Die digitale Infrastruktur in Krankenhäusern ist hoch sensibel. Umso schlimmer, wenn die Häuser Opfer von Cyber-Kriminellen werden. Zum Schutz sowohl der Patienten als auch der Kliniken hat die Bundesregierung im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, erlassen. Damit sollen im besten Fall die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit werden. Uns interessiert: Wie steht es um die IT-Sicherheit in fränkischen Kliniken?

"Kritis-Verordnung"

Insbesondere im Bereich der Kritischen Infrastrukturen - "Kritis" - hätten Ausfall oder Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen. Der erste Teil der Kritis-Verordnung trat im Mai 2016 für die Bereiche Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung in Kraft. Im Juni 2017 wurde sie auf die Bereiche Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr ausgeweitet.

In der sogenannten Umsetzungsverordnung "KritisV" des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden entsprechende Kriterien und Schwellenwerte formuliert. Stichtag für die Umsetzung der "KritisV" ist der 30. Juni 2019.

Große Kliniken in Franken

Die Verordnung regelt für Krankenhäuser, Laboratorien, Apotheken und Hersteller von Medizinprodukten, wer unter das IT-Sicherheitsgesetz fällt. Bei Krankenhäusern sind das Einrichtungen mit mindestens 30 000 vollstationären Fällen pro Jahr (etwa 100 Einrichtungen in Deutschland). Dazu gehören in Franken unter anderem das Klinikum Bamberg und die Uniklinik Erlangen. Diese Zeitung hat nachgefragt, wie die Krankenhäuser ihre IT-Systeme sichern.

Beispiel Bamberg

Das Klinikum Bamberg wurde 2017 zu einer "kritischen Infrastruktur" bestimmt. Wie Sprecherin Brigitte Dippold auf Anfrage dieser Zeitung erklärt, verpflichte die Einstufung die Sozialstiftung Bamberg dazu, technische und organisatorische Maßnahmen nach dem "Stand der Technik" zu ergreifen. "Und das tun wir, indem bestehende IT-Maßnahmen kontinuierlich um weitere ergänzt und verbessert werden", sagt Dippold.

Dazu gehöre die Sensibilisierung der Mitarbeiter beim Thema IT-Sicherheit und eine Leitlinie zur Informationssicherheit. "Wir halten uns an die Vorgaben des IT-Gesetzes", sagt Dippold. Bereits 2017 sei ein zweites Rechenzentrum am Klinikum installiert worden, um die Datensicherheit zu verbessern und die Speicherkapazitäten zu erhöhen.

Beispiel Erlangen

"Am Universitätsklinikum Erlangen sind IT-Sicherheit und Datenschutz vor dem Hintergrund der zunehmenden Digitalisierung in der medizinischen Spitzenversorgung von größter Bedeutung", erklärt Pressesprecher Johannes Eissing. "eHealth-, Telemedizin-Leistungen sowie Entwicklungen der digitalen Medizin unterstützen die Behandlungsstrategien in der Spitzenmedizin zunehmend und halten demzufolge auch in der medizinischen Routineversorgung von Patienten Einzug." Die Anforderungen an IT-Sicherheit und Datenschutz lägen im Uni-Klinikum Erlangen auf höchstem Niveau." Am Uni-Klinikum wachten neben einer spezialisierten IT-Abteilung ein eigener IT-Sicherheitsbeauftragter und ein Datenschützer ständig über die Einhaltung der gesetzlichen Bestimmungen zu IT-Sicherheit und Datenschutz.