Erst im Zuge der Gesetzgebung ist das Thema Informationssicherheit in der kritischen Infrastruktur, also auch in der medizinischen Versorgung für mehr als 30.000 stationäre Fälle, angekommen und umgesetzt worden. Der 1.1.2022 brachte mit den SGB V §75c für alle Krankenhäuser eine deutliche Verschärfung, indem nun auch sie zur Umsetzung verpflichtet wurden. In der Förderrichtlinie zum KHZG wird der Anteil der Informationssicherheit an der Fördersumme mit15 % verpflichtend eingefordert. Natürlich steht jetzt die Frage im Raum, ob das alles zu schaffen ist. Von Lars Forchheim
Informationssicherheit besteht im Kern aus einem kontinuierlichen Verbesserungsprozess. Dieser Prozess beginnt mit der Analyse der Ausgangslage. Dabei sind verschiedene Perspektiven notwendig. Die bauliche Struktur von Räumen ist ein Punkt. Hier sollte nicht immer nur an das Rechenzentrum gedacht werden. Es geht dabei auch um Netzwerkverteiler oder den Hausanschluss z.B. für Datenleitungen. Ebenso sind Aspekte der IT-Umgebung (Hardware, Software) zu betrachten. Genauso sind die Prozesse für Inbetriebnahme, Betrieb und Aussonderung von Systemen zu analysieren. Im nächsten Schritt werden die Ergebnisse der Anlayse auf Risiken geprüft. Dabei sind zwei Aspekte wichtig:
Zum einen muss die Eintrittswahrscheinlichkeit ermittelt werden und zum anderen die Auswirkung, also der ggf. entstehende Schaden. Der infolge eines Risikos eintretende Schaden lässt sich am einfachsten durch die dabei entstehende Prozessunterbrechung darstellen, die im schlimmsten Fall zum Erlösausfall führen kann.
In einem weiteren Schritt sollten nach dem Risiko auch die rechtlichen Rahmenbedingungen und die entsprechenden Compliance Vorgaben betrachtet werden. Aus diesen Analysen ergibtsich der „Reifegrad“ der Prozesse und Umsetzungen. Die Abweichungen vom Zielbild kommen in einen Abarbeitungsplan. Dieser wird mit entsprechenden Maßnahmen unterlegt und während bzw. nach Umsetzung entsprechend gemessen bzw. beurteilt. Somit ergibt sich für dieEinrichtung eine aussagekräftige Informationssicherheitslandkarte.
Damit wurde der Prozess einmal durchlaufen, die nächste Verbesserungsschleife kann starten. Daher ist die Informationssicherheit eher die kontinuierliche Unendlichkeit, also ein kontinuierlicher Verbesserungsprozess. Dieser kontinuierliche Prozess muss finanziell ausreichend unterstützt werden, es bedarf motivierter und qualifizierter Mitarbeiter zur Umsetzung und nicht zuletzt der klaren Unterstützung aus der Führungsebene.
Das KHZG zwingt die Führungskräfte dazu, die Informationssicherheit ernst zu nehmen. Wie bereits erwähnt, müssen mindestens 15% der beantragten Fördersumme in IT-Sicherheit investiert werden. Damit wird einerseits gefördert – es geht um viel Geld – aber es wird auch gefordert. Wer die Option wählt, nichts zu tun, wird voraussichtlich ab 2025 mit Pönalen abgestraft. Das Informationssicherheitsmanagement hilft, diese Motivation, bzw. den Zwang auch in sinnvolle Maßnahmen zu übersetzen.
Ich sehe also keine Überdosis, sondern eher die Klarstellung der Notwendigkeit.
Der Gesetzgeber hat auch den notwendigen Handlungsdruck eingebracht. Weiterhin definiert der Gesetzgeber das „Was“ durch Sicherheitsstandards. In der Branche „medizinische Versorgung“ ist das durch den branchenspezifischen Sicherheitsstandard der DKG definiert. Die KBV hat es für die ambulante Versorgung entsprechend definiert. Aus meiner Sicht fehlt daher nur die dauerhafte Finanzierung des Themas.
In der konkreten Umsetzung geht es dann ums „Wie“. Hier gibt es verschiedene Handlungsempfehlungen. Ich persönlich kann die Handlungsempfehlungen des Branchenarbeitskreis medizinische Versorgung, von der Universität der Bundeswehr das „Projekt Smart Hospitals“, die Orientierungshilfe des LSI in Bayern oder auch das „Starter-Paket“ der DKG empfehlen. Alle Handlungsempfehlungen sind im Internet abrufbar und geben Informationen aus der Praxis für die Praxis.
Wo liegt die Herausforderung bei der Umsetzung? Es gibt in allen Einrichtungen viel zu tun und die gerade die personellen Kapazitäten sind stark beschränkt.
Daher darf die Informationssicherheit nicht als Projekt verstanden werden und nicht als Aufgabe eines Beauftragten. Die Informationssicherheit wurde durch das KHZG zu einer Grundsäule der Digitalisierungsstrategie erklärt und wird dadurch zum zwingend erforderlichen Bestandteil jeder Unternehmensstrategie. Die Umsetzung der Unternehmensstrategie obliegt allerdings den Mitarbeitern. Nur durch die gemeinsame Vision, die richtige und dauerhafte Kommunikation, die Befähigung der Mitarbeiter im Umgang mit Informationssicherheit, die Verbesserung der IT-Werkzeuge und die Darstellung der Mehrwerte kann das alles umgesetzt und dann die erreichten Umsetzungsziele auch gefeiert werden.
Lars Forchheim, KH-IT Vorstand, CIO bei ANregiomed gKU, Ansbach,
und Leiter des Branchenarbeitskreises „medizinische Versorgung“ im UP KRITIS
Quelle: Krankenhaus-IT Journal, Ausgabe 04/2022