Interview: „Krankenhäuser müssen jetzt in Cyber-Sicherheit investieren“

14 Juli, 2020

Ein Interview mit Jörg Asma, Raik Uhlmann und Dr. Benedict Gross. Die Corona-Krise hat gezeigt, wie wichtig die Digitalisierung im Gesundheitswesen ist – und wie viel sich innerhalb kürzester Zeit realisieren lässt. Mit der Einführung digitaler Strukturen wächst aber auch die Verwundbarkeit und das Risiko für Cyber-Angriffe steigt.

Krankenhäuser müssen ihre IT-Sicherheit deshalb jetzt unbedingt auf den neuesten Stand bringen, sagen Jörg Asma, Partner im Bereich Cyber Security, Raik Uhlmann, Leiter PwC CompetenceTeam Förderberatung, und Dr. Benedict Gross, Experte für Business Continuity und Krisenmanagement. Im Interview erläutern die PwC-Experten, welche Fördermittel Kliniken für dieses Vorhaben nutzen können und worauf es bei der Umsetzung ankommt.

Warum sind Krankenhäuser so anfällig für Cyber-Angriffe?

Jörg Asma: Krankenhäuser sind lebenswichtige Einrichtungen für unsere Gesellschaft. Auch gerade deshalb geraten sie zunehmend ins Visier von Cyber-Kriminellen. Und allzu häufig sind sie ein leichtes Opfer für Angriffe aus dem Cyberspace. Gründe dafür gibt es viele: vom Investitionsstau über Schwierigkeiten bei der Rekrutierung von qualifiziertem IT-Personal bis hin zu historisch gewachsenen IT-Strukturen, die unüberschaubar und nicht auf dem neuesten Stand der (Sicherheits-)Technik sind. Aber es sind nicht nur Cyber-Kriminelle, die Schaden anrichten. Zu Datenschutzpannen, Systemausfällen und Sicherheitsvorfällen kann es in diesem Umfeld auch ohne fremdes Zutun kommen.

Dabei gibt es einen branchenspezifischen Sicherheitsstandard, den so genannten B3S, der genau festlegt, wie sich Kliniken absichern müssen.

Benedict Gross: Genau, die Deutsche Krankenhausgesellschaft hat im B3S-Katalog den aktuellen Stand der Technik für Krankenhäuser beschrieben. Dieser Standard ist für Häuser anzulegen, die zur kritischen Infrastruktur (KRITIS) zählen, also Kliniken mit über 30.000 vollstationären Patienten im Jahr. Diese sind gesetzlich verpflichtet, ihre IT-Systeme auf den Stand der Technik zu bringen und sichere, widerstandsfähige IT-Strukturen aufzubauen. Es ist aus meiner Sicht jedoch sinnvoll, dass jeder medizinische Versorgungsbetrieb, nicht nur KRITIS-Häuser, für das im B3S beschriebene Sicherheitsniveau sorgt.

Krankenhäuser sind auch unterhalb der KRITIS-Schwelle Einrichtungen, bei denen wir uns darauf verlassen müssen, dass sie zuverlässig funktionieren und auch ihre digitalen Systeme im Griff haben. Gleiches gilt natürlich für alle anderen Beteiligten am Gesundheitswesen ebenso, bis hin zu den niedergelassenen Ärzten, Laboren, Apotheken, Rettungs- und Transportdiensten.

Was ist das Besondere an diesem branchenspezifischen Sicherheitsstandard?

Asma: Die Anforderungen aus dem B3S – übrigens 168 an der Zahl – sind nicht nur technischer Natur. Sie betreffen auch die Organisation und die Prozesse. Der B3S geht von einem „Allgefahren-Ansatz“ aus. Er adressiert also sämtliche Risiken, die durch Informationssysteme oder vernetzte Medizingeräte entstehen können. Unter den Schutzzielen werden explizit auch die Auswirkungen auf Patientensicherheit und Behandlungseffektivität betrachtet.

Gross: Auf dieses Ziel zahlt im Übrigen auch das kürzlich beschlossene Patientendaten-Schutz-Gesetz (PDSG) ein, das digitale Lösungen – etwa das E-Rezept, digitale Facharztüberweisungen oder die elektronische Patientenakte – schnell auf den Markt bringen und dabei die sensiblen Daten der Patienten bestmöglich schützen soll. Dafür braucht es einfach einen hohen IT-Sicherheitsstandard in allen medizinischen Einrichtungen.

Es geht hier gleichermaßen um den Schutz der Daten aber auch um die Sicherstellung ihrer Verfügbarkeit, wenn es darauf ankommt.

Um die IT-Infrastruktur auf den höchsten Sicherheitsstand zu bringen, müssen die Häuser allerdings große Summen in die Hand nehmen – oft sind Hunderttausende bis Millionen Euro nötig. Wie sollen sie diese Mittel in einer angespannten Budgetsituation aufbringen?

