Hohes Interesse fand die KH-IT-Frühjahrstagung 2024 am 15. und 16.5.2024 im Hofgut Lilienhof - Ihringen (bei Freiburg i. Breisgau) durch das Thema "Blackout - und dann war es still". Experten nahmen mit praxisbezogene Lösungen die Verbesserung der Resilienz und Cybersicherheit für Krankenhäuser kritisch unter die Lupe. „Aus der Praxis für die Praxis“ gaben, konnten 270 teilnehmende Verantwortliche der Krankenhaus-IT Impulse für interdisziplinäre Umsetzungen mitnehmen. Merke: Blackout – doch danach geht es weiter.
Kliniken gehören zur Kritischen Infrastruktur und sind daher besonders gefährdet. Krankenhäuser und Pflegeeinrichtungen werden immer häufiger zum Ziel von Cyberattacken. Ein großflächiger Angriff mit vielen Ausfällen ist ein denkbares Szenario. Viele Einrichtungen sind schlecht vorbereitet.
„Alarmstufe Rot“ bei Cybersicherheit: Die Gefahrenwarnung gilt für alle Krankenhäuser in Deutschland. Die zunehmende Digitalisierung im Gesundheitswesen bringt eine größere Angriffsfläche mit sich. Entwicklungen zu einem Smart Hospital mit telemedizinischen Lösungen, vernetzten Systemen, roboterassistierten Operationen und digitalen mobilen Endgeräte sind unvermeidbar, damit bleibt die Informationssicherheit ein kontinuierlicher Prozess.
Die Cyber-Angriffe auf Kliniken und Klinikverbünde, insbesondere von Ransomwareangriffen, richten in den betroffenen Einrichtungen erhebliche finanzielle Schäden an. Sie gehen nicht zuletzt mit einem schmerzlichen Reputationsverlust einher. Im vorigen Jahr waren drei Viertel der deutschen Gesundheitseinrichtungen Opfer von Cyberangriffen, so das Ergebnis der Global Healthcare Cybersecurity Study 2023. Die Studie befragte 1.100 Fachkräfte aus den Bereichen Cybersicherheit, Technik, IT und Netzwerke in Gesundheitseinrichtungen. Betroffen waren dabei die IT-Systeme selbst, aber auch vernetzte medizinische Geräte oder Gebäudetechnik. Ein Drittel der Vorfälle hatte dabei erhebliche Auswirkungen auf die Patientenversorgung. Rund 20 Prozent der von Ramsomware betroffenen Einrichtungen haben der Befragung zufolge das geforderte Lösegeld gezahlt.
Das Hofgut Lilienhof in Ihringen bot eine schöne Atmosphäre für die Tagung
KH-IT-Frühjahrstagung 2024: Katastrophen und Attacken
In diese Gefahrenlage passt die KH-IT-Frühjahrstagung 2024 „BLACKOUT … und dann war es still"?
