Vorbereitet für den Notfall? Fehlanzeige!
Die BSI-Bestimmung von kritischer Infrastruktur für Krankenhäuser ist zu unzureichend, um eine flächendeckende Versorgung der Bevölkerung bei Notsituationen zu gewährleisten.
Ein Cyberangriff auf die Krankenhaus-IT kann das Leben von Patienten gefährden und in den Einrichtungen Schäden in Millionenhöhe verursachen. Am 28. Februar 2017 veröffentlichte das Bundesministerium des Inneren (BMI) den erwarteten zweiten Teil der Bestimmung von kritischer Infrastruktur (BSI-KritisV) und konkretisiert erstmalig die Anforderungen an das Gesundheitswesen. Mit dem im Jahr 2016 in Kraft getretenen IT-Sicherheitsgesetzes soll gewährleistet werden, dass bei einem Ausfall der internen IT und den daraus entstehenden Notsituationen, dennoch eine medizinische Versorgung der Bevölkerung gegeben ist. Das Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG) hat den Referentenentwurf kritisch geprüft und kommt zu dem Ergebnis, dass dieser die reale Komplexität der Krankenhauslandschaft in Deutschland nicht hinreichend berücksichtigt. Er schafft keine ausreichenden Rahmenbedingungen, um in Notsituationen, wie Systemausfällen oder Hacker-Angriffen, eine flächendeckende medizinische Versorgung der Bevölkerung zu gewährleisten.
Der aktuelle Referentenentwurf der KRITIS V nutzt zur Einordnung eines Krankenhauses als kritische Infrastruktur die Messgröße von stationären Fällen. Krankenhäuser und Kliniken, die mehr als 30.000 Fälle im Jahr verzeichnen, gelten somit als kritische Infrastruktur und müssen u.a. die Meldepflichten gegenüber dem BSI erfüllen.
Regionale Bedeutung von Krankenhäusern
Die ausschließliche Betrachtung von Fallzahlen, trifft noch keine Aussage über die Notfallversorgung, die ein Krankenhaus leisten kann. Problematisch wird diese Betrachtungsweise nämlich dann, wenn berücksichtigt wird, dass es eine Vielzahl von Krankenhäusern und Kliniken gibt, die auf Eingriffe spezialisiert sind. Denn Krankenhäuser, die auf einen bestimmten Eingriff spezialisiert sind, die so eine kurze Verweildauer vorweisen, können demnach schnell eine höhere Fallzahl aufführen, als Krankenhäuser, die Eingriffe nicht so effizient durchführen. Allerdings wird hierbei nicht betrachtet, ob es sich um elektive Eingriffe, wie bspw. eine der Einsatz einer Knie-TEP oder aber die notfallmedizinische Versorgung von Patienten handelt. Somit können Krankenhäuser, die weniger als 30.000 Fälle im Jahr behandeln, für die Bevölkerung dennoch wichtiger Grundstein zu notfallmedizinischen Versorgung sein, insbesondere in Regionen, die über eine geringe Krankenhausdichte verfügen. Die Abbildung zeigt die Versorgungsstruktur von Krankenhäusern mit 30.000 und mehr stationären Fällen und die damit einhergehenden Versorgungslücken für die Gesamtbevölkerung, die in Notsituationen auftreten können. Nur rund 110 Krankenhäuser gelten laut BMI als kritische Infrastruktur, das entspricht etwa 6 Prozent aller Krankenhäuser in Deutschland. Allerdings stellte das Bundesamt für Sicherheit und Informationstechnik (BSI) in ihrer eigenen KRITIS-Sektorstudie „Gesundheit“ bereits fest, dass „neben reinen Größen- und Versorgungskennzahlen, der Aspekt zu berücksichtigen sei, dass einige Einrichtungen zwar nur eine vergleichsweise geringe Anzahl von Personen versorgen, für diesen Kreis aber teils überlebenswichtig sind [BSI2016].
