KRITIS-Erfahrungen - Was der IT-Leiter meint

Statement

Veröffentlicht 22.04.2020 07:00

Beim Thema KRITIS und der Umsetzung geht Thorsten Schütz auf drei typische Fragestellungen ein: Wie ist es gelaufen? Wer soll das bezahlen? Wer kümmert sich um die Prozesse? Aus der subjektiven Sicht eines IT-Leiters stellt der Autor offensiv Erfahrungen und Thesen vor mit engem Blickkontakt zur Realität in Krankenhäusern.
Thorsten Schütz ist Leiter IT und Betriebsorganisation, Klinikum Itzehoe, und Vorstand im KH-IT.

Erfahrungen aus dem Prüfnachweis

Rund 120 Krankenhäuser in Deutschland mussten im vergangenen Jahr gemäß KRITIS-Verordnung erstmalig den §8a-Prüfnachweis gemäß BSI-Gesetz (Bundesamt für Sicherheit in der Informationstechnik) erbringen, da sie die Grenze von mehr als 30.000 stationären Fällen pro Jahr überschritten hatten. Die betroffenen Krankenhäuser, genauso wie Prüfteams und BSI, betraten damit weitgehend Neuland und so wundert es nicht, dass einige Anlaufschwierigkeiten zu überwinden waren. Vielfach wurde zum Beispiel das Finden eines geeigneten Prüfteams völlig unterschätzt. Zwar wurden frühzeitig seitens des BSI geeignete Kurse für Prüfer zur Erlangung der §8a Prüfverfahrenskompetenz angeboten, doch zusätzlich geforderte Befähigungen der Prüfer wie Audit-Kompetenz, IT-Sicherheitskompetenz und insbesondere die notwendige Branchenkompetenz stellten oftmals selbst größere Beraterfirmen überraschend vor Herausforderungen. In der Folge hatte so manches Krankenhaus unerwartet Probleme, vor Ablauf der Frist passende Prüfer zu finden. Eine zentrale Liste prüfender Instanzen, wie von vielen Krankenhäusern regelmäßig nachfragt, sucht man bislang noch vergebens. War diese Herausforderung gelöst, galt es im Anschluss, den Prüfnachweis in geeigneter Form zu erstellen. Mangels Vorerfahrungen, auf die hierbei zurückgegriffen werden konnte, kann davon ausgegangen werden, dass die abgegebenen Prüfnachweise bei diesem ersten Durchlauf von durchaus sehr unterschiedlicher Qualität gewesen sind. Für die nächste Runde im Sommer 2021 könnte das strukturierter werden. Basierend auf den jetzigen Ergebnissen, die sich noch in der Auswertung befinden, werden voraussichtlich konkrete Vorgaben entwickelt, was die Vergleichbarkeit der abgefragten Daten vereinfachen würde. Ohnehin wird die Datenbasis dann vermutlich größer sein, zahlreiche Experten erwarten in den kommenden Monaten eine Absenkung der bisher gültigen Fallzahlschwelle und damit eine Ausweitung der Anzahl derjenigen Krankenhäuser, die unter das BSI-Gesetz fallen.


IT-Sicherheit und finanzielle Förderung

Mit Absenkung der Fallzahlschwelle rückt dann schnell das Thema der Finanzierung erneut in den Blickpunkt. Orientiert man sich allein am zugrundeliegenden IT-Sicherheitsgesetz, dürften für Betreiber einer kritischen Infrastruktur wie z. B. Krankenhäuser, durch die Einhaltung der BSI-Vorgaben keine nennenswerten Mehrkosten durch Erfüllungsaufwände entstehen. Es kann nämlich davon ausgegangen werden, dass KRITIS Betreiber ohnehin ein Eigeninteresse, das sogenannte Mindestsicherheitsniveau einzuhalten, besitzen. Vor dem Hintergrund der zahlreichen Ransomware-Attacken auf Krankenhäuser in den letzten Jahren ist diese Argumentation durchaus naheliegend. Auf der anderen Seite zeigt die Realität, in Krankenhäusern besteht durchaus vielfach Verbesserungspotential in Sicherheitsfragen. Nicht ohne Grund wurden explizit finanzielle Fördermöglichkeiten für KRITIS-Häuser z. B. über das Pflegepersonal-Stärkungsgesetz in Aussicht gestellt. Die Vergabe dieser Fördermittel fällt jedoch in die Hoheit der Länder, und im Ergebnis verfahren die Bundesländer hier höchst unterschiedlich. In vielen Bundesländern ist keinerlei Förderung vorgesehen, andere Länder unterstützen neben den KRITIS-Häusern zusätzlich auch Krankenhäuser, die nicht unter das IT-Sicherheitsgesetz fallen. Viele Betroffene wünschen sich hier klarere Vorgaben, zumal wenn mit Ausweitung der betroffenen Häuser zukünftig weitere kleine, weniger finanzstarke Kliniken mit unter das IT-Sicherheitsgesetz fallen sollten und damit die Fördernachfrage steigen wird. Dank unabhängiger Erhebungen zum diesem Thema, beispielsweise veranlasst durch die Deutsche Krankenhausgesellschaft (DKG), gibt es durchaus valide Zahlen zum Bedarf, auf denen man hier aufbauen könnte.