Das Agendateam der KH-IT-Frühjahrstagung nahm in der Experten-Agenda die Gefahr eines Zusammenbruchs der Versorgung - eines sogenannten Blackouts - und damit den Ausfall von Strom, Wärme und der Versorgung mit Kraftstoffen unter die Lupe. „Aufgrund der Komplexität der Krankenhaus-Prozesse und der enormen Abhängigkeit von Strom- und Medienversorgung ist die Vulnerabilität der Krankenhaus-IT-Prozesse zusammen mit Cybersicherheit eines der aktuell wichtigsten Themen für unsere Mitglieder.“
In der Keynote „Die unterschätzen Folgen eines überregionalen Stromausfalls für Gesundheitsversorgung“ zeigte sich Herbert Saurugg |Präsident der Gesellschaft für Blackout und Krisenvorsorge als „Wanderprediger“. Sein Thema: Grundlagen und Bekehrung über Blackout, die gewandelten Aufgaben und Anforderungen für das IT-Management und die Gesellschaft. Herbert Saurugg: „Das Ganze ist mehr als die Summe seiner Teile. Auch wenn die IT eine immer wichtigere Rolle spielt, müssen gerade beim Thema Versorgungsunterbrechung viele Aspekte gemeinsam betrachtet werden. Denn es kommt nicht darauf an, ob ein einzelner Bereich gut aufgestellt ist, sondern ob man gemeinsam die entsprechenden Rückfallebenen sicherstellen kann.“
In der IT ist die Sensibilisierung aufgrund negativer Erfahrungen gestiegen. Hoffnung allein ist zu wenig. Das gilt gerade beim Thema Blackout. „Wir betreiben gerade die größte Infrastrukturtransformation aller Zeiten am „offenen Herzen“ und ohne Auffangnetz.“ Das könnte sich als fataler evolutionärer Irrtum herausstellen. Herbert Saurugg mahnte realistisch: „Simulationen von heute bilden nicht die Krise von morgen ab.“
Podcast: Hören Sie das Interview mit Herbert Saurugg.
Ahrflut – Erfahrung aus einer unvorstellbaren Katastrophe
Das Motto lautet seit der Flutkatastrophe mit Totalschaden im Juli 2021: Wir machen weiter! Nach mehr als einem Jahr intensiver Räumungs- und Sanierungsarbeiten bedeutet das konkret, dass wir mittlerweile nicht nur ambulante und teilstationäre, sondern auch wieder stationäre Behandlung in der Dr. von Ehrenwall´schen Klinik in Ahrweiler anbieten können. „Wir können durch die kontinuierliche Steigerung unserer Behandlungsplätze, Patienten im offenen Bereich in Ahrweiler aufnehmen. Von 260 Betten sind 60 aktuell 60 belegt.“ Nach der Flut vom 14./15. Juli 2021 musste der Klinik-IT-Leiter Frank Skubch die IT-Versorgung bis auf Notmaßnahmen einstellen. Durch Zufall waren kurz zuvor die Patienendaten in der Cloud gesichert worden. Die Klinik kann die Versorgung des Kreises Ahrweiler vermutlich ca. 2030 komplett aufnehmen.
Betrifft uns der Rettungsdienst?
Was für die Energieversorgung allgemein gilt, trifft in gleicher Weise auf das IT-Management zu. Gewandelte Aufgaben und Anforderungen für das IT-Management ergeben sich durch Stromausfall sowie weitreichende Versorgungsunterbrechungen, wie Prof. Dr. Peter Bradl Leiter Krisenstab FHWS, Technische Hochschule Würzburg-Schweinfurt/Würzburg, Institut Rettungswesen, Notfall- und Katastrophenmanagement darstellte: Was betrifft uns der Rettungsdienst? Seine Einblicke aus der Praxis lauten: „Nicht alles, was IT-seitig zum Zeitpunkt einer Stromunterbrechung angeboten wird, ist zwingend aufrechtzuerhalten. Der Rettungsdienst ist eine Säule der Gesundheitsversorgung. Im Kontext Blackoutlagen. Klare Prioritätenlisten lassen ein strukturiertes Bearbeiten zu und verhindern, dass in der „heißen Phase“ erst mit Planungen begonnen wird. Kenne deine Bedarfe, verzichtet auf Unnötiges. Übergreifendes Bewusstsein schaffen und den „Tunnelblick“ vermeiden - dazu zählt, dass unverzichtbare Bereich besonderes Augenmerk erhalten und die dortige Architektur entsprechend gestaltet wird. Merke: Ausfall der Telekommunikation bedingt Offline-Notfallpläne. Blackout und Regelprozesse sind meist keine Freunde. „Bewertung vor der Lage schafft Ruhe in der Lage.“ Bradl pointierte: „Störereignisse nicht zu Tode diskutieren, sondern handeln.“
Podcast: Hören Sie das Interview mit Prof. Dr. Peter Bradl.
