Ist die kritische Gesundheitsinfrastruktur geschützt?
„Die Gesundheitsämter: Mit Papier, Stift und Fax gegen Corona“, titelte 2021 die Presse. In der Kritik standen die digitale Anbindung und damit die Vernetzung von Haus- und Fachärzt:innen, Krankenhäusern und Laboren mit den Gesundheitsämtern. Dabei sollten die Gesundheitsämter in Deutschland längst ihren höchsten digitalen Reifegrad erreicht haben, so die Planung. In der Pandemie tat sich schließlich eine empfindliche Lücke auf. Doch nicht nur der schnelle, vernetzte Datentransfer geriet in die Diskussion; auch die IT-Security in der kritischen Gesundheitsinfrastruktur sieht sich seitdem auf dem Prüfstand. Wie sicher sind Patient:innendaten im Krankenhaus? Ist die Informations- und Datensicherheit bei den Akteuren im Gesundheitswesen jederzeit gewährleistet? Und sind IT-Security-Lösungen tatsächlich so robust und verlässlich schützend, wie sie vorgeben?
Das digitale Krankenhaus
Freigestelltes Zitat:
„Je mehr Digitalisierung in der kritischen Gesundheitsinfrastruktur, desto wichtiger wird die Sicherheit, so einfach und gleichzeitig hochkomplex ist das Ganze.“
CISO etabliert Sicherheitsarchitektur
IT-Security ist keine Nische, sondern eine Notwendigkeit, die alles durchdringt. Die kritische Gesundheitsinfrastruktur ist davon nicht ausgenommen. Die Zahl der Krankenhäuser, die den Anforderungen aus dem IT-Sicherheitsgesetz genügen müssen, wird in Zukunft, unabhängig von der gesetzlichen Verpflichtung, zunehmen. Aus den Erfordernissen und Notwendigkeiten zur Digitalisierung heraus sind neue, für die Informations- und Datensicherheit im gesamten Unternehmen verantwortliche Positionen und Abteilungen entstanden. Verstärkt bauen sich Kliniken mit eigenen Expert:innen betriebene Security Operation Center (SOC) auf, was die Häuser in die Lage versetzen soll, Hackerangriffe von außen zu analysieren, um die eigenen IT-Systeme und die IT-Infrastrukturen stabil zu halten und vor Schaden angesichts immer komplexer werdender Angriffstechnologien zu schützen.
Mit dem SOC ist zudem die IT-Sicherheit nicht nur in der Krankenversorgung, sondern auch hinsichtlich der Medizin- und Gebäudetechnik berücksichtigt. Verantwortlicher Kopf für die gesamte Unternehmens- und Cybersicherheit ist der Chief Information Security Officer (CISO, all genders). Dessen Aufgabenfeld ist gegenüber dem Chief Security Officer (CSO, all genders) oder einem Ressortleiter, einer Ressortleiterin, für Sicherheit weitaus größer. Ein CISO, ob im Krankenhaus oder im Gesundheitsamt tätig, erarbeitet eine ganzheitliche Gesamtstrategie für die Informationssicherheit, ist aber organisatorisch nicht in der IT verankert, sondern meist dem CEO oder dem CIO direkt unterstellt.
Von der Notwendigkeit überzeugen
Auf Basis einer interdisziplinären Strategie erstellt ein CISO eine individuelle Analyse aller Systeme und Prozesse, um eine geschützte und robuste Sicherheitsarchitektur zu gewährleisten. Der CISO optimiert Sicherheitsrichtlinien, steuert das Identity Management und leitet Trainings und Awareness-Schulungen für die Mitarbeiter:innen. Kommunikationsfähigkeiten und ein großes Durchsetzungsvermögen sind zwingend, vor allem wenn ein CISO über die Notwendigkeit der IT-Security und über Anpassungen von Prozessabläufen im Unternehmen überzeugen muss. Spätestens wenn die Führungskraft CISO bei einem sicherheitsrelevanten Vorfall als rettende:r „Superman“ oder „Superwoman“ eingreift, endet die Diskussion über die Relevanz der Funktion. Wer solche Vorfälle beziehungsweise IT-Lücken und Cyberangriffe unterschätzt, verkennt die Rolle des CISO eklatant.
Sicherheit, wo Fäden zusammenlaufen
Auf die IT-Security-Expert:innen in der kritischen Infrastruktur wartet viel Arbeit. Oft finden sie in Krankenhäusern IT-Systeme und Software-Applikationen vor, die wie ein Patchwork nebeneinander parallel laufen und nicht immer kompatibel sind, was ein Einfallstor für das Ausspähen sensibler Daten darstellt. Darüber hinaus müssen diese Expert:innen die Kliniken als Schnittstellen für die Vernetzung von Praxen und Krankenkassen vorausschauend strategisch betrachten – die multisektorale Vernetzung über die Grenzen des Krankenhauses hinweg, von der Pflege bis zur ambulanten Versorgung in den Arztpraxen, ist auch ein von der Politik formuliertes Nachhaltigkeitsziel.
Prozesse und Verantwortlichkeiten werden sich in der Digitalisierung weiter verändern, ein Zurück gibt es nicht und spräche auch gegen jeden Fortschritt. HAGER Executive Consulting, die seit der Gründung vor über 25 Jahren die Digitalisierung und die vernetzten Technologien im Fokus hat, beobachtet die Herausforderungen seit langem: Je mehr Technologie und KI in der Therapie und Diagnostik zum Einsatz kommen, umso komplexer werden die Anforderungen an die IT-Security in der kritischen Gesundheitsinfrastruktur.
Letztere zu managen, und dabei stets die Balance zu finden zwischen Datensicherheit und unternehmerischer Effektivität, ist die Aufgabe gezielt ausgebildeter IT-Security-Expert:innen, und zwar überall dort, wo die Fäden schnell und transparent zusammenlaufen müssen, ob in Laboren, in Gesundheitsämtern oder Kliniken. Voraussetzung hierfür ist jedoch ein verändertes Mindset und eine Kultur der Dringlichkeit bei vielen Verantwortlichen. Nochmal: IT-Security ist keine Nische, sondern durchdringt alle Bereiche im Gesundheitswesen. Nicht immer sollte erst die Politik zu Maßnahmen auffordern oder gar zwingen müssen. Eigenverantwortung ist gefragt.
Noch ist die Botschaft einer optimalen IT-Security nicht überall angekommen, doch sie zu ignorieren hieße, sich vermeidbaren Risiken und vor allem einem enormen Vertrauensverlust seitens der Patient:innen auszusetzen.
Lesen Sie auch: Zwei Schritte voraus: Wie Führung in der digitalen Transformation gelingt
Die Autoren: Dr. med. Markus Neumann, Business Unit Leiter Life Sciences & Healthcare und Michaela Bender, Manager Healthcare
