Cybersicherheit im Krankenhaus E-Book

Hans-Wilhelm Dünn | Jörg Reschke

Henning Schneider | Peter Gocke (Hrsg.)

Cybersicherheit im Krankenhaus

mit Beiträgen von

M. Blok | K. Brisch | T. Caspar | K. Christoph | S. Chung | M. Dahlweid O. Delvos | C. Dierks | H.-W. Dünn | S. Dzombeta | M. Friedrichsen S. Georgy | P. Gocke | S. Grebner | H. Grobbel | B. Gross K. Grunwitz | S. Heinemann | S. Hess | J. Höhnel | D. Hunsmann P. Kaffsack | P. Kranz | I. Linker | M. Lohmann | B. Meseke | S. Muschter J. Reschke | S.-T. Scherz | C. Schmidt | H. Schneider | T. Schütz T. Schwierzke | I. Teuber | C. Ullrich | T. Wendrich | M. Wiesenauer S. Wittjen | N. Wulfänger | M. Zimmermann

Medizinisch Wissenschaftliche Verlagsgesellschaft

Das Herausgeber-Team

Hans-Wilhelm Dünn

Präsident

Cyber-Sicherheitsrat Deutschland e.V.

Bertha-Benz-Straße 5

10557 Berlin

[email protected]

Henning Schneider

Chief Information Officer (CIO)

Asklepios Kliniken GmbH & Co. KGaA

Rübenkamp 226

22307 Hamburg

Jörg Reschke

Chief Financial Officer (CFO)

Helios Kliniken GmbH

Friedrichstraße 136

10117 Berlin

Dr. med. Peter Gocke

Chief Digital Officer (CDO)

Leiter Stabsstelle „Digitale Transformation“

Charité – Universitätsmedizin Berlin

Charitéplatz 1

10117 Berlin

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG

Unterbaumstraße 4

10117 Berlin

www.mwv-berlin.de

ISBN 978-3-95466-563-1 (eBook: ePub)

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Informationen sind im Internet über http://dnb.d-nb.de abrufbar.

© MWV Medizinisch Wissenschaftliche Verlagsgesellschaft Berlin, 2020

Dieses Werk ist einschließlich aller seiner Teile urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten.

Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.

Im vorliegenden Werk wird zur allgemeinen Bezeichnung von Personen nur die männliche Form verwendet, gemeint sind immer alle Geschlechter, sofern nicht gesondert angegeben. Sofern Beitragende in ihren Texten gendergerechte Formulierungen wünschen, übernehmen wir diese in den entsprechenden Beiträgen oder Werken.

Die Verfasser haben große Mühe darauf verwandt, die fachlichen Inhalte auf den Stand der Wissenschaft bei Drucklegung zu bringen. Dennoch sind Irrtümer oder Druckfehler nie auszuschließen. Der Verlag kann insbesondere bei medizinischen Beiträgen keine Gewähr übernehmen für Empfehlungen zum diagnostischen oder therapeutischen Vorgehen oder für Dosierungsanweisungen, Applikationsformen oder ähnliches. Derartige Angaben müssen vom Leser im Einzelfall anhand der Produktinformation der jeweiligen Hersteller und anderer Literaturstellen auf ihre Richtigkeit hin überprüft werden. Eventuelle Errata zum Download finden Sie jederzeit aktuell auf der Verlags-Website.

Produkt-/Projektmanagement: Anna-Lena Spies, Berlin

Lektorat: Monika Laut-Zimmermann, Berlin

Layout, Satz & Herstellung: zweiband.media, Agentur für Mediengestaltung und -produktion GmbH, Berlin

E-Book-Herstellung: Zeilenwert GmbH, Rudolstadt

Zuschriften und Kritik an:

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG, Unterbaumstr. 4, 10117 Berlin, [email protected]

Herausforderung IT-Sicherheit für das Krankenhausmanagement

Sicherheit ist ein Grundbedürfnis, das wir im Alltag ständig und jeden Tag zu befriedigen suchen. Wir schließen beim Verlassen des Hauses die Tür ab, tragen einen Fahrradhelm oder fahren moderne Autos mit vielseitigen Sicherheitsvorkehrungen. Wir schützen unsere Computer mit Passwörtern und verraten niemandem den Pin zu unserer Kreditkarte. Wir navigieren unsere Welt mit der Vorausgabe, Risiken und Unsicherheiten zu reduzieren. Die größten Gefahren, denen wir uns aussetzen können, sind jene, die unsere Gesundheit, vielleicht sogar unser Leben gefährden. Selbst in unserer auf Sicherheit und Risikobewältigung fokussierten Welt sind Krankheiten und Verletzungen allgegenwärtige Unwägbarkeiten, die man nicht vollends ausschließen kann. Deswegen sind Krankenhäuser so wichtige Knotenpunkte: Leben werden begonnen, Gesundheit wird wiederhergestellt und Leben werden versucht zu retten. Mediziner, Pflegepersonal und viele Beschäftigte aus medizinischen und nicht-medizinischen Berufsgruppen arbeiten in Krankenhäusern rund um die Uhr, um dieser Mission gerecht zu werden. Das Krankenhaus ist ein Bollwerk gegenüber den Unsicherheiten des Lebens.

Für die Bundesregierung sind viele Krankenhäuser deswegen Teil der „kritischen Infrastruktur“ – jener Einrichtungen, die für ein Fortbestehen von Zivilisation und Gesellschaft unabdingbar sind. Wir sind als Gesellschaft davon abhängig, dass die Krankenhäuser ihrer Aufgabe, die gesundheitlichen Lebensrisiken der Menschen abzusichern, auch nachkommen können. Aber auch die Krankenhäuser sind Risiken ausgesetzt. Pandemien und Epidemien wie die aktuelle COVID-19-Krise, aber auch multiresistente Keime und andere neue gesundheitliche Herausforderungen stellen an Kliniken immer neue Anforderungen, was die gesundheitliche Sicherheit angeht.

Zu diesen gesundheitlichen Risiken kommen aber auch solche, die nur indirekt mit Krankheit zu tun haben. Die digitale Revolution macht auch vor dem Krankenhaus nicht halt, in vielerlei Hinsicht können Krankenhäuser und Kliniken von der Digitalisierung von Prozessen profitieren. Informationen können schneller zur Verfügung gestellt werden, Ärzte können bei Anamnese, Diagnose und Behandlung unterstützt werden und auch die Logistik und Leittechnik des Krankenhauses kann durch digitalisierte Prozesse beschleunigt und vereinfacht werden. Hinzu kommt, dass bereits jetzt schon zunehmend Aufgaben im Homeoffice und über digitale Korrespondenzschaltungen durchgeführt werden. Die COVID-19-Krise hat dies erforderlich gemacht. Es wird sich danach weiter verbreiten.

Aber wo digitales Licht ist, findet sich auch digitaler Schatten. Was für Firmen, Behörden und Einrichtungen im Allgemeinen gilt, ist auch für Krankenhäuser relevant. Digitalisierung ermöglicht Cyberkriminalität und digitale Angriffe. Mit jedem digitalen Prozess vergrößert sich die Fläche für solche Angriffe. An Kliniken geht diese Entwicklung nicht vorbei. Die Digitalisierung des Gesundheitssystems ist alternativlos. In jedem Krankenhaus gibt es schon jetzt eine große digitale Infrastruktur, von der Krankenhaus-IT zum Krankenhausinformationssystem, von der Gebäudeleittechnik zu verbundener Medizintechnik. Es gibt in den letzten Jahren immer wieder Beispiele für Angriffe auf Krankenhäuser, die teilweise tagelang den normalen Klinikbetrieb massiv eingeschränkt haben. Die Angriffe auf das Lukaskrankenhaus in Neuss oder die Klinik in Fürstenfeldbruck haben trotz ihrer dramatischen Folgen letztlich nur die Krankenhaus-IT betroffen.

Insbesondere im Bereich verbundener Medizintechnik, also Geräten, die mit dem Internet verbunden sind, wird sich die Angriffsfläche in den nächsten Jahren aber noch massiv ausweiten. Die Gefahren hier sind immens: Durch Cyberangriffe könnten chirurgische Roboter manipuliert werden. Folgen können bei sensiblen Operationen fatal sein. Die Messergebnisse von MRTs, Ultraschallgeräten oder anderen medizinischen Scannern könnten manipuliert werden, mit ähnlich gefährlichen Konsequenzen. Was wie dystopische Science Fiction klingt, kann bald Wirklichkeit werden: Ein Cyberangriff auf ein Krankenhaus kann direkt zu Verletzten und Todesopfern führen.

Es ist deswegen unabdingbar, Cybersicherheit im Krankenhaus ganz oben auf die Agenda zu setzen. Die Gefahren müssen erkannt und die Risiken gemanagt werden.

Diese Publikation setzt einen Baustein für die Verbesserung von Cybersicherheit in Krankenhäusern. In den verschiedenen Beiträgen wird Cybersicherheit im Krankenhaus aus allen Perspektiven beleuchtet.

