Die Anzahl der Cyber-Angriffe auf Krankenhäuser hat stark zugenommen, unabhängig von der Größe der Kliniken.

Durch den festgelegten Schwellenwert von 30.000 vollstationären Patienten pro Jahr fallen die „größeren“ Häuser seit Mitte 2017 unter die KRITIS-Verordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie sind angehalten, eine ganze Reihe von Vorkehrungen zu treffen, um ein hohes Maß an Informationssicherheit zu gewährleisten.

Sind diese Maßnahmen – bestehend aus einem Bündel von Sicherheitsmethoden und entsprechend einzuführender Sicherheitssysteme – ausschließlich für die „Großen“ wichtig und anwendbar?

Sind sie möglicherweise sogar nur theoretische Rahmenwerke, die im Alltag wenig helfen?

Bei einer Methode handelt es sich generell um ein planmäßiges, systematisches Vorgehen, um ein Ziel zu erreichen. Deshalb ist es für Krankenhäuser jeder Größenordnung grundsätzlich gut, bewährte Sicherheitsmethoden zu nutzen, um so das Ziel einer sich stetig erhöhenden Informationssicherheit zu erreichen.

Diese Methoden können beispielsweise sein:

  • festlegen eines anzustrebenden IT-Sicherheitsniveaus und dessen Kommunikation an alle Mitarbeiter
  • formulieren einer krankenhausweiten IT-Sicherheitsleitlinie und daraus folgend
  • erarbeiten von Richtlinien und Dienstanweisungen für konkrete IT-Sicherheitsmaßnahmen
  • regelmäßiges auswerten und begutachten von Störungen
  • geplante, kontinuierliche Schulungs- und Sensibilisierungs-Maßnahmen für alle Mitarbeiter
  • aufbauen einer hauseigenen IT-Sicherheits-Kultur

 

In allen genannten Beispielen sind Verantwortlichkeiten festzulegen. Sie können in der IT, im Bereich MIT (Medizintechnik/Informatik) oder im Qualitätsmanagement angesiedelt sein.

Die Methoden sind alle als Einzelmaßnahmen umsetzbar und helfen damit bereits, sukzessive die Informationssicherheit im Krankenhaus zu erhöhen.

In einer nächsten Stufe empfiehlt sich ein einheitliches IT-Sicherheitssystem einzuführen. Hierfür bietet sich ein Information Security Management System (ISMS) an, das unter anderem zu strukturierten Risikobetrachtungen führt.