Klinische Fachabteilungen leben in Unkenntnis
„Wie viele Ihrer implementierten digitalen Lösungen sind aktuell bei den Anwendern bekannt? Wie viele davon werden genutzt? Wenn ich nicht weiß, wofür IT da ist, dann weiß ich auch nicht, warum IT-Resilienz wichtig ist.“ Warum IT-Resilienz allein im Krankenhaus nicht funktioniert, weiß Michael Thoss, Leiter Informationstechnologie und PMO IT, sowie Autor.
Bei der Entwicklung von Krisenkonzepten steht den klinischen Fachabteilungen häufig die Unkenntnis über systemische Zusammenhänge im Weg. Daher müssen Notfallkonzepte in der Entwurfsphase immer mit weiteren Fachabteilungen abgestimmt und verprobt werden.
Dabei darf der Fokus nicht auf der kurzfristigen Überbrückung von Störungen liegen. Das Hoffen auf „Es wird schon vorübergehen.“ oder die stetig wiederholte Frage „Wann geht es denn wieder?“ führen im Ernstfall nirgendwohin. Bei einem Malware-Vorfall mit forensischen Konsequenzen könnte zum Beispiel ein Internetzugang durchaus mehrere Wochen stillgelegt werden müssen. Das hätte wiederum Auswirkungen bei der Nutzung von Cloud-Diensten, aber auch bei der Zusammenarbeit mit anderen Gesundheitseinrichtungen zum Beispiel bei der Datenübertragung für Konsile oder regionale Zentren. Wichtig sind daher zentrale Übersichten der Abhängigkeit von ständig genutzten bzw. benötigten Systemen sowie Beziehungen in der Leistungserbringung bzw. Patientenversorgung. Michael Thoss, Leiter Krankenhaus-IT: „Hoffen auf „Es wird schon vorübergehen.“ oder die stetig wiederholte Frage „Wann geht es denn wieder?“ führen im Ernstfall nirgendwohin.“
Podcast: Hören Sie das Interview mit Michael Thoss.
Im Fokus von Cyberkriminellen
Immer häufiger sind Krankenhäuser und Kliniken Ziel von Cyberangriffen. Die Angreifer nutzen in der Regel Sicherheitslücken in der IT -Infrastruktur aus, suchen eine gut auszunutzende Schwachstelle, um in die IT -Systeme einzudringen.
„Das Gesundheitswesen im Fokus von Cyberkriminellen“ ist das Business von Torsten Seeberg, Polizeihauptkommissar ZAC Baden-Württemberg. Die Zentrale Ansprechstelle Cybercrime (ZAC) ist die zentrale Kontaktstelle der Polizei für Behörden und Unternehmen. Polizeiliche Präventionsarbeit ist eine wesentliche Aufgabe der ZAC. Für die Polizei hat die Bekämpfung der Cyberkriminalität hohe Priorität. Die beim Landeskriminalamt Baden-Württemberg angesiedelte Zentrale Ansprechstelle Cybercrime – ZAC – steht Unternehmen und Behörden als zentraler und kompetenter Ansprechpartner zur Verfügung. Im Falle eines Cyberangriffs kann die ZAC eine Task Force mit Expertinnen und Experten aus verschiedenen Spezialisierungsbereichen aufrufen. Die Cybersicherheitsagentur ist eng vernetzt mit den Sicherheitsbehörden des Landes und mit dem BSI und den CERTs des Bundes und der Länder. Aus den gewonnenen Erkenntnissen zu Angriffen und Sicherheitslücken erstellt die Cybersicherheitsagentur Warnmeldungen und Handlungsempfehlungen, die derzeit bereits über 800 Institutionen erreichen.