Die Expertise von Autoren und Autorinnen aus der Gesundheitsbranche, aus Cybersicherheitsfirmen, von Patienten sowie aus ethischer und juristischer Sicht sorgt für eine holistische Betrachtung des Themas. Wir möchten uns an dieser Stelle bei den Autorinnen und Autoren bedanken, die dieses Werk mit ihrer Erfahrung, ihrem Sachverstand und nicht zuletzt ihrer Arbeit und Mühe erst ermöglicht haben. Jeder der Beiträge ist ein Mosaikstein, der zu einem informativen Überblick über Cybersicherheit im Krankenhaus beiträgt. Zudem möchten wir uns bei der Medizinisch Wissenschaftlichen Verlagsgesellschaft für die tatkräftige Realisierung und Unterstützung bedanken. Wir hoffen, dass Ihnen die Lektüre des Buches Erkenntnisgewinne verschafft. Cybersicherheit im Krankenhaus ist ein wichtiges Projekt, das angegangen werden muss. Wir hoffen, dass unsere Publikation Entscheider und Entscheiderinnen in der Gesundheitsbranche dabei unterstützt, sich einen Überblick über das Thema zu verschaffen und die richtigen Entscheidungen zu treffen, um die Cybersicherheit im Krankenhaus zu verbessern.

Hans-Wilhelm Dünn, Jörg Reschke, Henning Schneider und Peter Gocke

im Juni 2020

Inhalt

IBasiswissen

1Cybersicherheit als Prozessenabler für DigitalisierungHans-Wilhelm Dünn

2Das Gesundheitswesen auf dem Weg zu einer datengetriebenen MedizinPeter Gocke

3Zahlen, Daten, Fakten: Dimension der FragestellungBodo Meseke

4Daten und Datenflüsse im GesundheitswesenPeter Gocke

5Rechtliche Rahmenbedingungen für die IT-Sicherheit im KrankenhausChristian Dierks

6EXKURS: Ethik im Kontext von Digitalisierung und GesundheitswirtschaftStefan Heinemann

IICybersicherheit im Krankenhaus

1Organisation von Informationssicherheit im KrankenhausStefan Wittjen

2Wo liegen im Krankenhaus welche Daten?Peter Gocke

3Hände desinfizieren und Sicherheitslücken schließen: warum Basics auf operativer Ebene im Krankenhaus Leben rettenPhilipp Kranz und Ida Linker

4Digitale Prävention rettet MenschenlebenPaul Kaffsack

5EXKURS: Was sind KI, Machine Learning und Deep Learning?Michael Dahlweid

6Medizinproduktrechtliche Aspekte von IT-SicherheitNico Wulfänger

7 Krankenhaus ohne KRITIS-Pflicht – warum es sich trotzdem lohntKonrad Christoph, Jens Höhnel, Matthias Lohmann und Mike Zimmermann

8 EXKURS: Krankenhäuser haben eine Sonderstellung und müssen mehr in die IT-Sicherheit investierenKai Grunwitz

9EXKURS: AnwendungsbeispieleSven-Torsten Scherz

10Welche Prozesse verändern sich durch die Anforderungen der Cybersicherheit?Srdan Dzombeta und Benedict Gross

11CyberversicherungenTobias Caspar, Oliver Delvos, Torben Schwierzke und Sebastian Hess

12Anforderungen an Speichermodule in der Medizintechnik – zuverlässiger Schutz von DatenSilvio Muschter, Hubertus Grobbel und Christian Ullrich

13KonfliktfelderStefan Georgy, Damaris Hunsmann und Steffen Grebner

14Digitalisierung und Cybersicherheit im KrankenhausThorsten Schütz

IIIManagementperspektive

1 Ökonomische Aspekte der CybersicherheitJörg Reschke

2 Cybersicherheit als Kernaufgabe eines Krankenhaus-LenkersHenning Schneider

3 Cybersicherheit als globale Chance – eine patientenzentrierte SichtSophie Chung

4 Die Notwendigkeit ganzheitlicher SicherheitskonzepteMarian Blok

5 Implementierung: die Umsetzung von CybersicherheitChristian Schmidt

6 EXKURS: Kann ein Berater helfen?Ibo Teuber, Thomas Wendrich und Matthias Wiesenauer

7 EXKURS: Cybersicherheit im Krankenhaus – löst die Blockchain unsere Sicherheitsprobleme?Klaus Brisch

8 Digitale Kompetenz in Cybersicherheit stärken. eHealth und digitale Patientenakte als Herausforderung für KrankenhäuserMike Friedrichsen

Am Morgen des 10. Februar 2016 öffnete eine Mitarbeiterin des Lukaskrankenhauses in Neuss die Anlage einer E-Mail mit „Rechnung“ in der Betreffzeile. Kurze Zeit später gingen bei der IT-Abteilung ungewöhnlich viele Fehlermeldungen ein. Die IT-Infrastruktur wurde durch einen Verschlüsselungstrojaner in die Knie gezwungen, Erpressungsgelder verlangt. Die Klinik fuhr alle ihre Systeme herunter und stellte auf analogen Notbetrieb um: Boten statt digitaler Meldungen, Handbetrieb statt Rechner. Manche Operationen konnten nicht stattfinden und Forensik, Daten-Backup und Krisenmanagement verursachten Kosten von über einer Mio. Euro. Die Schattenseite der Digitalisierung sind Cyberkriminalität und Cyberangriffe. Prozesse werden durch die digitale Transformation vereinfacht und beschleunigt. Das gilt aber eben auch für Prozesse der Kriminalität. Cyberangriffe nehmen zu, entwickeln sich weiter und richten größeren Schaden an.

Angesichts dieser Bedrohungssituation ist Cybersicherheit ein Prozessenabler, eine notwendige Bedingung für die Digitalisierung. Nur durch Cybersicherheit können die Gefahren der Cyberkriminalität abgewehrt und die positiven Effekte der Digitalisierung genutzt werden. Diese Interdependenzmechanismen zwischen Digitalisierung, Cyberkriminalität und Cybersicherheit betreffen Krankenhäuser und die Gesundheitsbranche in extremerer Form, weil Krankenhäuser gleichzeitig attraktiveres und verletzlicheres Target für Cyberkriminelle sind. Zunächst werden in diesem Beitrag die aktuellen Digitalisierungstrends definiert und in den Kontext der globalen Digitalisierung als Großtransformation des späten 20. Jahrhunderts eingeordnet. Anschließend wird der Bogen zwischen disruptiver Digitalisierung und dem Krankenhaus geschlagen. Im Anschluss wird die Bedrohungskulisse von Cyberangriffen und Cyberkriminalität illustriert und wieder genauer auf die spezielle Ausgangslage im Krankenhaus bezogen. Als letzter Schritt wird aufgezeigt, inwiefern Cybersicherheit sowohl für die Digitalisierung im Allgemeinen als auch bei der Digitalisierung im Besonderen – im Krankenhaus – die einzige Möglichkeit ist, die Vorteile der Digitalisierung zu nutzen, ohne sich den Gefahren von Cyberangriffen aussetzen zu müssen.

Pierre Nanterne, der Chief Executive Officer des Consulting Unternehmens Accenture, erklärte in einem Artikel für das World Economic Forum die „Digital Disruption“ zu einer zentralen Herausforderung der Gegenwart. Digitale Disruption beschreibt die Verdrängung und Ablösung bestehender Produkte, Dienstleistungen und Unternehmen durch digitale Innovation. Disruptive Innovation sorgt für eine Umstrukturierung der betroffenen Märkte von Grund auf. Nanterne illustriert das disruptive Potenzial digitaler Technologien und Innovationen damit, dass innerhalb der letzten 19 Jahre mehr als die Hälfte der Unternehmen des Fortune 500 Index verschwunden seien. Für Nanterne sind die Triebkräfte und „Zerstörer“ dieser neuen Welle die SMAC Technogien (Social, Mobile, Analytics and Cloud) für Nutzer und Unternehmen, künstliche Intelligenz und Cognitive Computing, Robotik sowie das Internet of Things (IoT). Diese Schlüsseltechnologien sind das disruptive Potenzial, dass die Geschwindigkeit und das Potenzial der „vierten industriellen Revolution“ ausmachen. Sie ermöglichen das Erschließen neuer Sektoren und Märkte, datenbasierte Verbesserungen bei Qualität und Produktivität und Innovationen in völlig neuen technologischen Sektoren. An der vordersten Front der digitalen Revolutionen steht das disruptive Potenzial als Treiber (Nanterne 2016).

Es zeigt sich in der langfristigen Entwicklung des Fortune 500 aber auch, dass die Digitalisierung ein langwieriger Transformationsprozess ist. Seit 1955 listet Fortune die profitabelsten und wertvollsten amerikanischen Unternehmen nach Profit und Umsatz. Im Jahr 1955 dominierte die Montanindustrie, Automobilfirmen und Ölproduzenten die vorderen Ränge der Fortune 500 mit Namen wie General Motors, Exxon Mobil, U.S. Steel und Chrysler. Im Jahr 2019 sind die profitabelsten Firmen der USA Apple, die Großbank JPMorgan Chase und Googles Mutterkonzern Alphabet. Wo in der ersten Ausgabe der Fortune 500 Stahl, Öl und Autos die meisten Profite brachten, sind jetzt die Tech-Firmen und Finanzdienstleister die vordersten Leistungsträger der amerikanischen Wirtschaft. Der Shift ist in der zweiten Hälfte des 20. Jahrhunderts vollzogen worden, er fällt zusammen mit der technologischen Revolution. Die technologische Revolution ist ein andauernder Umbruch, gekennzeichnet von der Umwandlung analoger in digitale Prozesse. Anfänge und Vorläufer der Digitalisierung sind seit Mitte des 20. Jahrhunderts sichtbar und mit der Jahrtausendwende haben Digitalisierungsprozesse zu einer Umwandlung der Gesellschaft, Wirtschaft, Wissenschaft, Politik und vielen anderen Bereichen geführt. Die jüngste Ausprägung dieses kontinuierlichen disruptiven Umbruchs ist die „vierte industrielle Revolution“. Getragen von den Möglichkeiten, analoge in digitale Prozesse umzuwandeln, geht es nunmehr um die Vernetzung von Rechnern, Datenzentren und Geräten sowie die digitale Verarbeitung von Daten (Nanterne 2016; Perry 2017).