Notfallversorgung
In Notfällen ist eine zügige Behandlung erforderlich, die nur durch eine örtliche Erreichbarkeit, von spezialisiertem Personal und entsprechenden Ressourcen (z.B. Herzkatheterlabor) in einer 24/7 Verfügbarkeit, gewährleistet werden kann. Zur Sicherstellung der flächendeckenden Notfallversorgung ist der vorliegende Einordnungsversuch deshalb nicht ausreichend. Es müssen die grundsätzlichen Strukturempfehlungen zu den akuten Notfallbildern (Tracerdiagnosen) der medizinischen Fachgesellschaften bei der Definition berücksichtigt werden. Die Sicherstellung einer wirklich flächendeckenden Versorgung der Bevölkerung ist daher nur möglich, wenn auch kleinere Krankenhäuser an der Umsetzung beteiligt werden.
Flächendeckende Versorgung durch Beteiligung in Stufen
Allein aus Sicht der Informationssicherheit wäre es natürlich wünschenswert, dass jedes Krankenhaus vollumfassend alle Anforderungen erfüllen muss. Unter Abwägung ökonomischer Aspekte ist aber eine Abstufung in der Umsetzung einzufordern. Alle an der Notfallversorgung teilnehmen Krankenhäuser müssen (nur) für diese Versorgungsbereiche ein Managementsystem zur Informationssicherheit (ISMS) einführen. Das ISMS muss aber weder pauschal zertifiziert werden, noch sollen sie verpflichtet werden an dem Meldeverfahren teilzunehmen.
Qualitätsprüfung
Zur Gewährung der Notfallversorgung für die relevanten Bereiche in Bezug auf die Einführung eines funktionierenden Informationssicherheitsmanagementsystems, müssen die medizinischen Zertifizierungsverfahren für die Notfallversorgung (DGU Traumanetzwerk, GRC Cardiac-Arrest-Center, DSG Stroke-Unit, etc.) dies als Qualitätsmerkmal einfordern.
Konkretisierungsvorschlag 1
Jedes Krankenhaus mit überregionaler Bedeutung (in der Vergangenheit oft als Maximalversorger oder Schwerpunktkrankenhaus bezeichnet) bzw. jedes Universitätsklinikum oder Krankenhäuser mit mehr als 600 Betten muss die Anforderungen der KRITIS-Verordnung inklusive Zertifizierung und Meldeverfahren für die gesamte Einrichtung erfüllen (2015: 174 KH).
Konkretisierungsvorschlag 2
Alle Krankenhäuser (2015: 1177) die über Betten zur intensiv-medizinischen Versorgung (ITS) verfügen, müssen für diesen Bereich bzw. für diese Leistungserbringung ein Managementsystem zur IT-Sicherheit (ISMS) einführen.
Konkretisierungsvorschlag 3
Jedes Krankenhaus, das eine Abteilung (Stroke Unit mit CT, Herzkatherlabor, usw.) zur Versorgung einer (oder mehrerer) der notfallrelevanten Tracerdiagnosen (vgl. [EP2016]) betreibt, muss für diesen Behandlungsprozess bzw. die daran beteiligten IT-Systeme ein Managementsystem zum IT-Sicherheit (ISMS) einführen.
Konkretisierungsvorschlag 4
Soweit telemedizinische Prozesse für die notfallmedizinische Versorgung erforderlich sind, so ist auch für dieses Verfahren ein Managementsystem zur IT-Sicherheit (ISMS) einzuführen.
Konkretisierungsvorschlag 5
Zukünftig muss ein ISMS die Voraussetzung für eine Zertifizierung Notfallversorgung (z.B. DGU Traumanetzwerk, GRC Cardiac-Arrest-Center, DSG Stroke-Unit, usw.) werden. Diese Zertifizierungsverfahren müssen das Vorhandensein des ISMS als Qualitätsmerkmal einfordern und prüfen.
Unsere detaillierte Stellungnahme, die Herleitung der Konkretisierungsvorschläge und die Quellenangabe finden Sie unter https://www.isdsg.de/institut/pressemitteilungen/isdsg-stellungnahme-zum-referentenentwurf-kritis-v-krankenhaeuser.