Berlin. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den im Juni von der Deutschen Krankenhausgesellschaft (DKG) vorgelegten „Branchenspezifischen Sicherheitsstandard für Krankenhäuser“ („B3S“) geprüft und die Eignung festgestellt. Die „Feststellungsurkunde“ wurde von BSI-Präsident Arne Schönbohm an DKG-Hauptgeschäftsführer Georg Baum überreicht. Betreiber sogenannter „Kritischer Infrastrukturen“ aus dem Kliniksektor, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, müssen ihre Informationstechnologie nach dem Stand der Technik absichern und können dies nun anhand des B3S umsetzen.
DKG-Hauptgeschäftsführer Georg Baum stellte u.a. fest: „Mit der jetzt erfolgten Eignungsfeststellung haben diejenigen Krankenhäuser, die als kritische Infrastrukturen gelten, Sicherheit, dass die gesetzlichen Anforderungen bei Anwendung dieses Standards erfüllt werden. IT-Sicherheit ist letztlich auch Patientensicherheit. Die DKG empfiehlt daher allen Krankenhäusern, vor dem Hintergrund der auch politisch vorangetriebenen Digitalisierung im Gesundheitswesen, die Sicherheit der Informationen und Systeme zu gewährleisten. Der vorliegende branchenspezifische Sicherheitsstandard ist dafür eine wichtige Grundlage.“
Nach umfangreichen Vorarbeiten hatte sich der Vorstand der DKG im vergangenen Jahr dafür ausgesprochen, gemeinsam mit Fachexperten aus dem Bereich der Informationssicherheit und in Abstimmung mit dem BSI einen Branchensicherheitsstandard für deutsche Krankenhäuser zu erarbeiten. Dieser Sicherheitsstandard beschreibt Maßnahmen, wie die an der Versorgung der Patienten genutzten Prozesse und Systeme vor dem Hintergrund der branchenspezifischen Gefährdungslage im Krankenhaus geschützt werden, um die Verfügbarkeit, Integrität und Vertraulichkeit der Informationen zu gewährleisten und damit die IT-Sicherheit in den deutschen Krankenhäusern zu verbessern.
Die DKG hat parallel zur Erstellung des Sicherheitsstandards auch eine Studie in Auftrag gegeben, die den Umsetzungsaufwand der erforderlichen Maßnahmen in den Krankenhäusern ermitteln soll. Demnach werden für die Bereiche Investition, Betrieb und Personal für ein Krankenhaus mit 30.000 vollstationären Fällen im Jahr initiale Kosten in der Größenordnung von 1,5 bis 2 Millionen Euro erwartet, in den Folgejahren ist mit jährlichen zusätzlichen Belastungen in der Größenordnung von ca. 500.000 bis 600.000 Euro zu rechnen.
„Mit Blick auf die Dimension der Budgets, die den Krankenhäusern für IT insgesamt zur Verfügung stehen, ist das eine erhebliche zusätzliche Belastung, die nicht aus der Substanz heraus gestemmt werden kann“, so DKG-Hauptgeschäftsführer Georg Baum.
Neben den finanziellen Auswirkungen besteht eine besondere Herausforderung in der Gewinnung des dafür notwendigen qualifizierten Fachpersonals. Quer durch alle Branchen zeigt sich der Bedarf an entsprechend ausgebildeten Fachkräften. Doch gerade dort, wo infolge möglicher Auswirkungen auf die Patienten die Verantwortung für die Sicherheit der Systeme besonders hoch ist, geben die finanziellen Rahmenbedingungen der Krankenhäuser nicht genügend Spielraum, um im Wettbewerb mit anderen Branchen die erforderliche Personalausstattung zu realisieren.