Das ZAC rät Unternehmen, Cyberangriffe nicht hinzunehmen, sondern bei der Polizei anzuzeigen. Ferner sollten sie ihre technische und organisatorische Infrastruktur kontinuierlich überprüfen und stärken. Wichtige Datenbanken und Backups sollten nicht über das Internet erreichbar sein. Neben umfangreicher Beratung im Ernstfall veröffentlicht die ZAC Warnmeldungen und leistet Präventionsvorträge im Zusammenhang mit Informationsveranstaltungen, die von Verbänden der Öffentlichen Hand und der Wirtschaft ausgerichtet werden. cybercrime@polizei.bwl.de
Das kriminelle Geschäftsmodell: Viele Betroffene zahlen, um schnell wieder arbeiten zu können. Ein lukratives Geschäft für die Angreifer. Auch deswegen ist die Bedrohungslage im Gesundheitswesen nach Einschätzung des Bundesamtes für Sicherheit und Informationstechnik (BSI) aktuell so hoch wie noch nie. Der Druck auf Krankenhausverantwortliche wird immer größer. Denn der Schutz der Daten und die Versorgung der Patienten hat einen besonders hohen Wert. Das wissen auch die Hacker. „Eine tolerante Fehlerkultur kann die Angst der Mitarbeiter, sich zu äußern, verringern.“
Das Bundeskriminalamt teilte im Sommer 2023 mit, dass virtuelle Attacken neben Kliniken auch Krankenkassen, Praxen sowie Medizin-IT-Dienstleister erfassten. Finanziell motivierte Cyber-Akteure gingen von einer hohen Zahlungsbereitschaft im Gesundheitswesen aus, da der Schutz von Patienten hohen Wert habe. Torsten Seeberg: „Wenn Sie die Zahlungen leisten, unterstützen Sie das weitere, wiederholte Vorgehen der Täter.“
Versäumnisse ermöglichen Angriffe
Im „Erfahrungsbericht aus Sicht eines Betroffenen“ musste Stefan Schramm, Leiter IT Medizincampus Bodensee, Friedrichshafen, Versäumnisse eingestehen. Ein initialer Cyber-Angriff erfolgte bereits am 20.1. 2. 20, in dem die Sicherheitslücke vom Citrix Netscaler ausgenutzt wurde. Dieser Angriff blieb unentdeckt. Am 12.1. 2. 22 erfolgte der Angriff über die vor 2 Jahren ausgespähten Zugangsinformationen und die Übernahme von administrative. Einrichten in der Domäne.
Die Täter wurden in der Ukraine ergriffen. Der Medizincampus Bodensee hat nicht gezahlt. Stefan Schramm weiß wie seine Kollegen aus vielen anderen IT-Abteilungen: „Ein Cyber Angriff wird auch möglich durch Personalknappheit, steigende Projektanzahl und zunehmende Gesetzesregelungen.“ Die Hoffnung lautet: Das Mindset hat sich geändert, das Security Verständnis wächst.
Im Erfahrungsbericht in drei Akten „Gehackt werden immer nur die Anderen“ wies Philipp Kleinmanns, Senior Vice President & Managing Director, Materna Radar Cyber Security, auf Fehler hin wie sie häufig bei Cyberattacken durch Phishing zu beobachten sind. Der Angreifer und die Art des Angriffs und der genaue Ablauf konnten innerhalb weniger Tage vollständig ermittelt und nachvollzogen werden. Hilfreich waren dabei insbesondere die durch das SUC gesammelten Protokolle. Die Feststellung aller betroffenen Systeme war wichtig für die Kommunikation unter anderem mit Kunden. Der Ablauf des Vorfalls: Bereits mehrere Wochen vor dem aktiven Angriff wurde ein unverschlüsselt. Der Mailverkehr mitgelesen und später aktiv für das Phishing verwendet. Resultat durch Materna: Die Mail-Verschlüsselung wurde erzwungen mit allen Konsequenzen für das Unternehmen. Es gibt künftig keine Mail-Kommunikation mit Organisationen, die eine Verschlüsselung nicht ermöglichen.