Es wäre angesichts der Dominanz von Technologieunternehmen zulasten der klassischen Industrie in den oberen Rängen der Fortune 500 falsch, die Digitalisierung rein in der Technologiebranche zu verorten. Die „vierte industrielle Revolution“ zeichnet sich ja gerade dadurch aus, dass die Umwälzungen und das disruptive Potenzial der digitalen Innovation auch in nicht-digitale Branchen und Sektoren getragen werden. Dem Wirtschaftswissenschaftler Klaus Schwab zufolge schließt sich die vierte industrielle Revolution unmittelbar an die technologische Revolution an und steht im Kontext der „klassischen“ industriellen Revolutionen im 18. und 19. Jahrhundert. Die Basis dafür ist ein überall verfügbares und mobiles Internet, leistungsfähige und günstige Sensoren sowie künstliche Intelligenz. Auf dieser Basis aufbauend werden weitere Innovationen ermöglicht, etwa die Sequenzierung von Genen, Nanotechnologie, erneuerbare Energien, Quantencomputer. Der große Unterschied zur ebenfalls schon digitalen „dritten industriellen Revolution“ besteht nach Schwab in der Möglichkeit, interdisziplinär unterschiedliche wissenschaftliche Disziplinen miteinander zu verbinden und, vermittelt durch digitale Technologien, aufzuwerten (Schwab 2016).

Das Potenzial der Digitalisierung der Krankenhäuser ist enorm und schlägt sich auch finanziell nieder. Gemäß einer Studie von McKinsey von Dezember 2018 sind durch Umstellung auf digitale Prozesse Einsparungen von etwa 34 Mrd. Euro aller Gesundheitsausgaben möglich, das entspricht 12% der gesamten Kosten. Der größte Teil dieser Einsparungen, ca. 16,1 Mrd. Euro, entfällt hierbei auf Krankenhäuser und stationäre Aufenthalte in Kliniken. McKinsey sieht Einsparpotenzial durch das Rollout einer Vielzahl von digitalen Lösungen in sechs Lösungskategorien: Umstellung auf Papierlose Daten, Möglichkeiten der Onlineinteraktion zwischen Patienten und Gesundheitsdienstleistern, Ergebnistransparenz und Entscheidungsunterstützung durch Digitale Technik, Automatisierung/Streamlining von Arbeitsabläufen, Möglichkeit der Selbstbehandlung von Patienten sowie Self-Service von Patienten (Hehner et al. 2018).

Innerhalb der Krankenhäuser sehen wir sowohl mikroelektronische Digitalisierung als auch die synergetisch-vernetzte Digitalisierung der „vierten industriellen Revolution“. Wir sehen sowohl die einfache Digitalisierung von analogen Prozessen als auch die beschriebene datengestützte synergetische Aufwertung nicht-digitaler Disziplinen und Techniken. Besonders ist hier natürlich die digitale und vernetzte Medizintechnik zu nennen, die in den nächsten Jahren in allen Krankenhäusern noch mehr und mehr etabliert werden wird. Digitalisierung bedeutet allerdings natürlich auch die nicht primär krankenhausimmanenten Prozesse, die ebenfalls digitalisiert werden. Konkret ist die Digitalisierung in Krankenhäusern eine Umwandlung von analogen und unvernetzten Prozessen zu digital-vernetzen Prozessen.

Im Branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) findet sich eine Übersicht über digitale Krankenhausprozesse. Die Deutsche Krankenhausgesellschaft e.V. hat den Standard für den Teil der Krankenhäuser, der unter die Definition des BSI einer Kritischen Infrastruktur fällt (30.000 vollstationäre Fälle im Jahr) vorgesehen. Der B3S ist aber ausdrücklich auch für alle anderen Krankenhäuser empfohlen, die trotz geringerer Fallzahlen und ohne den Titel einer „kritischen Infrastruktur“ dem gleichen Angriffspotenzial ausgesetzt sind. Der B3S gruppiert die Prozesse im Krankenhaus in fünf Gruppen, die unterschiedlichen Tätigkeitsbereichen entsprechen. Die Kernprozesse sind in die Bereiche Aufnahme, Diagnose, Therapie, Pflege und Entlassung geordnet und beschreiben die Kernaufgaben der Patientenversorgung (Deutsche Krankenhaus Gesellschaft 2019).

Neben diesen „Kernprozessen“ nennt das B3S auch Unterstützungsprozesse, die die Kernprozesse ermöglichen und personell, materiell, logistisch und organisatorisch stützen. Die Unterstützungsprozesse im Krankenhaus umfassen grob die Infrastruktur, das Personalwesen, die Verwaltung, Buchhaltung und Finanzierung und die IT-Infrastruktur des Krankenhauses. Für den B3S bilden hier die Prozesse der Informationstechnik die Basis. Die Kommunikationstechnik umfasst Rufsysteme, Telefonie, Fax-Systeme und hat große und sich vergrößernde Überschneidungen mit der IT. Medizintechnische Geräte bilden einen weiteren großen Bereich. Auch hier ergibt sich wegen der zunehmenden Verschränkung mit der IT eine Zunahme des Digitalisierungsgrades. Die Versorgungstechnik umfasst infrastrukturelle Systeme, Gebäudeleittechnik, Versorgung (Strom, Wasser, Gas, Wärme, Klimatisierung, Be- und Entlüftung) und Entsorgung, Transport und Gebäudeinstandhaltung. Auch hier sind zunehmend Digitalisierungs- und Vernetzungsprozesse zu beobachten, sodass auch hier sowohl synergetische Effizienzgewinne als auch Verletzlichkeitszunahmen zu beobachten sind. Die meisten bisherigen Cyberangriffe auf Krankenhäuser haben nur die IT betroffen (Deutsche Krankenhaus Gesellschaft 2019).

In jedem Krankenhaus laufen täglich hunderte von Prozessen ab. Der Grad der Digitalisierung des Krankenhauses hängt erstens davon ab, wie viele dieser Prozesse von Rechnern übernommen und/oder unterstützt werden und wie viele dieser digitalen Prozesse darüber hinaus mit dem Internet verbunden sind. Deutschland hinkt bei der Digitalisierung seiner Krankenhäuser dem europäischen Durchschnitt hinterher. Das Electronic Medical Records Adoption Model (EMRAM) der Healthcare Information and Management Systems Society (HIMSS), einer US-Amerikanischen Non-Profit-Organisation unter anderem zur Verbesserung der informationstechnischen Infrastruktur in Kliniken, misst den Digitalisierungsgrad von Krankenhäusern und stuft Kliniken in acht Stufen ein, je nachdem wie viele ihrer Prozesse digitalisiert sind. Die beschriebenen Digitalisierungsgrade reichen von einzelnen digital arbeitenden Unterabteilungen (Labor, Radiologie und Apotheke, Stufe I), über elektronische Arzneimittelverordnung (Stufe 4) bis hin zu einem mehr oder weniger ungebrochenen digitalen Datenfluss in allen Bereichen und einer ineinandergreifenden IT-Unterstützungsstruktur (Stufen 6 und 7).

Ab den höchsten Stufen werden die Synergieeffekte und Effizienzgewinne der Digitalisierung voll ausgeschöpft. Kliniken der beiden höchsten Stufen, der „Stage 6 and 7 Club“, werden durch die HIMSS gesondert ausgezeichnet. Im Krankenhausreport 2019 wurde anhand deren Einstufung im EMRAM der durchschnittliche Digitalisierungsgrad deutscher Krankenhäuser gemessen. Durchschnittlich erreichen deutsche Krankenhäuser – basierend auf den 147 Krankenhäusern, die sich bis 2017 durch die HIMSS haben zertifizieren lassen – hier einen Wert von 2,3. Deutschland liegt hier klar unter dem europäischen Durchschnitt von 3,6. 40% der bewerteten deutschen Krankenhäuser etwa arbeiten noch völlig analog, während in Ländern wie Spanien, Großbritannien und der Türkei kaum ein Krankenhaus und in den Niederlanden gar keine Klinik mit EMRAM Stufe 0 bewertet ist (Stephani et al. 2019).

Zum 01.01.2018 hat HIMSS die EMRAM-Kriterien verändert und strengere Cybersicherheitskriterien in seinem Rating etabliert. Damit wird der untrennbaren Verbindung zwischen Digitalisierung und Cybersicherheit Rechnung getragen. Denn: Durch Digitalisierung werden Menschen, Rechner, Datenzentren und Geräte miteinander vernetzt. Innerhalb von Organisationen können Prozesse durch den freien Fluss und die Auswertung von Daten schneller, effizienter und präziser werden. Die Vernetzung gilt aber nicht nur für die internen Nutzer. Systeme, die mit dem Internet verbunden sind, sind gegenüber Angriffen verletzlich.

Das Bedrohungspotenzial durch Cyberangriffe ist enorm und steigt durch die fortschreitende Digitalisierung und die Professionalisierung der Angriffe stetig. Das finanzielle Schadenspotenzial durch Cyberkriminalität liegt, auf die Jahre 2019–2023 gerechnet, bei mehr als 5,2 Billionen US-Dollar weltweit. In den letzten fünf Jahren seit 2019 haben Angriffe um 67% zugenommen. Neben der quantitativen Zunahme der Angriffe und des Schadenspotenzials verändert sich die Cyberkriminalität auch qualitativ: Datendiebstahl ist zwar immer noch das Hauptziel, aber auch Kernsysteme wie industrielle Leittechnik werden zunehmend zum Zwecke der Störung und Zerstörung gehackt.

