind auch sie längst in den Fokus hochspezialisierter Angreifer geraten. Nicht nur der medizinische Fortschritt wird durch KI-Anwendungen ganz erheblich beschleunigt, KI ist auch im Bereich der Cybersicherheit zu einem kritischen Erfolgsfaktor sowohl bei der Entwicklung als auch der Abwehr von Schatzsoftware geworden.
Stehen wichtige Behandlungsinformationen, wie z.B. Arzneimittelunverträglichkeiten, nicht zur Verfügung, oder steht die OP-Planung infolge eines Cyberangriffs still, kann sich dies direkt auf die Patientensicherheit auswirken. Gleichzeitig sehen sich Krankenhäuser infolge der Krankenhausreform immensen wirtschaftlichen Herausforderungen gegenüber. Die Politik muss endlich anerkennen, dass Krankenhäuser für die Daseinsvorsorge unerlässlich sind. Bis heute gibt es für Krankenhäuser so gut wie keine Finanzierungsmöglichkeiten für IT-Betriebskosten. Diese müssen an anderer Stelle eingespart werden – eine Situation, die hochgefährlich werden kann!
Digitalisierung im Gesundheitswesen
Die Digitalisierung im Gesundheitswesen ist ohne adäquate Cybersicherheit nicht denkbar. Der positive Impuls des Krankenhaus-Zukunftsgesetzes droht jedoch innerhalb kürzester Zeit zu verpuffen, wenn der Gesetzgeber nicht anerkennt, dass die der Krankenhäuser in Deutschland 24 Stunden am Tag, 7 Tage die Woche, 360 Tage im Jahr einen deutlich höheren Ressourceneinsatz erforderlich macht, als dies vor fast 25 Jahren mit der Einführung des Fallpauschalensystems absehbar war.
Krankenhäuser wissen um ihre Verantwortung gegenüber den Patienten – und auch gegenüber ihren Mitarbeitenden. Die bestehenden gesetzlichen Anforderungen sind richtig, auch wenn sie sehr weitreichend sind. Allerdings braucht es angesichts des immer deutlicher werdenden Fachkräftemangels innovative Lösungen, zum Beispiel im Hinblick auf Kooperationsmöglichkeiten, damit sich auch Krankenhäuser mit vergleichsweise überschaubaren personellen Möglichkeiten rund um die Uhr gegen die steigende Bedrohungslage absichern können. Der Gesetzgeber sollte bestehende Hürden in diesem Bereich abbauen, bürokratische Hürden, zum Beispiel im Ausschreibungsrecht senken und anerkennen, dass für kritische Infrastrukturen in Deutschland teils völlig unterschiedliche regulatorische, finanzielle und personelle Rahmenbedingungen gelten. Es bedarf branchenspezifischer Vorgaben und Lösungen, keiner Gleichmacherei über alle Branchen und Sektoren hinweg.
Wünsche an die Industrie
Von der Industrie wünschen wir uns – insbesondere im Bereich der Medizinprodukte – Lösungen, die Security-by-Design beim Wort nehmen. Die Integration tausender Medizinprodukte in eine sichere IT-Infrastruktur kann nur gemeinsam mit der Industrie erfolgreich sein. Die Verantwortung allein beim Betreiber hochkomplexer und heterogener Infrastrukturen abzuladen, ist bequem, aber gefährlich. Krankenhäuser benötigen hier auch die Unterstützung des Gesetzgebers, um sich gegenüber teils weltweit operierenden Konzernen ausreichend Gehör zu verschaffen.
Der Kampf gegen Cyberkriminalität ist eine gesamtgesellschaftliche Aufgabe. Krankenhäuser leisten hierzu ihren Beitrag und stellen sich diesen Herausforderungen unter schwierigsten Bedingungen. Die Politik darf sie damit nicht alleine lassen. Auf EU-Ebene wird derzeit ein Aktionsplan für Cybersicherheit im Krankenhaus organisiert. Vieles von dem, was hier im Kontext Cybersicherheit für Krankenhäuser geplant wird, ist in Deutschland bereits umgesetzt. Deutschland kann und sollte sich in diesem Prozess selbstbewusst engagieren. Mit der Umsetzungspartnerschaft Kritische Infrastrukturen – UP KRITIS – besteht hier eine in Europa bisher einmalige Public-Private-Partnership Struktur, die Ministerien, Behörden, Verbände und Betreiber miteinander vernetzt und durch kurze Wege und hohes Vertrauen der Beteiligten untereinander optimale Bedingungen für den gemeinsamen Kampf gegen Cyberkriminalität schafft.
Spricht man dieser Tage mit Verteidigungsexperten wird klar, dass wir auch den physischen Schutz unserer Infrastrukturen sehr schnell auf ein neues Niveau heben müssen. Der Gesetzgeber darf keine Zeit verstreichen lassen, die Umsetzung der NIS 2- sowie der CR-Richtlinie schnellstmöglich auf den Weg zu bringen. Dabei darf es keine bürokratischen Doppelstrukturen für den Cyber- und physischen Schutz geben. Vorgaben sollten allgemein formuliert und die konkrete Ausgestaltung den Branchenexperten überlassen werden. Sie wissen am besten, wie sich die einzelnen Strukturen am besten schützen lassen. Denn am Ende sind unsere kritischen Infrastrukturen nicht nur in Deutschland genau das: kritisch für das Gemeinwohl der Gesellschaft.
