Für eine erfolgreiche Cyberabwehr fehlt Krankenhäusern das Geld

03 Dezember, 2020

Kliniken bleibt von den Einnahmen nur ein geringer Betrag übrig, um in die IT-Sicherheit zu investieren – das gilt insbesondere für öffentliche Häuser / Hacker nehmen die Gesundheitswirtschaft gezielt ins Visier / Das „Zukunftsprogramm Krankenhäuser“ vom Bund soll Investitionslücken abfedern – mehr als vier Milliarden Euro stehen bereit / Im Vorteil bei der Antragstellung sind Unternehmen mit transparentem IT- und Digitalisierungsportfolio / Ab 2025 drohen Pönalen für Krankenhäuser, die ihren Betrieb nicht digitalisiert haben

Düsseldorf, 3. Dezember 2020

Deutsche Krankenhäuser geraten immer stärker in das Visier von Cyberkriminellen. Doch die Cyberabwehr der Kliniken ist schwach: Den Häusern fehlen die finanziellen Spielräume, um angemessen in ihre IT-Sicherheit zu investieren. Von 100 Euro Einnahmen bleiben im Schnitt lediglich zehn Euro übrig, die für Investitionen genutzt werden können. Die IT-Ausstattung ist hier lediglich ein Investitionsbereich von mehreren Wichtigen, sodass in der Realität deutlich weniger als zehn Euro in die Cyberabwehr fließen. Die übrigen Mittel geben die Kliniken für Personal (61 Euro) und Material (29 Euro) aus, wie die PwC-Studie „Krankenhäuser im Vergleich – Kennzahlen 2020“ belegt. Besonders ungünstig fällt diese sogenannte Material- und Personalaufwandsquote in öffentlichen Häusern aus: Ihnen bleiben lediglich acht Euro für Investitionen. Am besten stehen Krankenhäuser in privater Trägerschaft da, die fast den doppelten Betrag (knapp 16 Euro) in ihre IT-Sicherheit und weitere Projekte investieren können.

Die Bedrohungslage ist gerade im Gesundheitswesen angespannt

Dieser finanzielle Engpass trifft die Krankenhäuser ausgerechnet in einer Zeit, in der Kriminelle gezielt das Gesundheitswesen ins Visier nehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, dass die Bedrohungslage hoch ist – wie die jüngsten Hackerangriffe etwa auf das Universitätsklinikum Düsseldorf zeigen. Auch Interpol hat festgestellt, dass Kriminelle es insbesondere auf das Gesundheitswesen abgesehen haben. Wie aus einer Antwort auf eine Parteianfrage an die Bundesregierung hervorgeht, gab es bis Anfang November 43 erfolgreiche Angriffe auf Unternehmen der Gesundheitswirtschaft – damit hat sich die Zahl im Vergleich zum Vorjahr bereits verdoppelt. Insgesamt wurden 171 KRITIS-Einrichtungen zum Ziel von Hackern. Die Dunkelziffer liegt vermutlich weit höher.

Für Krankenhäuser hat ein Cyberangriff fatale Folgen: Im Ernstfall wird der gesamte Betrieb lahmgelegt, sodass es buchstäblich um Leben und Tod gehen kann.

„Wir stellen fest, dass Kriminelle ausgerechnet im Jahr der COVID-19-Pandemie Schwachstellen gezielt ausnutzen und angreifen. Umso wichtiger ist es für Krankenhäuser, laufend zu investieren – auf technischer ebenso wie auf organisatorischer und personeller Ebene. Die Kliniken stehen aber vor enormen finanziellen Herausforderungen. Allein können sie die notwendigen Investitionsmittel nicht aufbringen.“

Michael Burkhart,Leiter des Bereichs Gesundheitswirtschaft bei PwC Deutschland

Digitalisierung und Sicherheit gehören zusammen

Die Digitalisierung der Krankenhäuser schreitet voran, die COVID-19-Pandemie hat ihr einen weiteren Schub verliehen. Dieser zunehmende Grad an Digitalisierung lässt auch die Zahl der Schnittstellen und Angriffspunkte wachsen – entsprechend hoch sind inzwischen die Anforderungen an die IT-Systeme von Krankenhäusern und die regulatorischen Vorgaben.