Prozesse im Mittelpunkt

Eine unerwartete Herausforderung im Zusammenhang mit dem IT-Sicherheitsgesetz und den daraus abgeleiteten Prüfungen ergibt sich an einer weiteren Stelle. Die Schaffung von IT-Sicherheit beginnt oft mit der fachgerechten Umsetzung zahlreicher technischer Maßnahmen. Für die geeignete Implementation eines Informationssicherheitsmanagementsystems (ISMS), für die Priorisierung von Maßnahmen oder für das Aufsetzen von Ausfallkonzepten und Notfallplänen sind zuallererst jedoch das Verständnis und die Analyse der zugrundeliegenden Prozesse unabdinglich. Als Orientierung gibt der Branchenspezifische Sicherheitsstandard (B3S) mit den zentralen Säulen Aufnahme, Diagnose, Therapie, Pflege und Entlassung Kategorien vor, nach denen sich Kern- und Unterstützungsprozesse, fachrichtungsbezogen zuordnen und beschreiben lassen. Genau hier entzündet sich in vielen Krankenhäusern die Frage: Wer ist für die Beschreibung und Analyse dieser Prozesse zuständig?


Der IT-Sicherheitsbeauftragte, in der hierarchischen Stellung vergleichbar mit dem Datenschutzbeauftragten, ist vielerorts bereits installiert, insbesondere in den KRITIS-Häusern. Er sieht seine Aufgabe jedoch meist darin, fertige Prozessbeschreibungen auf IT-Sicherheit zu prüfen und weniger darin, diese selbst zu erstellen. Die Anwender wie z. B. Ärzte und Pflegeverantwortliche kennen ihre täglichen Prozesse und die
damit verbundenen Risiken und Gefährdungen natürlich am besten. Ihnen fehlt es jedoch oftmals an der Methodik sowie den geeigneten Werkzeugen und im Klinikalltag nicht zuletzt an der Zeit, sich dieses Themas anzunehmen. Ein eigens benannter Prozessbeauftragter, der diese Lücke füllt, fehlt bislang in den Krankenhäusern. Die Vergabe an externe Berater sollte aufgrund der damit verbundenen Kosten und der Auslagerung von elementarem, hauseigenen Prozesswissen nur die letzte Option bleiben.

Bleibt noch die IT im Krankenhaus, nach eigener Einschätzung ebenfalls oft bis an die Grenzen ausgelastet. Trotzdem sollten gerade die IT-Verantwortlichen überlegen, ob nicht das Prozesswissen, welches in ihrer Abteilung aufgrund der applikationsübergreifenden Sichtweise vielfach in überdurchschnittlicher Ausprägung vorhanden ist, genutzt werden kann, dieses in Richtung Prozessvisualisierung und Prozessanalyse weiter auszubauen. Ohnehin wird es niemals den einen geben, der alle Prozesse in einem Krankenhaus vollständig kennt. Stattdessen ist eine Abteilung gefragt, die erhebend und moderierend
das Prozesswissen zahlreicher Beteiligter zusammenträgt und in eine sinnvoll aufbereitete Form überführt. Darauf aufbauend lässt sich dann zum einen die IT-Sicherheit stetig verbessern, zum anderen können daraus weitere Wertschöpfungspotentiale und Effizienzgewinne abgeleitet werden. So kann die Beschäftigung mit IT-Sicherheit in vielfacher Hinsicht zu einem Gewinn für das gesamte Haus werden.

Thorsten Schütz


Thorsten Schütz, Leiter IT und Betriebsorganisation, Klinikum Itzehoe, und Vorstand im Bundesverband der Krankenhaus IT-Leiterinnen/Leiter e.V. (KH-IT): „So kann die Beschäftigung mit IT-Sicherheit in vielfacher Hinsicht zu einem Gewinn für das gesamte Haus werden.“