Auch bei Daten als Ziel ist der Diebstahl oder die Löschung der Daten nicht mehr die ausschließliche Taktik. Das Verändern von Daten und damit der Eingriff in deren Integrität ist eine neue Dimension der Cyberangriffe. Zu den Veränderungen bei Zielen und Taktiken kommen veränderte Techniken. Vielfach wird durch die neueste Generation von Angriffen nicht mehr das technische Layer, sondern der Mensch gehackt. Der Human Factor ist bei der Cybersicherheit das schwächste Glied in der Kette. Auf Deutschland bezogen ergibt sich ein ähnliches Bedrohungspotenzial. Dem Lagebericht des BSI über die IT-Sicherheit zufolge liegt der Schwerpunkt der Bedrohung bei der Cyberkriminalität, durch Malware und Ransomware. Cyberangriffe, generell, nehmen global zu, ihre Technik wird raffinierter und ihr Schaden wird größer (Bissell et al. 2019; Bundesamt für Sicherheit in der Informationstechnik 2019).

Was für Unternehmen generell gilt, gilt in Krankenhäusern in verschärfter Form. Die IT von Krankenhäusern ist gegenüber Cyberangriffen aus unterschiedlichen Gründen besonders verletzlich. Darüber hinaus gehen die potenziellen Schäden von Angriffen weit über die in anderen Institutionen hinaus. Außerdem können Krankenhäuser sowohl in der Prävention als auch in der Abwehr und Nachsorge von Cyberangriffen auf weniger Ressourcen und einen kleineren Werkzeugkasten zurückgreifen.

Im Vergleich zu einem herkömmlichen Unternehmen muss jedes Krankenhaus hunderte von Prozessen in seinen Kern- und Unterstützungsprozessen organisieren und schützen. Diese Prozesse sind in den heutigen Krankenhäusern teils digital gelöst, teils noch analog. Durch die Digitalisierung als fortschreitender Prozess innerhalb laufender organisatorischer Abläufe sind die digitalisierten Prozesse in den meisten Krankenhäusern nicht zentral designt und innerhalb einer ganzheitlichen Infrastruktur organisiert, sondern sind über die Jahre und je nach Budgetsituation organisch gewachsen. So ergibt sich eine kaum zu überblickende Vielfalt miteinander mehr oder weniger verbundener heterogener Prozesse. Hinzu kommt, dass teilweise nicht aktuelle Hard- und Software verwendet wird, die instabil oder nur langsam funktioniert. Durch veraltete, miteinander vernetzte Technik wird jedes Gerät zum möglichen Einfallstor (Stephani et al. 2019).

Während die Vielfalt der Prozesse durchaus in anderen Organisationen auch auftreten könnte, gibt es bei der Prioritätensetzung und dem Schadenspotenzial im Krankenhaus ein Alleinstellungsmerkmal. Für Unternehmen ist Profitstreben ein Grund, Prozesse zu digitalisieren und diese auch abzusichern. Für Krankenhäuser geht es nicht nur um Profite, sondern auch um das Wohl von Patienten. Die Schäden eines potenziellen Cyberangriffes sind im Krankenhaus nicht nur finanziell. Es kann im schlimmsten Fall um Leben und Tod von Patienten gehen, was in die Risikokalkulation einfließen muss. Bislang ist es zu keinem Angriff gekommen, wo Menschen zu Schaden gekommen sind. Die bisher erfolgten Angriffe auf Krankenhäuser in Deutschland (etwa Neuss im Jahr 2016 oder die DRK Trägergesellschaft Süd-West im Juli 2019) sind in dieser Hinsicht glimpflich verlaufen, weil nur die IT betroffen war und das Krankenhaus analog weiterarbeiten konnte. Medizinische Geräte in der OP und Gebäudetechnik sind bisher nicht betroffen gewesen. Das Bedrohungspotenzial steigt aber auch hier durch Vernetzung von Prozessen und Geräten: Angreifer könnten sich theoretisch in Medizintechnik einhacken und Werte anpassen oder Medikationen verändern, wenn die Geräte mit dem Internet verbunden und ungeschützt sind. Neben der Medizintechnik ist auch die Gebäudeleittechnik ein mögliches Risiko. Bei Angriffen auf die Stromversorgung und Ausfällen in der Intensivstation, im OP oder anderen kritischen Stellen können Menschenlebeben gefährdet werden (Wehrs 2019).

Die schwierige Ausgangslage durch die Vielfalt der Prozesse und das fatale Schadenspotenzial sollte eigentlich zu einer Priorisierung von Cybersicherheit in den Kliniken führen. Trotzdem fehlen in deutschen Krankenhäusern ausreichende Budgets für die IT und die IT-Sicherheit. Ein Grundproblem ist hier das Prinzip der „dualen Finanzierung“ von Krankenhäusern. Die laufenden Kosten des Krankenhauses werden von den Krankenkassen, die Investitionskosten aber von den Bundesländern getragen werden. Dem GKV-Spitzenverband, Verband der Privaten Krankenversicherung und der Deutschen Krankenhausgesellschaft (DKG) zufolge liegt der bestandserhaltende Investitionsbedarf deutscher Krankenhäuser bei 6 Mrd. Euro im Jahr, um Ausstattung und Infrastruktur zu erhalten. Von den Bundesländern wird davon allerdings nur die Hälfte getragen. Für eine Investition in Cybersicherheit fehlen die Mittel, zumal die Ausgaben für die IT keine hohe Priorität für die Krankenhäuser haben: Deutsche Krankenhäuser geben ca. 1,5% ihres Budgets für die IT aus, Kliniken in den Niederlanden, der Schweiz und Österreich hingegen durchschnittlich 4%. Dem Bundesverband der Krankenhaus-IT Leiterinnen und Leiter e.V. zufolge fehlen den IT-Abteilungen der deutschen Krankenhäuser insgesamt 12 Mrd. Euro. Zur finanziellen Unterversorgung kommt der personelle Fachkräftemangel sowohl bei Medizininformatikern als auch bei IT-Sicherheitsfachkräften. Zusammengefasst: eine schwierige Ausgangslage mit großem Schadenspotenzial kann wegen einer schwierigen Ressourcenlage schwer verbessert werden (DKG et al. 2019; von Eiff u. von Eiff 2017; o.N. 2018).

Der Ist-Zustand der deutschen Krankenhäuser ist ein Digitalisierungs-Limbo. Die Kliniken hängen zwischen einer völlig analogen (und damit cybersicheren, aber nicht zukunftsfähigen) Arbeitsweise und einer digitalen, aber ganzheitlich aufgesetzten und abgesicherten Arbeitsweise fest. Es kann nur in eine Richtung gehen, ein Festhalten an analogen Prozessen ist keine Alternative. Notwendig vernetzte Medizin- und Unterstützungstechnik und eine Erwartungshaltung von Patienten und Gesundheitsdienstleistern wird die Krankenhäuser dazu zwingen, sich zu digitalisieren und diese Digitalisierung auch abzusichern.

Die Schwierigkeit liegt hier in der speziellen Ausgangslage des Krankenhauses, in dem Cybersicherheit organisatorisch und systemisch äußerst schwierig herzustellen und aufrechtzuerhalten ist. Eine Vielzahl von Prozessen bedeuten eine Vielzahl von Einfallstoren, und jeder digitalisierter Prozess stellt eine weitere Öffnung dar, durch die Cyberangriffe ausgeübt werden können. Datenverluste bei Patientendaten betreffen sehr viel intimere Informationen als herkömmliche Datenleaks und bei einem Cyberangriff auf ein Krankenhaus sind die Risiken höher und die potenziellen Schäden größer, da im schlimmsten Fall Menschenleben auf dem Spiel stehen können. Diese suboptimale Situation wird durch die Weiterentwicklung der Digitalisierung noch verschärft: Immer mehr Krankenhausprozesse werden digitalisiert und damit zum möglichen Angriffsziel. Ohne Cybersicherheit werden die positiven Synergie-und Beschleunigungseffekte digitaler Prozesse durch die negativen Folgen von Cyberangriffen und Cyberkriminalität negiert.

Eine Lösung des Dilemmas verlangt ein ganzheitliches Umdenken auf allen Ebenen, und ein Bewusstsein für Cybersicherheit als ein essenzieller Bestandteil des Risikomanagements im Krankenhaus. Cybersicherheit muss als zentraler Prozessenabler erkannt werden, von dem alle anderen Prozesse abhängen. Auf allen Ebenen des Gesundheitswesens, bei der Leitung der Kliniken bis in der Politik muss ein Paradigmenwechsel stattfinden. Ein Bewusstsein für Cybersicherheit muss aber natürlich auch bei den Mitarbeitenden und Gesundheitsdienstleistern in den Krankenhäusern geschaffen und gestärkt werden. Krankenhäuser müssen ihre Prozesse von Grund auf überprüfen und im Hinblick auf Cybersicherheit anpassen. Prozesse und Strukturen müssen re-designt werden. Der erste und wichtigste Schritt ist ein (Wieder)-Gewinn von Übersicht und Kontrolle über die eigenen Systeme. Welche Netzwerke existieren und wo gibt es Verbindungen nach außen? Es braucht eine Bestandsaufnahme über alle laufenden Prozesse. Darüber hinaus müssen alle Mitarbeitenden für Cybersicherheit sensibilisiert und ihr Verhalten dementsprechend angepasst werden, um Einfallstore zu schließen. Auf allen Ebenen muss Cybersicherheit zu einer Priorität werden, gerade weil die IT-Systeme alles im Krankenhaus verbinden und die potenziellen Schäden deswegen so groß sind.