Asma: Indem sie Fördermittel geschickt ausnutzen. KRITIS-Häuser können zum einen Finanzmittel aus dem Krankenhausstrukturfonds beantragen. In der zweiten Förderperiode dieses Fonds, die seit 2019 läuft und noch bis 2021 geht, liegt einer der Schwerpunkte auf dem Ausbau der IT-Sicherheit. KRITIS-Häuser können daraus Mittel beantragen, um ihre IT-Systeme auf den aktuellen Stand der Technik zu bringen. Der Krankenhausstrukturfonds II ermöglicht Maßnahmen mit einem Gesamtvolumen von rund vier Milliarden Euro.

Wie gehen Krankenhäuser vor, um Mittel aus dem Krankenhausstrukturfonds II zu erhalten?

Raik Uhlmann: Dafür müssen die Träger zunächst einen Antrag bei ihrem für die Finanzierung zuständigen Landesministerium stellen. Im zweiten Schritt findet ein mehrstufiger Konsultationsprozess auf Landesebene statt, bei dem auch die Krankenkassen eingebunden werden. Nach Auswahl der förderwürdigen Vorhaben stellen die Bundesländer entsprechende Anträge beim Bundesamt für Soziale Sicherung, das mit der Verwaltung der Mittel aus dem Fonds beauftragt wurde.

Die Förderung aus dem Krankenhausstrukturfonds können nur KRITIS-Häuser nutzen. Kleinere Krankenhäuser und Universitätskliniken sind ausgeschlossen. Welche Alternativen gibt es?

Uhlmann: Kliniken, die nicht zur kritischen Infrastruktur zählen, können möglicherweise Mittel aus dem Covid-19-Konjunktur- und Krisenbewältigungspaket nutzen, das Anfang Juni 2020 von der Bundesregierung beschlossen wurde. Mit einem zusätzlichen Volumen von drei Milliarden Euro soll das Paket vielfältige Investitionen von Krankenhäusern unterstützen, unter anderem auch Maßnahmen zur Verbesserung der digitalen Infrastruktur und Investitionen in die IT-Sicherheit. Das Besondere: Der erforderliche Eigenfinanzierungsanteil, den die Krankenhäuser selbst aufbringen müssen, soll bei diesen Maßnahmen von 50 auf 30 Prozent gesenkt werden. Die konkrete Umsetzung des Programms steht noch aus. Doch vermutlich wird das Verfahren über die Strukturen des Krankenhausstrukturfonds abgewickelt.

Was raten Sie Krankenhäusern, die das Thema IT-Sicherheit effektiv und strukturiert angehen möchten?

Gross: Wir plädieren für einen Dreiklang aus Strategie, Planung und Finanzierung. Zuallererst braucht es eine solide Investitionsstrategie und eine praktikable Roadmap für die Umsetzung. Meist wird das ein ganzes Bündel von Projekten sein. Dann gilt es, die erforderlichen Zuschüsse und Fördermittel geschickt einzuwerben. Der Ausgangspunkt dafür ist immer eine Bewertung des Status quo. Denn nur, wer die aktuelle Situation genau durchleuchtet, kann den technischen und organisatorischen Stand des Krankenhauses mit den Anforderungen des B3S vergleichen und etwaigen Förderbedarf schlüssig darlegen.

Asma: Wichtig ist, dass Krankenhäuser das Heft des Handelns jetzt in die Hand nehmen und in Cyber-Sicherheit investieren. Denn die Folgen, die ein nachlässiger Umgang mit der Digitalisierung haben kann, sind gravierend: Zum einen drohen hohe Geldbußen, wenn die Vorgaben zur IT-Sicherheit nicht eingehalten werden. Das geplante IT-Sicherheitsgesetz 2.0 sieht Strafzahlungen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes vor. Aber es drohen nicht nur wirtschaftliche Risiken für die Organisation, sondern auch persönliche Haftungsrisiken für die Verantwortlichen, Vorstände und Aufseher.

Die Verantwortung für das Management von Cyber-Sicherheit sehen Sie also auf der Führungsebene?

Gross: Absolut. Das Thema gehört zu den Kernaufgaben von Vorständen und Geschäftsführern und wird die Agenda und Investitionspläne von Krankenhäusern dauerhaft bestimmen. Und auch Aufsichtsräte kommen um eine Überwachung der IT-Sicherheit nicht umhin. Die Verantwortlichen können dabei zwar auf die Unterstützung von Fachexperten zurückgreifen. Die letztendliche Verantwortung für einen cybersicheren und somit auch zuverlässigen und patientensicheren Betrieb liegt aber auf der Führungsebene und lässt sich nicht delegieren.

Contact us

Jörg Asma

Jörg Asma

Partner Cyber Security, PwC Germany

Tel.: +49 221 2084-103

Raik Uhlmann

Raik Uhlmann

Fördermittelberatung, PwC Germany

Tel.: +49 30 2636-5349

Dr. Benedict Gross

Dr. Benedict Gross

Senior Manager, PwC Germany

Tel.: +49 89 5790-5575

Follow us