NIS 2.0: Fluch oder Segen?
Gesetzesveränderungen wie NIS 2.0 können sich bei der Umsetzung in Deutschland als Fluch oder Segen auswirken. Anfang 2023 ist die zweite Fassung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2.0) EU-weit in Kraft getreten. Die EU-Mitgliedsstaaten müssen NIS 2.0 bis zum 17. Oktober 2024 in nationales Recht umsetzen. In Deutschland liegt bereits jetzt ein Referentenentwurf des Bundesinnenministeriums zum NIS-2.0-Umsetzungsgesetz (NIS2UmsuCG) vor.
Nicht nur die Zahl der betroffenen Unternehmen wird massiv ansteigen, sondern es gibt zusätzlich auch noch wesentlich höhere Anforderungen. Außer der Meldepflicht für Vorfälle verschärft NIS 2.0 auch die Sanktionen für die Missachtung der Vorgaben. Bei wesentlichen Einrichtungen können die Bußgelder bis zu 10 Millionen Euro Prozent des weltweiten Jahresumsatzes betragen, je nachdem welcher Betrag höher ist. Bei wichtigen Einrichtungen ist das maximale Bußgeld auf 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes gedeckelt.
Der Referentenentwurf des Bundesinnenministeriums sieht außerdem vor, dass Geschäftsführer und andere Leitungsorgane von Unternehmen für die Einhaltung der Risikomanagementmaßnahmen mit ihrem Privatvermögen haften. Das Bußgeld kann dabei maximal 2 Prozent des weltweiten Jahresumsatzes betragen.
Maik Wetzel, Strategic Business Development DACH, ESET Deutschland GmbH, Jena, unterstrich das Risikomanagement in wichtigen Einrichtungen. „Die Verantwortlichkeit liegt bei den Leitungsorganen, Risikomanagement-Maßnahmen zu initiieren, zu genehmigen, billigen und zu überwachen. Leitungsorgane sollen für Verstöße der Einrichtungen persönlich verantwortlich gemacht werden können. Schulungen werden für Leitungsorgane verpflichtend, für alle anderen Mitarbeiter dieser Einrichtungen sollen regelmäßige Schulungen angeboten werden.“
„StartUps 4 HealthCare“
Die Frühjahrstagung stellte „StartUps 4 HealthCare“ vor. Finanzierung und Kontakte sind das eine, um im Bereich Health erfolgreich zu gründen, auch auf regionaler Ebene. Jedes Health-Start-up sollte seine Wissensbasis stärken, um Geschäftsmodell und Produkt erfolgreich zu entwickeln. An der Präsentation waren beteiligt:
Change IT Solutions GmbH | Freiburg im Breisgau
innnow GmbH | Ascheberg
myScribe GmbH | Mannheim
Rheyni GmbH & Co. KG | Bremen
Famedly | Berlin
UrbanRay | Köln
Die Tagungs-Macher
Das Agenda-Team Alexandra Heimel, Ulrich Wieland, Bastian Stockhausen, Jan Halbuer jan.halbuer@marienhospital-hamm.de konnten den Teilnehmern der Frühjahrstagung 2024 vor allem diese Botschaft vermitteln: „Durchdenkt die Abhängigkeiten eures Tätigkeitsbereiches; achtet auf versteckte Verknüpfungen; macht euch Gedanken, wie ihr Abläufe und Prozesse widerstandsfähiger gegen mögliche Ausfälle machen könnt; trainiert Notsituationen sowie die notwendige Kommunikation in diesen Szenarien und bereitet euch auf solche Risiken gut vor – mit ihnen ist früher oder später auch in eurem Krankenhaus zu rechnen.“ Parole: Blackout – doch danach geht es weiter.