„Die digitale Transformation lässt sich in Krankenhäusern nur erfolgreich umsetzen, wenn auch die Informationssicherheit Schritt hält. Nachlässigkeiten in diesem Bereich können fatale Folgen haben und führen zu Haftungsrisiken für die Organisation ebenso wie für die Führungskräfte persönlich. Daher ist es dringend notwendig, Risiken zu minimieren und in die IT-Sicherheit zu investieren.“

Jörg Asma,Partner Cyber Security bei PwC Deutschland

Digitales Update mit dem „Zukunftsprogramm Krankenhäuser“

Weil gerade Krankenhäuser auf eine sichere IT-Infrastruktur angewiesen sind, ihnen aber der finanzielle Spielraum für Investitionen fehlt, hat die Bundesregierung das Krankenhauszukunftsgesetz (KHZG) beschlossen. Mit dem „Zukunftsprogramm Krankenhäuser“ fördert die Bundesregierung Projekte, die dem Ausbau von Notfallkapazitäten, der digitalen Transformation und der Informationssicherheit in Krankenhäusern dienen. Drei Milliarden Euro bringt der Bund auf, die Länder geben weitere 30 Prozent, also bis zu 1,3 Milliarden Euro, an Investitionsmitteln dazu. „Endlich hat die Politik erkannt, dass Krankenhäuser die Investitionslücke nicht allein schließen können. Das gilt insbesondere für Häuser, die als Kritische Infrastrukturen gelten und hohe Sicherheitsstandards erfüllen müssen. Das Zukunftsprogramm Krankenhaus ist ein erster Schritt, um die Finanzierung auf eine solidere Basis zu stellen. Auf Dauer brauchen wir aber eine grundsätzliche Neuregelung der Krankenhausfinanzierung“, so PwC-Experte Michael Burkhart.

Die Chance nicht verstreichen lassen

Gesetzgeber hat auch erkannt, welch große Rolle Cybersicherheit in der digitalen Gesundheitsversorgung spielt. Das Zukunftsprogramm Krankenhaus sieht daher vor, dass mindestens 15 Prozent der Fördermittel in IT-Sicherheit investiert werden müssen. Vier Jahre haben die Kliniken Zeit, um ihre Digitalisierungsprojekte rund um die Gesundheitsversorgung umzusetzen, ihren Bedarf melden sie gegenüber ihrem jeweiligen Bundesland an – einen Anspruch auf Förderung gibt es allerdings nicht. „Das ist eine große Chance, die Krankenhäuser keinesfalls verstreichen lassen sollten“, bilanziert Jörg Asma. „Im Vorteil bei der Antragstellung und Umsetzung sind in jedem Fall Kliniken, die ihr Digitalisierungs- und IT-Portfolio bereits transparent planen und steuern. Entscheidend ist ebenso, dass Technologien, Methoden, Prozesse und Mitarbeiter optimal aufeinander abgestimmt sind. Dazu bedarf es eines stimmigen Gesamtkonzeptes.“

Über PwC:

PwC betrachtet es als seine Aufgabe, Vertrauen in die Gesellschaft aufzubauen und wichtige Probleme zu lösen. Mehr als 284.000 Mitarbeiter in 155 Ländern tragen hierzu mit hochwertigen, branchenspezifischen Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuer- und Unternehmensberatung bei. Erfahren Sie mehr und teilen Sie uns mit, was Ihnen wichtig ist, indem Sie uns unter www.pwc.de besuchen.

PwC bezieht sich auf das PwC-Netzwerk und/oder eine oder mehrere der rechtlich selbstständigen Netzwerkgesellschaften. Weitere Informationen finden Sie unter www.pwc.com/structure.

Contact us

Barbara Bossmann

Barbara Bossmann

PwC Communications, PwC Germany

Follow us