MAINZ – Sabine Bätzing-Lichtenthäler fordert Sofortprogramm Bund zur IT-Sicherheit in Krankenhäusern

MAINZ – Sabine Bätzing-Lichtenthäler fordert Sofortprogramm Bund zur IT-Sicherheit in Krankenhäusern – Einen Monat nach den Hackerangriffen auf die Computersysteme der Einrichtungen des DRK-Südwest fand auf Einladung von Gesundheitsministerin Sabine Bätzing-Lichtenthäler ein „Runder Tisch IT-Sicherheit“ statt. Vertreterinnen und Vertreter von Behörden und Organisationen der Bereiche IT-Sicherheit und Datenschutz, der rheinland-pfälzischen Krankenhäuser und darüber hinaus haben teilgenommen und sich über IT-Sicherheit in Krankenhäusern ausgetauscht.
Die Teilnehmerinnen und Teilnehmer analysierten den konkreten Fall der Cyberattacke auf die DRK-Trägergesellschaft Süd-West und tauschten sich intensiv über mögliche Schlussfolgerungen aus. „Für mich stehen der Schutz und die Sicherheit der Patientinnen und Patienten und ihrer Daten an erster Stelle. Daher ist es mir wichtig, die Frage zu diskutieren, wie wir derartigen Vorfällen präventiv entgegenwirken und ihre Folgen eindämmen können“, betonte Bätzing-Lichtenthäler.
Gesundheitsministerin Sabine Bätzing-Lichtenthäler forderte ein Sofortprogramm Bund zur IT-Sicherheit in Krankenhäusern, das besonders kleinere Krankenhäuser dabei unterstützen soll, verstärkt in die Sicherheit der Krankenhaus-IT zu investieren. „Mit dem Sofortprogramm Bund zur IT-Sicherheit in Krankenhäusern sollen die Mittel des Krankenhausstrukturfonds für Investitionen in die IT-Sicherheit auf alle Krankenhäuser ausgeweitet werden. Dafür ist eine Aufstockung der im Rahmen des Strukturfonds zur Verfügung stehenden Mittel unerlässlich. Investitionen in die IT-Sicherheit dürfen nicht zu Lasten anderer sinnvoller Maßnahmen zur strukturellen Verbesserung der Krankenhausversorgung gehen. Als Landesgesundheitsministerin werde ich mich für die Bereitstellung der notwendigen Haushaltsmittel für die erforderliche Kofinanzierung einsetzen“, sagte die Ministerin. Bislang ist Voraussetzung für eine Förderung entsprechender Investitionen, dass die Krankenhäuser jährlich mehr als 30.000 Behandlungsfälle – entsprechend der sogenannten „Kritisverordnung“ – aufweisen.
Die Forderung der Ministerin nach einem Sofortprogramm Bund zur IT-Sicherheit in Krankenhäusern wurde von den Teilnehmerinnen und Teilnehmern des Runden Tisches ausdrücklich begrüßt und unterstützt.
