Aus der Branche -

BSI-KritisV Vorbereitet für den Notfall? Fehlanzeige!

Laut dem Institut für Sicherheit und Datenschutz im Gesundheitswesen ist die BSI-Bestimmung von kritischer Infrastruktur für Krankenhäuser unzureichend, um die flächendeckende Versorgung der Bevölkerung bei Notsituationen zu gewährleisten. Eine Stellungnahme und fünf Konkretisierungsvorschläge.

Themenseite: Datensicherheit

Ein Cyberangriff auf die Krankenhaus-IT kann das Leben von Patienten gefährden und in den Einrichtungen Schäden in Millionenhöhe verursachen. Am 28. Februar 2017 veröffentlichte das Bundesministerium des Inneren (BMI) den erwarteten zweiten Teil der Bestimmung von kritischer Infrastruktur (BSI-KritisV) und konkretisiert erstmalig die Anforderungen an das Gesundheitswesen. Mit dem im Jahr 2016 in Kraft getretenen IT-Sicherheitsgesetzes soll gewährleistet werden, dass bei einem Ausfall der internen IT und den daraus entstehenden Notsituationen, dennoch eine medizinische Versorgung der Bevölkerung gegeben ist. Das Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG) hat den Referentenentwurf nach eigenen Angaben kritisch geprüft und sei zu dem Ergebnis gekommen, dass dieser die reale Komplexität der Krankenhauslandschaft in Deutschland nicht hinreichend berücksichtigt. „Er schafft keine ausreichenden Rahmenbedingungen, um in Notsituationen, wie Systemausfällen oder Hackerangriffen, eine flächendeckende medizinische Versorgung der Bevölkerung zu gewährleisten“, heißt es in der dazugehörenden Pressemitteilung des ISDSG.

Weiter heißt es darin: „Der aktuelle Referentenentwurf der Kritis V nutzt zur Einordnung eines Krankenhauses als kritische Infrastruktur die Messgröße von stationären Fällen. Krankenhäuser und Kliniken, die mehr als 30.000 Fälle im Jahr verzeichnen, gelten somit als kritische Infrastruktur und müssen u.a. die Meldepflichten gegenüber dem BSI erfüllen.“

Regionale Bedeutung von Krankenhäusern

Die ausschließliche Betrachtung von Fallzahlen trifft laut ISDSG noch keine Aussage über die Notfallversorgung, die ein Krankenhaus leisten kann. Problematisch werde diese Betrachtungsweise, wenn berücksichtigt wird, dass es eine Vielzahl von Krankenhäusern und Kliniken gibt, die auf Eingriffe spezialisiert sind. Denn Krankenhäuser, die auf einen bestimmten Eingriff spezialisiert sind, die so eine kurze Verweildauer vorweisen, können demnach schnell eine höhere Fallzahl aufführen, als Krankenhäuser, die Eingriffe nicht so effizient durchführen, so das ISDSG. Allerdings werde hierbei nicht betrachtet, ob es sich um elektive Eingriffe oder die notfallmedizinische Versorgung handelt. Somit könnten Krankenhäuser, die weniger als 30.000 Fälle im Jahr behandeln, für die Bevölkerung dennoch wichtiger Grundstein zu notfallmedizinischen Versorgung sein, insbesondere in Regionen, die über eine geringe Krankenhausdichte verfügen. „Die Abbildung zeigt die Versorgungsstruktur von Krankenhäusern mit 30.000 und mehr stationären Fällen und die damit einhergehenden Versorgungslücken für die Gesamtbevölkerung, die in Notsituationen auftreten können“, heißt es von Seiten des ISDSG. Nur rund 110 Krankenhäuser sollen laut BMI demnach als kritische Infrastruktur gelten, das entspreche etwa sechs Prozent aller Krankenhäuser in Deutschland. Allerdings habe das Bundesamt für Sicherheit und Informationstechnik (BSI) in ihrer eigenen KRITIS-Sektorstudie Gesundheit bereits festgestellt, dass „neben reinen Größen- und Versorgungskennzahlen, der Aspekt zu berücksichtigen sei, dass einige Einrichtungen zwar nur eine vergleichsweise geringe Anzahl von Personen versorgen, für diesen Kreis aber teils überlebenswichtig sind“. (BSI2016)