Diese Re-Priorisierung kann natürlich nur dann funktionieren, wenn sie finanziell unterfüttert und ideell gestützt wird. Eine genügende Budgetierung einer ganzheitlichen Cybersicherheitsstrategie erfordert eine gesteigerte Awareness der Geschäftsleitung und des Aufsichtsrates den Problemen der Cybersicherheit gegenüber. Bei der Verteilung von Geldern muss mehr in IT und in ihre Sicherheit investiert werden, nicht nur auf technischer, sondern auch auf menschlicher Ebene. Der Weg zu einer erfolgreichen Cybersicherheitsstrategie erfordert aber auch staatliche Unterstützung, sowohl auf gesetzgeberischer als auch auf finanzieller Ebene. Da nach dem Prinzip der „dualen Finanzierung“ die laufenden Kosten des Krankenhauses von den Krankenkassen, die Investitionskosten von den Bundesländern getragen werden, muss auch in den Landesgesundheitsministerien und Staatskanzleien ein Umdenken stattfinden, um Krankenhäuser bei dieser transformativen Großaufgabe zu unterstützen.

Literatur

Bissell K, Lasalle RM, Dal Cin P (2019) The Cost of Cybercrime. Ninth Annual Cost of Cybercrime Study. URL: https://www.accenture.com/_acnmedia/PDF-96/Accenture-2019-Cost-of-Cybercrime-Study-Final.pdf#zoom=50 (abgerufen am 03. Februar 2020)

Bundesamt für Sicherheit in der Informationstechnik (2019) Die Lage der IT-Sicherheit in Deutschland 2019

Deutsche Krankenhaus Gesellschaft (2019) Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus. Gesamtdokument

DKG, PKV, GKV (2019) GEMEINSAME PRESSEMITTEILUNG Investitionsbedarf der Krankenhäuser: Aktuelle Auswertung bestätigt Unterfinanzierung durch die Bundesländer. Stand: 21. März 2019. URL: https://www.pkv.de/presse/pressemitteilungen/2019/0321-investitionsbedarf-krankenhaeuser/ (abgerufen am 18. Dezember 2019)

Eiff MC von, Eiff W von (2017) Perspektiven des IT-Managements im Gesundheitswesen. In: Müller-Mielitz S, Lux T (Hrsg.) E-Health-Ökonomie, 71–95. Springer Fachmedien Wiesbaden

Hehner S et al. (2018) Digitalisierung in deutschen Krankenhäusern. Eine Chance mit Milliardenpotenzial für das Gesundheitssystem Düsseldorf/Köln/Frankfurt/Berlin/Wien

Klauber J, Geraedts M, Friedrich J, Wasem J (Hrsg.) (2019) Krankenhaus-Report 2019: Das digitale Krankenhaus. Springer Berlin Heidelberg Berlin, Heidelberg

Müller-Mielitz S, Lux T (Hrsg.) (2017) E-Health-Ökonomie. Springer Fachmedien Wiesbaden

Nanterne P (2016) Digital disruption has only just begun. Stand: 17. Januar 2016. URL: https://www.weforum.org/agenda/2016/01/digital-disruption-has-only-just-begun/ (abgerufen am 21. November 2019)

o.N. (2018) IT-Abteilungen fehlen Milliarden. In: Medizin und Elektronik. Stand: 13. September 2018. URL: https://www.medizin-und-elektronik.de/sonstige/artikel/157679/ (abgerufen am 30. Januar 2020)

Perry MJ (2017) Fortune 500 firms 1955 v. 2017. Only 60 remain, thanks to the creative destruction that fuels economic prosperity. Stand: 20. Oktober 2017. URL: https://www.aei.org/carpe-diem/fortune-500-firms-1955-v-2017-only-12-remain-thanks-to-the-creative-destruction-that-fuels-economic-prosperity/ (abgerufen am 22. November 2019)

Schumpeter JA (2006) Capitalism, Socialism and Democracy, 6. Aufl. Routledge; Taylor & Francis Group [distributor] New York Florence

Schwab K (2017) The fourth industrial revolution. Portfolio Penguin London, UK u.a.

Stephani V, Busse R, Geissler A (2019) Benchmarking der Krankenhaus-IT: Deutschland im internationalen Vergleich. In: Klauber J, Geraedts M, Friedrich J, Wasem J (Hrsg.) Krankenhaus-Report 2019: Das digitale Krankenhaus, 17–32. Springer Berlin Heidelberg

Wehrs H (2019) Praxisleitfaden IT-Sicherheit im Krankenhaus. Antares Computer Verlag GmbH Dietzenbach

Hans-Wilhelm Dünn

Hans-Wilhelm Dünn legte sein Studium an der Universität Potsdam als Diplom-Verwaltungswissenschaftler ab. Von 2007 bis 2009 war er Persönlicher Referent im Büro des Wirtschaftsministers und stellvertretenden Ministerpräsidenten des Landes Brandenburg, den er dort auch bei seiner Arbeit als Beiratsvorsitzender der Bundesnetzagentur unterstützte. Von 2009 bis 2010 war er Mitglied im Aufsichtsrat der Energie und Wasser Potsdam GmbH. Von 2010 bis 2012 war Dünn Geschäftsführer von Security and Safety made in Berlin-Brandenburg e.V. Außerdem war er von 2011 bis 2014 Mitglied im Aufsichtsrat der VIP Verkehrsbetrieb Potsdam GmbH. Hans-Wilhelm Dünn war von 2016 bis 2019 Vorstand der BuCET Shared Services AG. 2009 bis 2019 war er außerdem Mitglied im Aufsichtsrat der Klinikum Ernst von Bergmann gGmbH und der Lausitz Klinik Forst GmbH. Er führt seit 2012 eine eigene Unternehmensberatung. Als Gründungsmitglied und Präsident – zuvor Vizepräsident und Generalsekretär – des Cyber-Sicherheitsrat Deutschland e.V. (CSRD e.V.) ist er unter anderem Leiter des Energy Hubs und Mitglied des eHealth Hubs und berät Betreiber kritischer Infrastrukturen zu cybersicherheitsrelevanten Themen. Er wirkt zudem als Direktor am Aufbau des Forschungsinstituts für Cybersicherheit an der University of Digital Sciences in Berlin mit. Sein Fachwissen vermittelt er auf hochrangigen Veranstaltungen als Keynote-Speaker und Panelist. Er ist häufiger Ansprechpartner für TV-Sender und andere Medienformate sowie Gastautor für verschiedene Zeitungen, Fachzeitschriften und wissenschaftliche Publikationen wie das Jahrbuch für Europäische Integration.

Der Begriff Digitalisierung ist in aller Munde. Ständig wird über die Digitale Transformation gesprochen, aber was ist denn Digitalisierung eigentlich? Worum geht es dabei und warum ist es so wichtig, dass sowohl Unternehmen als auch Privatpersonen an der Digitalisierung teilhaben?

Der Begriff Digitalisierung beschreibt eigentlich nur die Umwandlung analoger Werte oder Daten in ein digital nutzbares Format. Wenn also eine bisher von Hand geschriebene Aufgabenliste für Pflegekräfte jetzt in einer Smartphone-App erfasst wird, dann wurde diese Aufgabenliste digitalisiert. Leider bleibt Digitalisierung auch oft bei genau diesem Schritt stehen, nutzt also nur ein digitales Werkzeug für einen ansonsten völlig unveränderten Arbeitsschritt. Dabei könnte und kann man mit digitalisierten Daten deutlich anders umgehen. Im beschriebenen Beispiel könnte man sich mit anderen Pflegkräften der Station vernetzen, damit gemeinsam an der Aufgabenliste gearbeitet werden kann und jedes Mitglied des Teams jederzeit einen Überblick hat, wer gerade woran arbeitet und was noch an offenen Aufgaben übrig ist. Die App könnte darüber hinaus über einen Algorithmus die Aufgaben in eine möglichst sinnvolle Reihenfolge bringen, Aufgaben gezielt an gerade freie Team-Mitglieder verteilen und warnen, wenn wichtige Aufgaben nicht rechtzeitig erledigt werden konnten.

Digitalisierung bedeutet also deutlich mehr als nur die Nutzung digitaler Werkzeuge. Digitalisierung führt nicht nur im privaten Bereich, sondern vor allem in unserem beruflichen Umfeld zu neuen Strukturen und Prozessen. Dadurch ergeben sich auch neue Herausforderungen an Zusammenarbeit: räumliche Voraussetzungen verlieren an Bedeutung, wenn beispielsweise auch in virtuellen Teams zusammengearbeitet werden kann. Persönliche und interprofessionelle Kommunikation und Telefonate werden weitgehend durch Chats in Messenger-Systemen ersetzt. Auch der Bereich Training und Weiterbildung verschiebt sich immer mehr in die digitale Welt mit E-Learning, Webinaren und Video-Tutorials. Die Digitalisierung, wie wir sie gerade erleben, wird vielfach für genauso grundlegend wie die industrielle Revolution im 19. Jahrhundert gehalten. Wir alle werden dieser Entwicklung nicht entkommen, es ist aber eine Frage, wie wir daran teilhaben werden – ob wir diese Entwicklung aktiv mitgestalten, oder ob andere das für uns tun.

