Seit 2017 gelten Krankenhäuser mit mehr als 30.000 vollstationären Fallzahlen pro Jahr gemäß der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung, BSI-KritisV)[1] als kritische Infrastrukturen im Sinne des §2 Abs. 10 BSI-Gesetz[2]. Damit verbunden sind unter anderem die Schaffung einer Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Berichtspflichten dem BSI gegenüber hinsichtlich Sicherheitsvorfällen sowie dem Nachweis geeigneter Maßnahmen zur Aufrechterhaltung der sicherheitsrelevanten Aspekte der informationstechnischen Systeme. Diese Rolle wird üblicherweise vom Chief Information Security Officer (CISO) bzw. dem Informationssicherheitsbeauftragten (ISB) wahrgenommen. In kleineren Krankenhäusern ohne diese Position kann auch der Chief Information Officer (CIO) diese Aufgaben übernehmen. Der Einfachheit halber werden alle diese Stellen nachfolgend als CISO bezeichnet.
Eine Standortbestimmung von Prof. Dr. Thorsten Daubenfeld und Aaliyah Gusseck von der Hochschule Fresenius, Analytische und Digitale Forensik exklusiv als Erstes auf Krankenhaus-IT.de
Derzeit gibt es allerdings noch keinen uns bekannten strukturierten Überblick über die aktuellen KRITIS-Krankenhäuser sowie die CISO in diesen. Aus diesem Grund ist die Forschungsgruppe um Prof. Dr. Thorsten Daubenfeld vom Studiengang Analytische und Digitale Forensik[3] an der Hochschule Fresenius in Idstein dem Thema nachgegangen und hat folgende Fragen untersucht:
- Wie viele Krankenhäuser sind in Deutschland als KRITIS gemäß §2 Abs. 10 BSI-Gesetz klassifiziert?
- Wie sind die Stellen als CISO bei diesen Krankenhäusern besetzt und welche Voraussetzungen müssen CISO für ihre Stelle mitbringen?
- Wie beurteilen die CISO die Anforderungen an die Stelle und welchen Herausforderungen sehen sie sich gegenüber?
Verantwortlich für die Durchführung der Studie war Aaliyah Gusseck, Absolventin des Studiengangs Analytische und Digitale Forensik. Im Rahmen ihrer Abschlussarbeit erstellte sie zur Beantwortung der gestellten Fragen detaillierte Datenbanken zu KRITIS-Krankenhäusern sowie Profile der CISO in diesen Krankenhäusern. Darüber hinaus führte sie Interviews mit 19 CISO aus unterschiedlichen Krankenhäusern, um einen genauen Einblick in die Herausforderungen der Stelle zu bekommen. Unserem Wissen nach ist dies das erste Mal, dass eine solch detaillierte Studie zu CISO im KRITIS-Sektor Krankenhäuser in Deutschland durchgeführt wurde.
Eine zentrale Motivation für diese Studie war für die Autoren die wahrgenommene Diskrepanz zwischen der Zunahme an Cyberangriffen auf Krankenhäuser einerseits sowie der steigende Fachkräftemangel im IT-Bereich, der regelmäßig vom Branchenverband der deutschen Informations- und Telekommunikationsbranche bitkom untersucht wird[4]. Vor diesem Hintergrund stellten die Autoren sich die Frage, ob es überhaupt genügend qualifizierte Fachkräfte im Markt gibt, um die CISO/ISB-Stellen in Krankenhäusern nachhaltig zu besetzen.
Etwa 100 KRITIS-Krankenhäuser in Deutschland
Es existiert keine den Autoren bekannte öffentliche Datenbank, die alle KRITIS-Krankenhäuser in Deutschland auflistet. Auf Nachfrage beim BSI wurde von dort bestätigt, dass solche Listen zwar intern geführt, aber aus Sicherheitsgründen nicht öffentlich verfügbar gemacht werden. Den Zahlen des BSI ist nur zu entnehmen, dass es im Sektor Gesundheit zum Stichtag 29.04.2024 insgesamt 210 KRITIS-Betreiber mit insgesamt 330 Anlagen gab. Zu den Betreibern gehören neben Krankenhäusern auch Hersteller von Pharmazeutika, Apotheken oder Diagnostiklabore, sodass eine genaue Zahl an KRITIS-Krankenhäusern nicht ohne Weiteres zu recherchieren war.
In einzelnen Quellen im Internet finden sich Zahlen in der Größenordnung von 100-150 KRITIS-Krankenhäuser[5],[6].
Im Rahmen der Studie wurde daher eine unabhängige Datenbank mit KRITIS-Krankenhäusern erstellt.
Zur Identifizierung der KRITIS-Krankenhäuser wurden dazu die auf der Webseite des Gemeinsamen Bundesausschusses[7] aufgelisteten Datenbanken der Krankenhäuser in Deutschland überprüft. Dabei wurden die Krankenhäuser mit mehr als 30.000 stationären Fallzahlen herausgefiltert und in eine eigene Datenbank übertragen.
Insgesamt haben die Autoren 98 Krankenhäuser identifiziert, welche als KRITIS gemäß §2 Abs. 10 BSI-Gesetz klassifiziert sind. Dabei ist zu beachten, dass von vier Krankenhäusern aus dieser Liste eine Rückmeldung hinsichtlich des KRITIS-Status fehlte.
Interessant: Lediglich eines der telefonisch kontaktierten Krankenhäuser wollte während des Telefonats keine Daten hierzu herausgegeben. Die Pressestelle, mit der das Telefonat geführt wurde, begründete dies damit, dass die Anruferin (Autorin der Studie) die Daten weitergeben oder für „kriminelle Zwecke“ missbrauchen könnte.
Die Zahl von 98 KRITIS-Krankenhäusern erscheint vor dem Hintergrund der oben zitierten Zahlen von 100-150 Betreibern plausibel. Da sich die Anzahl an Krankenhäusern in Deutschland im Zeitraum 2019-2022 verringert hat[8] erscheint es nicht unplausibel, dass auch die Anzahl an KRITIS-Krankenhäusern nicht gewachsen ist.
Die KRITIS-Krankenhäuser liegen vor allem in Gebieten mit hoher Bevölkerungsdichte (siehe Abb. 1), obwohl keine eindeutige Korrelation zwischen Fallzahlen und Bevölkerungsdichte festgestellt werden konnte.