Für echte Fortschritte in der Digitalisierung des Gesundheitswesens muss IT-Sicherheit zur zentralen Komponente werden – doch trotz Milliardeninvestitionen herrscht in der Praxis oft Frust statt Fortschritt. Die Stellungnahme zur NIS-2-Umsetzung des Verbands der Krankenhaus-IT verdeutlicht, dass zentrale Pflichten auch für Krankenhäuser, Medizinische Versorgungszentren (MVZ) und Reha-Einrichtungen gelten. Dazu zählen beispielsweise Risikoanalysen, die Aufrechterhaltung und Wiederherstellung von IT-Systemen, Backup-Management, Multi-Faktor-Authentifizierung, sichere Kommunikation und Schulungen. Betroffen von den Regeln sind praktisch alle Krankenhäuser.
Meldepflichten beim Bundesamt für Sicherheit in der Informationssicherheit, regelmäßige Audits und die Schulung der Geschäftsleitung erhöhen den Druck. Sie schaffen aber auch die Grundlagen für eine solide Cyber-Resilienz, wie Lars Forchheim, IT-Leiter am Städtischen Klinikum Dresden, und Jürgen Flemming vom KH-IT-Verband erläutert. Sie verweisen zudem auf Hilfsangebote wie den Branchenspezifischen Sicherheitsstandard „Medizinische Versorgung“ (PDF) von der Deutschen Krankenhausgesellschaft, die IT-Sicherheitsangebote der Kassenärztlichen Bundesvereinigung und Praxisbeispiele wie das Smart-Hospitals-Projekt der Universität der Bundeswehr München nützliche Orientierung geben.
Prof. Andreas Becker beschäftigt sich seit 1991 mit dem Gesundheitssystem, zunächst als Arzt in der Klinik, später im Bereich Krankenhausmanagement und auch als Gutachter. Aktuell berät und schult er im Bereich Krankenhaus-IT.
(Bild: Institut Prof. Dr. Becker)
Auch aus Sicht von Andreas Becker, Klinikberater und Risikomanagement-Experte, geht es um mehr als Technik – es geht um reale Abläufe, Sicherheitskultur und klare Verantwortlichkeiten. Er ist Klinikberater und Risikomanagement-Experte mit langjähriger Erfahrung in Kliniken und Praxen. Im Interview erklärt er, warum Technik allein keine Probleme löst, wo die größten Sicherheitsrisiken lauern und was Dauerstress verursacht.
heise online: Sie waren in vielen Kliniken und Fachbereichen unterwegs. Was funktioniert in Sachen Digitalisierung – und was nicht?
Becker: Die Unterschiede sind enorm. In der Radiologie oder Strahlentherapie läuft vieles auf hohem technischem Niveau. Aber sobald Sie auf Station gehen, wird’s kompliziert: zu viele Klicks, zu viele Systeme, zu wenig Zeit. Viele Mitarbeitende entwickeln Workarounds, die formal gar nicht erlaubt sind – und das ist gefährlich.
Woran klemmt es am meisten?
Am Prozess. In vielen Häusern wird zuerst über Software gesprochen, statt darüber, was der Prozess leisten soll. Man digitalisiert alte Strukturen, ohne sie zu prüfen. Das Ergebnis ist dann oft mehr Aufwand statt Vereinfachung – und genau das frustriert die Leute.
Wie groß ist dieser Frust?
Ziemlich groß. Wenn jemand sagt: „Ich brauche zehn Klicks, um ein Dokument zu finden“, dann stimmt was nicht. Digitalisierung darf keine Zusatzbelastung sein. Und wenn Ärzte ihre Kennungen weitergeben, weil das Login zu lange dauert, ist auch klar: Das System passt nicht zum Alltag.
Mit dem NIS-2-Umsetzungsgesetz werden Geschäftsführer jetzt stärker in die persönliche Haftung genommen. Ist das in den Chefetagen schon angekommen?
Ja, die Aufmerksamkeit ist gestiegen. Die meisten wissen inzwischen, dass Cybersicherheit Chefsache ist. Aber die Unsicherheit bleibt, weil die Politik ständig die Regeln ändert – heute Fördermittel, morgen Sparzwang. Planen kann so niemand. Gerade kleinere Häuser sind da im Dauerstress.
Die Telematikinfrastruktur (TI) gilt aktuell nicht als „kritische Infrastruktur“. Wie bewerten Sie das?
Das ist, juristisch gesprochen, schlechterdings unverständlich. Wenn Krankenhäuser kritisch sind, müssen es zentrale Systeme, die Patientendaten übertragen oder speichern, erst recht sein. Eine Ende-zu-Ende-Verschlüsselung hilft wenig, wenn das Zielsystem unzureichend abgesichert ist.
Wie findet man trotz dieser Lage die richtigen Prioritäten?
Durch Risikobetrachtung, nicht durch Bauchgefühl. Nicht jedes System braucht die teuerste Firewall. Entscheidend ist, was passiert, wenn etwas ausfällt. Ich muss wissen, welche Prozesse ich wie lange ersetzen kann – und welche Auswirkungen das auf die Versorgung hätte.
Gerade kleinere Kliniken holen sich dann ja oft externe Hilfe. Wird deren Unsicherheit ausgenutzt?
Es gibt sicher Anbieter, die übertreiben – das ist wie in jeder Branche. Häufig ist das Problem aber eher Hilflosigkeit auf der Klinikseite. Wenn Sie keine Zeit für eine gründliche Auswahl haben, sind Sie anfällig für große Versprechen. Sinnvoll sind strukturierte Auswahlverfahren, möglichst mit unabhängiger Begleitung.
Und die Arztpraxen?
Die sind noch schlechter aufgestellt. Ich sehe dort immer wieder Zugangsdaten auf Post-its. Viele unterschätzen die Bedrohung komplett. Wenn Patientendaten verschlüsselt werden und man nicht mehr abrechnen kann, ist die Praxis wirtschaftlich erledigt. Den meisten ist einfach nicht klar, wie existenziell das Thema IT‑Sicherheit ist.
Wie lässt sich dieses Bewusstsein stärken?
Mit realistischen Szenarien und kurzen, konkreten Trainings. Niemand will abstrakte Sicherheitsrichtlinien hören. Aber wenn man zeigt, was im Ernstfall passiert – wie man reagiert, wer wann was tun muss – dann klickt es. Das gilt fürs Krankenhaus genauso wie für die Praxis.
Was müsste sich im Gesundheitswesen ändern?
Kontinuität. Der größte Fortschritt wäre, wenn wir mal eine Legislaturperiode ohne neue Digitalreformen hätten. Krankenhäuser brauchen Planungssicherheit – dann klappt’s auch mit der Digitalisierung.
(mack)
English (US) ·