Im Gesundheitswesen wird im Kontext der Digitalisierung auch der Begriff der Digitalen Medizin oder Medizin 4.0 (analog zum Begriff „Industrie 4.0“) genutzt. Auch hier steht zunächst einmal nur die Veränderung der medizinischen Versorgungsprozesse mittels Informations- und Kommunikationstechnik im Vordergrund. Ein wesentlicher Unterschied zur industriellen Digitalisierung besteht bei der Digitalisierung in der Medizin aber darin, dass bei letzterer als unmittelbar personenbezogener Dienstleistung der Faktor Mensch in den Prozess der Leistungserstellung deutlich stärker einbezogen bleibt. Die Prozesse der medizinischen Leistungserstellung verschmelzen dabei immer mehr mit den Informationstechnologien. Hierdurch können auf der einen Seite Prozesse stärker standardisiert werden, was zu mehr Qualität führen kann, auf der anderen Seite wird mehr Flexibilität bei der medizinischen Leistungserstellung möglich und diese mehr auf den Patienten hin individualisiert: hierfür wird auch der Begriff der Präzisionsmedizin genutzt.

Zu diesem Zweck müssen deutlich mehr Informationen und Daten miteinander verknüpft werden. Dies und die immer mehr steigenden Datenmengen, aber auch der Wunsch nach Prozessverbesserungen und Beschleunigung war und ist ein wichtiger Grund für die Einführung elektronischer Krankenakten. Solche elektronischen Krankenakten können aber nur sinnvoll eingesetzt werden, wenn die darin erfassten Daten in passenden, möglichst international genormten und semantisch interoperablen Standardformaten strukturiert vorliegen und damit sind definitiv keine PDFs gemeint, die womöglich noch durch das Einscannen von Papierdokumenten erzeugt wurden.

Fügt man dann diesen lokalen Krankenakten Strukturen wie interoperabel vernetzte Informations- und Kommunikationstechnologien hinzu, ermöglichen erst diese eine Telemedizin, die Patienten weitgehend ortsunabhängig einen breiteren Zugang zu Standard- und Spezialbehandlungen ermöglicht.

Weltweit stehen die Gesundheitssysteme also vor tiefgreifenden Änderungen. Hauptursache und treibende Kraft hierfür ist der fortschreitende Digitalisierungsgrad, der mit unterschiedlichen zeitlichen Verzögerungen zu anderen Branchen jetzt die Gesundheitssysteme nahezu aller Länder erfasst – auch das deutsche Gesundheitssystem stellt hier keine Ausnahme dar.

Bei der Digitalisierung des Gesundheitswesens wird oft beklagt, dass Deutschland im internationalen Vergleich anderen Ländern deutlich hinterherhinkt und in verschiedenen Rankings auf den hinteren Plätzen landet. Wie lässt sich eigentlich messen, wie es um die Digitalisierung eines Gesundheitswesens steht?

Das führende international gebräuchliche und akzeptierte System stammt von der HIMSS (Hospital Information Management Systems Society, www.himss.org) und nennt sich EMRAM (Electronical Medical Record Adoption Model). In der Logik dieses Systems werden Krankenhäuser anhand einer Skala von 0 (keine Digitalisierung) bis 7 („papierloses“ Krankenhaus) bewertet. Nach der EMRAM-Bewertung erreichen die deutschen Krankenhäuser im Durchschnitt einen Wert von 2,3 und sind damit im Vergleich zu anderen Ländern nur unterdurchschnittlich digitalisiert. Der Abstand zum europäischen Durchschnitt (3,6) hat sich sogar in den letzten Jahren eher vergrößert (Stephani et al. 2019).

Die Einschätzung, dass für Deutschland also offensichtlich (vorsichtig formuliert) ein erhebliches Nachholpotenzial besteht scheint also durchaus berechtigt und wird z.B. auch von einer Studie der Bertelsmann-Stiftung gestützt (Bertelsmann Stiftung 2018), in der Deutschland mit einem Digital Health Index von 30 auf dem vorletzten Platz der untersuchten 17 Nationen landet.

Dennoch wird auch in Deutschland der Weg zu einer datengetriebenen Medizin sichtbar und nimmt in letzter Zeit sogar deutlich Fahrt auf. Befördert wird diese Entwicklung zum Beispiel durch das in einer ersten Stufe im November 2019 verabschiedete digitale Versorgungsgesetz (DVG), welches unter anderem auf die Nutzung und Nutzbarkeitsmachung von Daten im Gesundheitswesen abzielt.

Worin unterscheidet sich nun eine digitale Medizin von der analogen Medizin? Klinische Daten in Form von schriftlichen Aufzeichnungen spielen immerhin schon seit langem eine wichtige Rolle in der Medizin und habe die Spezialisierung in der Medizin überhaupt erst möglich gemacht: Wo vorher die Devise „ein Arzt – ein Patient“ galt und dieser Arzt alle benötigten Informationen („Daten“) für die Behandlung seines Patienten im Kopf haben konnte war diese Vorgehensweise im Zeitalter der Spezialisierung nicht mehr möglich. Erst die schriftliche Dokumentation relevanter Untersuchungsergebnisse hat es ermöglicht, den Patienten gemeinsam mit anderen Spezialisten zu behandeln: die aufgezeichneten Daten wurden weitergegeben und aufbewahrt, und haben unter anderem auch dazu geführt, dass die Verpflichtung zur Anfertigung von Aufzeichnungen im Rahmen ärztlichen Handelns in der Musterberufsordnung (§ 10 – Dokumentationspflicht) der deutschen Ärzte hinterlegt ist.

Es werden also schon seit langem Behandlungen auf der Basis von aufgezeichneten Untersuchungs-Ergebnissen und Notizen durchgeführt. Was ist jetzt anders? Nun, ein wesentlicher Unterschied besteht sicherlich im Umfang der Daten, die heutzutage im Kontext einer Behandlung eine Rolle spielen. Dies betrifft Untersuchungsergebnisse, aber auch weitere Daten, die es in der Vergangenheit so nicht gab: hierzu zählen zum Beispiel elektronische Tagebücher, die Patienten führen oder Daten aus Sensoren, die blutzuckerkranke Patienten am Körper tragen. Der Umfang der Daten, die dabei entstehen, nimmt seit langem zu. Der Punkt, an dem diese Daten allein aufgrund der schieren Menge nicht mehr von „Menschenhand“ ausgewertet werden können ist längst absehbar und in manchen Bereichen auch schon erreicht. Dies betrifft z.B. Laborwerte, die routinemäßig von Algorithmen auf Ausfälligkeiten hin überprüft werden und zu gezielten Alarmierung von ärztlichem Personal führen. Andere Beispiele finden sich im Bereich der Radiologie, wo große Bildmengen computerunterstützt ausgewertet werden um relevante Befunde möglichst früh und sicher erkennen zu können.

Die umfassende statistische Auswertung von Daten spielt auch bei der sog. Präszisionmedizin eine große Rolle. Das Ziel einer Präzisionsmedizin ist es, zu individuellen Behandlungsstrategien und Therapien zu kommen. Dafür werden z.B. Daten aus klinischen Studien herangezogen und Modelle entwickelt, um etwa die Wirksamkeit von Medikamenten auf Grundlage von hierdurch identifizierten Patientencharakteristika vorherzusagen.

Ein weiteres Merkmal der Digitalisierung der Medizin besteht darin, dass Daten nicht mehr nur in Krankenhäusern und Arztpraxen erhoben werden. Viele Menschen nutzen bereits heute Apps, in denen medizinisch relevante Daten entstehen – und das sind nicht mehr nur eher dem Lifestyle-Bereich zuzuordnende Fitnessdaten, sondern zunehmend auch klinisch relevante Daten wie sie eine Apple-Watch im Bereich der EKG-Diagnostik produziert. Zusammen mit Tagebuch-Daten und Symptomen, die der Nutzer selbst in einer App erfasst entstehen hier wichtige Datensammlungen, die für Diagnostik und Therapie sehr wertvoll sind – und für deren Aufnahme das deutsche Gesundheitswesen in seinen Arztpraxen und Krankenhäusern aktuell nicht über die erforderlichen technischen und organisatorischen Schnittstellen verfügt.

Der Wert dieser Daten ist einschlägig interessierten Digital-Konzernen wie Apple, Google, Amazon und Microsoft nicht verborgen geblieben. Sowohl diese Konzerne versuchen Zugriff auf diese Daten zu erlangen, um auf deren Basis Gesundheitsdienstleistungen anbieten zu können – aber auch eine Vielzahl von Start-ups, die sich immer weiter auf das Gebiet medizinischer Diagnose- und Therapieleistungen begeben. Als ein Beispiel sei hier die Firma Ada Health genannt, die einen sogenannten Symptomchecker anbietet. In diesem trägt man seine Symptome ein, beantwortet einige weitere von einem Algorithmus ermittelte Fragen und erhält sodann eine diagnostische Einschätzung. Auch wenn solche Services noch am Anfang ihrer Entwicklung stehen, so wird mit der Verfügbarkeit von immer mehr Daten deren Funktionsfähigkeit zunehmen. Dies führt auf der einen Seite zu einer aus Patientensicht sicher gewünschten Demokratisierung der Medizin – auf der anderen Seite aber auch dazu, dass Gesundheitsdaten unterschiedlicher Qualität an immer mehr Orten entstehen, gespeichert und verwendet werden. Damit rückt auch die Frage nach der Sicherheit der Daten in den Fokus: Wer hat die Daten unter welchen Bedingungen erzeugt? Von welcher Qualität ist der Algorithmus der ggf. aus diesen Daten weitere Ergebnisse produziert hat? Wer verantwortet zukünftig die Korrektheit einer Diagnose und einer Behandlung? Mit diesen Fragen werden alle Beteiligten sich kurzfristig auseinandersetzen müssen – denn die Wege zu einer App-basierten (Tele -)Medizin sind durch das Digitale Versorgungsgesetz (DVG) längst geöffnet.

