NIS2 & Cybersecurity
Die Krankenhaus-IT wählt den Notruf
Immer mehr Auflagen, Vorschriften, Gesetze, aber immer weniger Fachpersonal: Krankenhäusern und medizinischen Einrichtungen fällt es zunehmend schwerer, eine sichere und funktionale IT-Infrastruktur bereitzustellen. Lösungen gäbe es, doch die Politik stellt sich oft noch quer.
Sicherheitsexperten befürworten die Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) zurecht. Die branchenübergreifende voranschreitende Digitalisierung macht es dringend notwendig, der IT-Sicherheit einen höheren Stellenwert einzuräumen. Das ist auch im Gesundheitswesen nicht anders, wo Krankenhäuser und medizinische Einrichtungen hochsensible Daten wie die digitalen Patientenakten speichern und verwalten. Gerade diese höchstpersönlichen Informationen unterliegen laut dem Patientendatenschutzgesetz (PDSG) sogar noch höheren Sicherheitsanforderungen als beispielsweise Kundendaten von Finanzdienstleistern.
Hilflos, aber in der Pflicht
Es ist somit absolut nachvollziehbar, dass vor allem Krankenhäuser als Betriebe der kritischen Infrastruktur die strengen NIS2-Richtlinien erfüllen müssen, ihre IT-Sicherheit also dem »Stand der Technik« entsprechen muss. Dazu gehören Vorkehrungen wie zum Beispiel eine konsistente Backup-Strategie, Zero-Trust-Ansätze und ähnliche Sicherheitsmaßnahmen. Um zu prüfen, ob die Institutionen ihren gesetzlichen Auflagen nachkommen, finden in regelmäßigen Abständen Untersuchungen, sogenannte Security Audits, statt. Oft zeigen sie, dass es an vielen essenziellen Schutzvorkehrungen mangelt. Auch wenn die DSGVO, das PDSG und die NIS2-Richtlinien sehr klar definieren, welche Voraussetzungen Krankenhäuser und andere Einrichtungen des Gesundheitswesens zu erfüllen haben, bleibt eine Frage viel zu oft auf der Strecke: Wie können sie diesen Anforderungen überhaupt gerecht werden?
Durch die Sensibilität der von medizinischen Einrichtungen erhobenen und verwalteten Daten ergibt sich im Vergleich zu Banken oder anderen Unternehmen eine Besonderheit: Krankenhäuser dürfen aus Gründen des Datenschutzes oft keine Daten bei externen IT-Dienstleistern speichern. Was oberflächlich betrachtet durchaus Sinn ergibt, hält einer tieferen und praxisorientierten Analyse nicht Stand. Die IT-Abteilungen von Krankenhäusern sind dadurch heute selten in der Lage, sämtliche Auflagen von EU, Bund und Ländern praktisch umzusetzen. Auch ohne die immer strenger werdenden Verordnungen, arbeiten viele bereits durch ihre alltäglichen Aufgaben am Limit.
Ohne sichere IT kein Datenschutz
Mit Entlastung ist aus vielerlei Gründen nicht zu rechnen. Das liegt vor allem am allgegenwärtigen Fachkräftemangel, denn es gibt schlichtweg nicht genug Personal auf dem Arbeitsmarkt. Hinzu kommt, dass viele Krankenhäuser mit sehr geringen Budgets arbeiten müssen, was dazu führt, dass Unternehmen aus anderen Branchen für IT-Experten in der Regel deutlich lukrativere Arbeitgeber sind. Die schmale Personaldecke wirkt sich überdies negativ auf die Work-Life-Balance aus, sodass die meisten IT-Experten, die heute noch ihren Dienst in medizinischen Einrichtungen leisten tun dies oft mit einer großen Portion Idealismus. Besonders kleine Kliniken und solche, die nicht zu großen Ketten gehören, treffen diese Umstände hart. Während immer mehr Krankenhausketten dazu übergehen, ihre IT zu zentralisieren und Universitätsbetriebe von großen IT-Abteilungen profitieren, sind kleinere Einrichtungen komplett auf sich gestellt. Ein Dilemma, das nur ein Umdenken in Bezug auf die Externalisierung der IT-Verwaltung und -Sicherheit lösen könnte.
| »Ohne die Möglichkeit, externe IT-Dienstleister zu engagieren, scheitern vor allem kleine Krankenhäuser beim Datenschutz.« |
|---|
| Marten Neubauer, Dell |
Leider stellt der Gesetzgeber aktuell noch den Datenschutz auf ein höheres Podest als die IT-Sicherheit. Wie aber sollen Krankenhäuser die hochsensiblen Daten ihrer Patienten schützen, wenn sie die dafür nötige Sicherheitsinfrastruktur nicht gewährleisten können? Da medizinische Einrichtungen Cyberattacken unter diesen Voraussetzungen nicht effektiv verhindern können, ist es auch zwecklos, den Datenschutz über die IT-Sicherheit zu stellen. Frankreich hat dieses Problem bereits erkannt und gelöst: Dort dürfen Kliniken sensiblen Daten erst verarbeiten und vorhalten, wenn sie die entsprechenden IT-Sicherheitsauflagen erfüllen. Hier haben die Einrichtungen die Möglichkeit, externe Hilfe von entsprechenden Service-Anbietern in Anspruch zu nehmen. Dass die Datenhaltung und -verarbeitung zwingend intern stattfinden muss, ist jedenfalls nicht mehr zeitgemäß. Moderne Verschlüsselungs- und Speichertechnologien machen diese Bedenken obsolet. Zudem kann der Gesetzgeber, wie das Beispiel aus Frankreich zeigt, problemlos Auflagen für das Beauftragen externer IT-Dienstleister erlassen, um die Datensouveränität zu gewährleisten.
Erst wenn dieses Problem gelöst ist, kann die Krankenhaus-IT wieder ihrer eigentlichen Aufgabe nachkommen: Und zwar als Schnittstelle zwischen Fachkräften und IT dem medizinischen Personal die Tools zur Verfügung zu stellen, die sie für die bestmögliche Versorgung ihrer Patienten benötigen. (uh)
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Neue Plattform für Edge-Rechenzentren
Portus Data Centers investiert in Hamburg
MedTech-Entwickung in globalen Teams
Den Robo-Arm über Ozeane hinweg testen
Bildgebung in der Neurochirurgie
Sichere Tumorresektion per Ultraschallnavigation
Digitale Gesundheitsversorgung
Welche Technologien braucht die personalisierte Medizin?
Digitalisierung zum Nutzen der Patienten
Das Ende des gelben Zettels
Gematik läßt digitale Identität zu
Die Gesundheitskarte kommt 2024 aufs Handy
ERP für die Medizintechnik
Änderungsmanagement geht digital
IT-Sicherheit in mHealth-Anwendungen
Wie der Schutz von mobilen Patientendaten gelingt
Cybersicherheit im Gesundheitswesen
Resilienz gegen Hacker