Next Stop: Herbsttagung 2024
Am 18. und 19. September 2024 findet in der Mittelrheinhalle Andernach die KH-IT-Herbsttagung „Ambulantisierung und Patientenportale, Interoperabilität und Vernetzung – Aus der Praxis für die Praxis“ statt. Die Agendaverantwortlichen sind: Stephan Herz (herz@kh-it.de), Lars Forchheim (forchheim@kh-it.de) und Klemens Behl (behl@kh-it.de) alle aus dem VKH-IT-Vorstand. Die Organisation übernimmt wieder Alexandra Heimel (tagung@kh-it.de).
KH-IT und Information aus der Praxis für die Praxis
Der Bundesverband veranstaltet jährlich zwei Tagungen für seine Mitglieder, eine Frühjahrstagung in der Regel im Mai und eine Herbsttagung im September. Wichtiger Bestandteil ist das Networking und die Gespräche unter den Kollegen. Fördermitglieder sind vor Ort und informieren an den Ausstellerplätzen über ihre Neuerungen. Der praxisbezogene Austausch mit IT-Leiter-Kollegen wird von beiden Seiten geschätzt.
Der Verband vertritt die Interessen der Krankenhaus-IT Leiterinnen und Leiter. Er macht es sich zur Aufgabe, die Stellung der IT in der Klinik zu stärken im Sinne einer bestmöglichen und wirtschaftlichen Unterstützung der Patientenversorgung. Andreas Lockau, KH-IT-Vorsitzender betont: „Als IT-Verantwortliche können wir diesen wichtigen Beitrag nur gemeinsam gestalten.“ www.kh-it.de
Podcast: Hören Sie das Interview mit dem KH-IT-Vorsitzenden Andreas Lockau.
Aktionen und Akteure:
Andreas Lockau, KH-IT-Vorsitzender
Keynote: Die unterschätzen Folgen eines überregionalen Stromausfalls für Gesundheitsversorgung
Herbert Saurugg, Präsident der Gesellschaft für Blackout und Krisenvorsorge
Ahrflut – Erfahrung aus einer unvorstellbaren Katastrophe
Frank Skubch, IT-Leiter, Dr. von Ehrenwall`sche Klinik, Ahrweiler
Was betrifft uns der Rettungsdienst? Einblicke aus der Praxis
Prof. Dr. Peter Bradl, Leiter Krisenstab FHWS Technische Hochschule Würzburg-Schweinfurt, Würzburg
Warum IT-Resilienz allein im Krankenhaus nicht funktioniert
Michael Thoss, Leiter Informationstechnologie und PMO IT, Klinikum Hochrhein, Waldshut-Tiengen
Das Gesundheitswesen im Fokus von Cyberkriminellen
Torsten Seeberg | Polizeihauptkommissar, ZAC Baden-Württemberg
Gehackt werden immer nur die Anderen – ein Erfahrungsbericht in drei Akten
Philipp Kleinmanns, Senior Vice President & Managing Director Materna Radar Cyber Security
Cyberangriff im Krankenhaus – Erfahrungsbericht aus Sicht eines Betroffenen
Stefan Schramm | Leiter IT, Medizincampus Bodensee, Friedrichshafen
Trotz Cyberangriff: Stillstand verhindern & Ausfallzeiten minimieren
Timo Gmoser, HP Enterprise; Thorsten Seidel, Leiter Projektmanagement IT, KERN Katholische Einrichtungen Ruhrgebiet Nord GmbH
NIS 2.0: Umsetzung in Deutschland – Fluch oder Segen?
Maik Wetzel, Strategic Business Development DACH, ESET Deutschland GmbH, Jena
Security machen jetzt die Anderen
Charles Kionga, Principal Consultant Geschäftsbereichsleitung IT-Security, Bechtle AG,
Michael Walouch, IT-Leiter, Klinikum Schloss Winnenden
Autor: Wolf-Dietrich Lorenz
Fotos: Anna Huber, Bildrechte KH-IT