„In Notfällen ist eine zügige Behandlung erforderlich, die nur durch eine örtliche Erreichbarkeit, von spezialisiertem Personal und entsprechenden Ressourcen (z.B. Herzkatheterlabor) in einer 24/7 Verfügbarkeit, gewährleistet werden kann. Zur Sicherstellung der flächendeckenden Notfallversorgung ist der vorliegende Einordnungsversuch deshalb nicht ausreichend. Es müssen die grundsätzlichen Strukturempfehlungen zu den akuten Notfallbildern (Tracerdiagnosen) der medizinischen Fachgesellschaften bei der Definition berücksichtigt werden. Die Sicherstellung einer wirklich flächendeckenden Versorgung der Bevölkerung ist daher nur möglich, wenn auch kleinere Krankenhäuser an der Umsetzung beteiligt werden“, schreibt das ISDSG.

Beteiligung in Stufen

Allein aus Sicht der Informationssicherheit wäre es natürlich wünschenswert, dass jedes Krankenhaus vollumfassend alle Anforderungen erfüllen muss. Unter Abwägung ökonomischer Aspekte ist aber eine Abstufung in der Umsetzung einzufordern. Alle an der Notfallversorgung teilnehmen Krankenhäuser müssten (nur) für diese Versorgungsbereiche ein Managementsystem zur Informationssicherheit (ISMS) einführen. Das ISMS muss aber weder pauschal zertifiziert werden, noch sollen sie verpflichtet werden an dem Meldeverfahren teilzunehmen. Zur Gewährung der Notfallversorgung für die relevanten Bereiche in Bezug auf die Einführung eines funktionierenden Informationssicherheitsmanagementsystems, müssen die medizinischen Zertifizierungsverfahren für die Notfallversorgung (DGU Traumanetzwerk, GRC Cardiac-Arrest-Center, DSG Stroke-Unit, etc.) dies als Qualitätsmerkmal einfordern.

Basierend darauf macht das ISDSG folgende fünf Konkretisierungsvorschläge:

1. Jedes Krankenhaus mit überregionaler Bedeutung (in der Vergangenheit oft als Maximalversorger oder Schwerpunktkrankenhaus bezeichnet) bzw. jedes Universitätsklinikum oder Krankenhäuser mit mehr als 600 Betten muss die Anforderungen der KRITIS-Verordnung inklusive Zertifizierung und Meldeverfahren für die gesamte Einrichtung erfüllen (2015: 174 KH).

2. Alle Krankenhäuser (2015: 1177), die über Betten zur intensiv-medizinischen Versorgung (ITS) verfügen, müssen für diesen Bereich bzw. für diese Leistungserbringung ein Managementsystem zur IT-Sicherheit (ISMS) einführen.

3. Jedes Krankenhaus, das eine Abteilung (Stroke Unit mit CT, Herzkatherlabor, usw.) zur Versorgung einer (oder mehrerer) der notfallrelevanten Tracerdiagnosen (vgl. [EP2016]) betreibt, muss für diesen Behandlungsprozess bzw. die daran beteiligten IT-Systeme ein Managementsystem zum IT-Sicherheit (ISMS) einführen.

4. Soweit telemedizinische Prozesse für die notfallmedizinische Versorgung erforderlich sind, so ist auch für dieses Verfahren ein Managementsystem zur IT-Sicherheit (ISMS) einzuführen.

5. Zukünftig muss ein ISMS die Voraussetzung für eine Zertifizierung Notfallversorgung (z.B. DGU Traumanetzwerk, GRC Cardiac-Arrest-Center, DSG Stroke-Unit, usw.) werden. Diese Zertifizierungsverfahren müssen das Vorhandensein des ISMS als Qualitätsmerkmal einfordern und prüfen.

Die detaillierte Stellungnahme des ISDSG, die Herleitung der Konkretisierungsvorschläge und die Quellenangabe finden Sie hier: https://www.isdsg.de/institut/pressemitteilungen/isdsg-stellungnahme-zum-referentenentwurf-kritis-v-krankenhaeuser.

© hcm-magazin.de 2017 - Alle Rechte vorbehalten
Kommentare
Bitte melden Sie sich an, um Ihren Kommentar angeben zu können.
Login

* Pflichtfelder bitte ausfüllen