Die Einführung elektronischer Patientenakten zur besseren Datennutzung beschränkt sich nicht auf Krankenhäuser und Arztpraxen, sondern führt bereits heute zu nationalen elektronischen Patientenakten. Mittlerweile laufen in nahezu allen EU-Ländern Bestrebungen, elektronische Patientenakten zu etablieren, um sowohl den Zugang von Patienten zu medizinischen Services zu verbessern als auch um möglichst strukturierte (!) Daten für medizinische Versorgung und Forschung nutzbar zu machen.

Als in allen Staaten der EU nutzbares, wenn auch noch etwas rudimentäres Basis-Format kann die International Patient Summary (IPS) betrachtet werden, die (u.a.) auf den Vorarbeiten des europäischen epSOS Projektes (european patient smart open services) aufbaut und die relevanten Daten zu einem Patienten in standardisierter Form enthält (s. Abb. 1).

Die Türkei hat sich beispielsweise entschieden, ihre nationale elektronische Patientenakte komplett auf Basis der IPS zu konzipieren. Dabei kommt als Standard (u.a.) SNOMED CT (Systematized Nomenclature of Medicine-Clinical Terms) zum Einsatz, wobei die Nutzung der für die IPS benötigten SNOMED-Codes nach einer Vereinbarung zwischen HL7 International und SNOMED International sogar lizenzkostenfrei erfolgen kann! Ähnliche Entwicklungen zeichnen sich in Deutschland ab: Beim Health Innovation Hub (HIH) des Bundesministeriums für Gesundheit (BMG) laufen Überlegungen, die Struktur der IPS auch in der nationalen deutschen ePA (elektronischen Patientenakte) in den kommenden Spezifikationen des DVG (Digitalen Versorgungsgesetzes) zu verankern.

Überhaupt sehen viele Länder inzwischen SNOMED CT als einen Terminologiestandard an, der die Möglichkeit bietet, etliche semantische Interoperabilitätsprobleme zu lösen. Er stellt mit über 300.000 hierarchisch verbundenen medizinischen Konzepten und 800.000 fachsprachlichen Beschreibungen wohl die bedeutendste Terminologie dar, kaum vergleichbar mit reinen Klassifikationssystemen wie der aktuell gültigen Version ICD-10. Spätestens seit dem Abkommen mit der WHO-Klassifikationsfamilie im Jahr 2010 hat sich SNOMED CT im internationalen Terminologiegeschehen zu einer Art Gravitationszentrum entwickelt (und die kommende ICD-11 soll mit SNOMED CT konvergieren).

Um elektronische Patientenakten erfolgreich über die verschiedenen Sektoren mancher nationalen Gesundheitssysteme (oder sogar über die Grenzen nationaler Gesundheitssysteme hinweg international) zu führen und medizinische Daten nicht nur austauschen, sondern auch möglichst automatisiert und algorithmenbasiert gemeinsam nutzen zu können, bedarf es einer semantischen Interoperabilität. Semantische Standards ermöglichen – im Unterschied zu rein technischen Spezifikationen und Standards oder unstrukturierten Dokumenten (z.B. im PDF-Format) – eine weitgehend automatische Weiterverarbeitung und korrekte Interpretation von einem IT-System zum anderen, ohne dass noch einmal manuell fachlich nachgearbeitet werden muss.

Innerhalb verschiedener nationaler, BMBF-geförderter aber auch europäischer, EU-geförderter Projekte werden derzeit Anstrengungen unternommen Daten, die gemeinsam genutzt/ausgewertet werden sollen, wie oben beschrieben auf Basis von Standards zu konsolidieren. Unter dem Stichwort eHRXF (European Health Record Exchange Format) gibt es auch Initiativen der EU, einen Austausch von Daten zwischen nationalen Patientenakten zu fördern um auch eine grenzüberschreitende Behandlung zu ermöglichen. Dabei wird davon ausgegangen, dass aufgrund der national doch noch unterschiedlichen Auslegungen/Ausprägungen der DSGVO (Datenschutzgrundverordnung) keine echten Datenzusammenführungen über europäische Grenzen hinweg etabliert werden können und sollen. Von daher soll ein föderierter Ansatz verfolgt werden, bei dem bei den beteiligten Partnern semantisch interoperable Strukturen aufgebaut werden die dann von Algorithmen übergreifend ausgewertet werden können (= nicht die Daten zur Analyse, sondern die Analyse zu den Daten bringen).

Die Digitale Transformation erfasst also nicht nur zunehmend alle Lebensbereiche, sondern macht auch vor dem Gesundheitswesen keinen Halt. Die Medizin steht weltweit an der Schwelle eines neuen Zeitalters, in dem die konsequente Nutzung von Daten völlig neue Dimensionen medizinischer Innovationen eröffnet. Den Gesundheitssystemen steht ein tiefgreifender Umbau bevor – besonders die Fähigkeit betreffend, große Mengen hochwertiger klinischer Daten zu generieren und zu verarbeiten. Dabei steht der Mensch weiterhin im Mittelpunkt – als Anwender und als Nutzer dieser Technologien, für eine bessere medizinische Versorgung.

Fragen von Datenschutz und Sicherheit, aber vor allem von Ethik sind dabei teilweise noch zu lösen – aber klar ist: Patientinnen und Patienten die Vorteile einer datengetriebenen Medizin vorzuenthalten wäre unethisch und ist sowieso unrealistisch. Als adäquate Richtschnur mag gelten: Medizin braucht Daten – Daten brauchen Struktur – Strukturen brauchen Sicherheit.

Literatur

Bertelsmann Stiftung (2018) #SmartHealthSystems. Digitalisierungsstrategien im internationalen Vergleich. URL: https://www.bertelsmann-stiftung.de/fileadmin/files/Projekte/Der_digitale_Patient/VV_SHS-Gesamtstudie_dt.pdf (abgerufen am 31.03.2020)

Stephani V, Busse R, Geissler A (2019) Benchmarking der Krankenhaus-IT: Deutschland im internationalen Vergleich. In: Klauber J et al. (Hrsg.) Krankenhaus-Report 2019. 17–32. https://doi.org/10.1007/978-3-662-58225-1_2

Dr. med. Peter Gocke

Peter Gocke war als Radiologe bereits bei der Digitalisierung der Radiologie der Universitätsklinik Essen erfolgreich. Mit ihm als CIO erreichte das UKE Hamburg-Eppendorf 2011 als erste papierlose Klinik in Europa den HIMSS EMRAM Award der Stufe 7. 2017 wurde er als erster Chief Digital Officer (CDO) im deutschen Gesundheitswesen Leiter der neu geschaffenen Stabsstelle Digitale Transformation der Charité Berlin.

Peter Gocke ist Buchautor und gefragter Vortragsredner sowie Herausgeber der kma (klinik management aktuell), Mitglied im HIMSS Europe Governing Council und Gutachter für das Bundesministerium für Gesundheit.

Daten sind sensibel, das ist allgemein bekannt. Dazu gehören neben Bank- und Adressdaten auch ganz persönliche Informationen, die unseren Gesundheitszustand betreffen. Für Krankenhäuser ist es mittlerweile selbstverständlich, dass Patientendaten digitalisiert in Computer-Netzwerken gespeichert sind, denn anders wäre der Betrieb gar nicht mehr denkbar. Doch was ist, wenn diese Daten in falsche Hände gelangen? Was, wenn sie manipuliert werden, wenn Medikationen verändert, Diagnosen gefälscht und lebenswichtige medizinische Apparaturen gehackt werden? Die Folgen sind desaströs: Erpressung, hohe Lösegeldforderung, im schlimmsten Fall der Tod eines Patienten. Im Zeitalter der globalen Vernetzung sind diese Folgen durchaus vorstellbar. Und man muss sie sich vor Augen halten, um zur richtigen Zeit die richtigen präventiven Maßnahmen zu ergreifen.

Die richtige Zeit ist nun gekommen: Wie die Krankenhäuser mit dem Thema Cybersicherheit umgehen müssen, um sich besser zu schützen, soll im folgenden Beitrag erläutert und belegt werden. Dazu schauen wir uns zunächst die allgemeine Lage in Sachen Cyberkriminalität an. Im Anschluss erörtern wir die spezifische Situation der Krankenhäuser, um schließlich auf die Folgen von Cyberkriminalität und Handlungsempfehlungen näher einzugehen.

Die Geschichte der Digitalisierung ist auch eine Geschichte der Cyberkriminalität und der Cyberspionage. In ihrem Verlauf wird Cyberkriminalität zunehmend professionalisiert und als Service in Form von Malware wie Ransomware oder Keyloggern, Hackerdienstleistungen oder Robot-Networks (Botnets) im Darknet und anderen digitalen Infrastrukturen angeboten. Cybercrime umfasst dabei die Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten (Cybercrime im engeren Sinne) oder die mithilfe dieser Informationstechnik begangen werden (Bundeskriminalamt 2017, S. 2). In der Vergangenheit kam es bereits mehrfach zu groß angelegten Datendiebstählen, bei denen Millionen von Kreditkarten-Accounts abgegriffen wurden – so zum Beispiel 2005 beim US-Einzelhandelskonzern TJX. Und es gab heftige Attacken über Bots mit weiteren illegalen Aktionen wie beispielsweise DoS- bzw. DDoS-Angriffen – etwa in Estland im Frühjahr 2007: Hier legten russische Hacker mit DDoS-Attacken die Websites estnischer Behörden lahm. Betroffen waren das Bankensystem, die Behörden, die Regierung und Medien.