Ministerin Bätzing-Lichtenthäler kündigte zudem an, diese Forderung auch im Rahmen der Gesundheitsministerkonferenz aktiv zu vertreten: „Gerade auch kleinere Krankenhäuser im ländlichen Raum sind für die Versorgung der Bevölkerung in hohem Maße relevant und müssen in der Lage sein, Angriffe auf die IT abzuwehren, die Patientenversorgung aufrecht zu erhalten und sensible Patientendaten zu schützen. Daher werde ich – möglichst im Schulterschluss mit den anderen Ländern über eine Initiative im Rahmen der Gesundheitsministerkonferenz – den Bund bitten, die entsprechenden gesetzlichen Voraussetzungen zu schaffen.“
Als weiteres konkretes Ergebnis einigten sich die Teilnehmerinnen und Teilnehmer darauf, eine mit Fachexperten der vertretenen Organisationen besetzte Projektgruppe ins Leben zu rufen, die in den kommenden Wochen konkrete Vorschläge, Maßnahmen und Empfehlungen zur Verbesserung der IT-Sicherheit in Krankenhäusern ausarbeitet. Ergebnisse sollen bis Ende 2019 vorliegen und auch in die Cyber-Sicherheitsstrategie des Landes einfließen.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und aktuelle Vorsitzende der Datenschutzkonferenz, Prof. Dr. Dieter Kugelmann, betonte: „IT-Strukturen und Patientendaten müssen über eine ausreichende Widerstandsfähigkeit gegenüber Cyber-Attacken und einen angemessenen Schutz verfügen. Präventiver Datenschutz tut not. Andernfalls drohen Schäden für die Gesundheit und den Datenschutz von Patientinnen und Patienten und wirtschaftliche Schäden.“
Isabel Münch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) hob hervor, dass wir mit der zunehmenden Digitalisierung des Lebens angreifbarer würden und es keine vollständige Sicherheit gebe. Man könne aber mit Unterstützung des BSI Vorsichtsmaßnahmen treffen. Im konkreten Fall habe das BSI gemeinsam mit dem Team vom DRK eine Ausbreitung des Angriffs verhindert. „Cybersicherheit beginnt da, wo IT-Sicherheitsmaßnahmen als Daueraufgabe begriffen werden“, so ihr Appell.
Georg Baum, Hauptgeschäftsführer der Deutschen Krankenhausgesellschaft (DKG), betonte den hohen Stellenwert der IT-Sicherheit in Krankenhäusern, sowohl hinsichtlich des Schutzes sensibler Patientendaten als auch hinsichtlich des Schutzes der medizintechnischen Steuerung eines Krankenhauses. Die DKG habe mit den Krankenhäusern frühzeitig Konzepte für eine gute Absicherung der IT-Systeme entwickelt und gemeinsam mit den IT-Herstellern einen Branchensicherheitsstandard formuliert. „Die Umsetzung in unseren Häusern erfordert allerdings finanzielle und personelle Ressourcen. Allein für IT-Investitionen bräuchten die Krankenhäuser jährlich ca. 1 Mrd. Euro. Ähnlich wie das Hygienepersonal-Förderprogramm und das Pflegepersonalförderprogramm bräuchten wir ein IT-Fachpersonal-Förderprogramm“, so Baum.
„Krankenhäuser müssen nicht nur in die neuen Technologien investieren, sondern auch in die Eindämmung der damit verbundenen Risiken“ ergänzte der Vorsitzende der rheinland-pfälzischen Krankenhausgesellschaft, Bernd Decker. Die Aufnahme von Vorhaben zur Verbesserung der informationstechnischen Sicherheit der Krankenhäuser als neuen Förderzweck im Rahmen des Krankenhausstrukturfonds sei ein erster wichtiger Schritt, dem weitere folgen sollten.
Auch der Geschäftsführer des Westpfalz-Klinikums und Landesvorsitzende des Verbands der Krankenhausdirektoren Peter Förster wies auf die unzureichende Refinanzierung der Sach- und Personalkosten für Maßnahmen der IT-Sicherheit hin: „Es muss uns nun mit Unterstützung der Politik gelingen, dass uns Kliniken sehr schnell und unbürokratisch Gelder zur Verfügung gestellt werden, um die erforderlichen Maßnahmen schnell umzusetzen“. Der Landesverband der Krankenhausdirektoren beschäftigt sich regelmäßig mit dem Thema. Bei der diesjährigen Herbsttagung im Oktober werden wir – auch aus aktuellem Anlass – dieses wichtige Thema im Detail behandeln.“
Zur Minimierung der Risiken durch Cyberangriffe und deren Auswirkungen empfahl der Bundesverband KH-IT e.V. drei Punkte: Vorbeugung durch Sensibilisierung der Mitarbeiter, Abwehr durch Einsatz von Technologien wie sogenannte „Next-Generation-Firewalls sowie einen möglichst zeitnahen Wiederanlauf auf abgekoppelten Backupsystemen. Auf allen Ebenen müsse das Verständnis wachsen, dass Digitalisierung und eine optimale IT-Unterstützung der Prozesse im Krankenhaus nur mit erheblichen Investitionen in Systeme, Sicherheit und Personal zu erreichen sei.