Zu den bekanntesten Cyberattacken gehören Stuxnet, ein Virus, der 2010 im Iran Industrieanlagen sabotierte, und natürlich WannaCry: Die Schadsoftware blockierte 2017 Zehntausende Windows-Computer und gilt bis dato als einer der größten Angriffe auf Computersysteme weltweit. Betroffen waren etliche Krankenhäuser in Großbritannien, Energieversorgungsunternehmen in Spanien und in Deutschland vor allem die Deutsche Bahn.

Eine Zuspitzung der Hackeraktivitäten in den letzten Jahren (s. Abb. 1) bestätigt auch der Lagebericht des BKA aus dem Jahr 2017: Hier wird ein Anstieg der Cyberkriminalität „im engeren Sinn“ von 4 Prozent im Vergleich zum Vorjahr aufgeführt – ohne die Dunkelfelderkenntnisse mit einzubeziehen (Bundeskriminalamt 2017, S. 6). In diesem Lagebericht wird auch auf eine Studie des Branchenvereins BITKOM aus demselben Jahr verwiesen, wonach jeder zweite Internetnutzer bereits zum Opfer von Cyberkriminalität geworden ist (Bundeskriminalamt 2017, S. 7). Dies sind alarmierende Zahlen, die sich mit den Ergebnissen der aktuellen EY-Studie zum Thema Datenklau und Cyberkriminalität decken: Zwei von fünf der 453 befragten Unternehmen wurden in den vergangenen Jahren Opfer einer Cyberattacke und 15 Prozent der registrierten Fälle wurden nur durch Zufall entdeckt (EY 2019).

Es handelt sich definitiv um eine globale Herausforderung, denn, wie Kölmel schreibt:

Nachfolgend sind die cyberkriminellen Vorfälle mit globalen Auswirkungen aufgelistet (Kölmel et al. 2017):

Im Mai 2014 wurden bei Ebay die E-Mail-Adressen, Usernamen und Passwörter von knapp 145 Millionen Kunden geknackt.

Die US-Pizzakette Cicis wurde 2016 gehackt – betroffen waren die Kassensysteme in 130 Filialen.

Im Juli 2016 wurde in den Kassensystemen der US-Fastfoodkette Wendy's Malware gefunden – insgesamt in 1.000 Filialen. Zudem wurden Kundendaten und Kreditkarteninformationen gestohlen.

September 2014: Hack bei Yahoo, den das Unternehmen als größten Hack aller Zeiten bezeichnet hat – obwohl bereits 2013 die Konten von knapp 1 Milliarde Yahoo-User attackiert worden waren.

Im Oktober 2017 wurde der DNS-Provider Dyn über ein Botnetz angegriffen. Infolgedessen waren Amazon, GitHub, Twitter, die New York Times und weitere Websites über Stunden nicht erreichbar.

Ebenfalls globale Auswirkungen hatte ein Hackerangriff auf das Düsseldorfer Unternehmen Rheinmetall Automotive im Oktober 2019, der die Produktion in Mexiko, Brasilien und den USA gestoppt hat (Khammar 2019).

Die Antwort auf diese globale Entwicklung einer zunehmend omnipräsenten Cyberbedrohung ist eine Verschärfung der Gesetzgebung, die richtig und notwendig ist, insbesondere für kritische Infrastrukturen (KRITIS). Doch wird sie reichen? Sicherlich nicht, wenn das entsprechende Compliance-Management nicht mit einem Wandel der Wahrnehmung einhergeht, mit entsprechenden Mitarbeiterschulungen und natürlich mit klaren Verhaltensregeln für den Krisenfall. Doch zunächst zur Gesetzeslage: Hier gibt es in jüngerer Zeit die verschiedensten Maßnahmen, um Cyberkriminalität vorzubeugen bzw. zu ahnden, bei deren Nichteinhalten hohe Bußgelder drohen (Meseke 2019, S. 54–59). In diesem Beitrag soll insbesondere auf die EU-DSGVO und das IT-Sicherheitsgesetz eingegangen werden.

Datenschutz-Grundverordnung der EU (EU-DSGVO): Die Verordnung regelt das Grundrecht natürlicher Personen auf den Schutz personenbezogener Daten innerhalb der EU. Unternehmen, die Daten von Endkunden in der EU nutzen, müssen DSGVO-konforme Prozesse und Maßnahmen implementiert haben. Außerdem müssen sie dafür Sorge tragen, dass Kunden, Patienten und Mitarbeiter eine Einwilligung zur Verarbeitung personenbezogener Daten geben. Sie sind darüber hinaus dazu verpflichtet, diese Daten nach Aufforderung zu löschen sowie Vorgaben zur Verhinderung von ungewollten Zugriffen zu erfüllen.

IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme): Das IT-Sicherheitsgesetz ist im Juli 2015 in Kraft getreten, mit dem Ziel, kritische Infrastrukturen besser vor Cyberangriffen zu schützen. Zu seinen Kernpunkten zählen ein angemessener Schutz vor Cyberattacken und eine Meldepflicht bei Havarien. Es geht also um ein effizientes Risikomanagement und eine gezielte Vorbereitung auf den Ernstfall durch entsprechende technische und organisatorische Maßnahmen.

Diese und andere Gesetzesvorlagen dienen als Basis für eine bessere Zusammenarbeit zwischen Staat und Wirtschaft bzw. den Betreibern kritischer Infrastrukturen, zu denen auch die Kliniken gehören. Die Notwendigkeit dafür ergibt sich aus der zunehmenden IT-Durchdringung und Vernetzung aller Lebensbereiche, die weder rückgängig zu machen noch aufzuhalten ist.

Die BSI-Kritis-Verordnung (BSI-KritisV) regelt, welche Krankenhäuser als kritische Infrastrukturen eingestuft werden. Der Schwellenwert liegt bei einer Zahl von 30.000 stationären Fällen pro Jahr. Für diese Kliniken hat die Deutsche Krankenhausgesellschaft (DKG) einen „Branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ vorgelegt (PwC 2019), den sie auch für kleinere Kliniken empfiehlt. Der Standard sieht insgesamt 168 Maßnahmen vor, die nötig sind, um die IT-Sicherheit in diesen Kliniken zu gewährleisten. Sie müssen u.a. ein Managementsystem für Informationssicherheit (ISMS) implementieren, eine Kontaktstelle im Unternehmen benennen, relevante IT-Störungen dem BSI melden, IT-Systeme nach dem neuesten Stand der Technik und den Branchenstandards absichern und dies alle zwei Jahre gegenüber dem BSI nachweisen.

Diese Anforderungen stellen viele Kliniken ressourcentechnisch und finanziell vor große Herausforderungen – insbesondere durch die Gesetzesvorgabe, dass die IT-Infrastruktur dem neuesten Stand der Technik entsprechen muss.

Es sind Schlagzeilen wie die folgenden, die die IT-Sicherheitsverantwortlichen aufrütteln sollten: „Unbekannter stiehlt Zehntausende Patientendaten“ (o.N. 2012), „Cyber-Attacke schleudert Klinik in 90er-Jahre zurück“ (Hofsähs 2016), „Bremerhaven: Cyber-Angriff auf die Ameos-Kliniken“ (Von der Ahé 2018), „Hackerangriff: Wenn Krankenhäuser lahmgelegt werden“ (o.N. 2019a) oder „Cyberangriff auf Krankenhäuser in der Pfalz“ (Lutz 2019). Die Hacker haben es dabei immer auf die Patientendaten abgesehen, denn dafür wird im Darknet viel Geld gezahlt. Das Cyber-Sicherheitsunternehmen McAfee hat herausgefunden, dass für diesen illegalen Handel eine aktive Nachfrage besteht, die sogar größer ist als die Nachfrage nach Kreditkartendaten. Erpressungen mittels Ransomware sind demnach ein weiterer boomender Geschäftsbereich. Das Risiko ist hier, dass Unbekannte die Server und Datenbanken von Krankenhäusern verschlüsseln, sodass das Personal nicht mehr auf benötigte Dateien zugreifen kann – außer es wird ein Lösegeld gezahlt. (o.N. 2019b). Die Krankenhäuser sind demnach dringend angehalten, präventive Maßnahmen zu ergreifen, um ihre Daten bzw. die Daten ihrer Patienten besser zu schützen. Sind Krankenhäuser zurzeit primär im Fokus krimineller Angreifer, dürfte sich dieser Angreiferkreis im Falle staatlicher Konflikte schnell ausweiten. Ziele wie Krankenhäuser oder die Stromversorgung eines Landes dürften dann wohl auf der Liste der bei einem Cyberangriff gefährdeten Objekte stehen. Die Angreifbarkeit erhöht sich in allen Bereichen durch die immer weiter reichende Digitalisierung und Technologisierung unserer Infrastrukturen.

Aus einer Studie von Roland Berger aus dem Jahr 2017 geht hervor, dass 64 Prozent der 500 größten Krankenhäuser in Deutschland bereits Opfer eines Hackerangriffs waren (s. Abb. 2). Ziel der Studie war es, eine Einschätzung der Führungskräfte zur Situation der deutschen Krankenhauslandschaft zu erhalten. Befragt nach ihrer Digitalisierungsstrategie gaben immerhin 90 Prozent der Teilnehmer an, eine solche zu haben (Roland Berger 2017, S. 3). Diese Zahlen legen nahe, dass es bei den Kliniken ein deutliches Verbesserungspotenzial in Sachen IT-Schutz gibt.