khitjournal04052020_Kritis1.jpg
10. KRITIScher Stammtisch zum IT-Sicherheitsgesetz
Category : Kritischer Stammtisch
Published by Kim Wehrs on 28.10.2020 11:00

Am 10.9.2020 fand der 10. KRITISche Stammtisch, moderiert von Mike Zimmermann (Universitätsklinikum Carl Gustav Carus, Dresden) und Konrad Christoph (SHD System-Haus-Dresden GmbH)in rund 40-köpfiger Besetzung, via Videokonferenz-Tool,virtuell statt.

Der KRITISche Stammtisch, der auf eine gemeinsame Initiative des Universitätsklinikums Carl Gustav Carus und dem SHD System-Haus-Dresden GmbH im August 2017 gegründet wurde, hat sich die Vernetzung von Krankenhäusern,sowohl als nach dem IT-Sicherheitsgesetz als Kritische Infrastruktur (KRITIS) eingestufte-, als auch den nicht-KRITISKrankenhäusern, mit der Industrie, den Versicherern, den Auditoren den Landeskriminalämtern und Ministerien, zum Ziel gesetzt.

Das erfolgreiche Konzept der Veranstaltung hat sich mittlerweile weit über die mitteldeutschen Landesgrenzen hinaus etabliert und bietet den verschiedenen Branchenvertretern die Möglichkeit des professionellen und breiten Erfahrungsaustausches.
Anlässlich einer Cyberattacke auf das Klinikum Düsseldorf, die am Morgen bekannt geworden war, gab Eric Fischer vom Landeskriminalamt Sachsen, Cybercrime Competence Center einen Einblick in die aktuelle Situation von Cyber-Bedrohungen aus kriminologischer Sicht. Demnach sei es trotz, oder vielleicht auch gerade wegen Corona bisher in den letzten Monaten relativ ruhig geblieben, man müsse aber das Ende der Sommerpause abwarten. Die Angriffe beträfen die gesamte Bandbreite der Unternehmen, vom Start-Up bis zum Krankenhaus.
Den ersten Vortrag hielt Dr.-Ing. Sven Zimmermann mit dem Thema "Einsatz Freier Software im Klinikum Görlitz." Dabei ging es um die Erfahrungen mit Open Source Software, die man im Städtischen Klinikum Görlitz sammeln konnte. Die Idee zum Vortrag sei Zimmermann, der sich bereits seit ca. 25 Jahren mit Open Source Software beschäftigt, nach dem 8. KRITISchen Stammtisch gekommen, als ein Redner, bezogen auf die Digitale Unabhängigkeit Deutschlands, sinngemäß in den Raum stellte, dass "man Gesetze erlassen könne, wie man wolle, am Ende müsse man "doch machen, was die großen Konzerne wollten […] Wenn man da schon 20 Jahre zuvor aktiv geworden wäre." ...."

Zu Beginn gab Zimmermann einen Einblick über verschiedene Stimmen, die sich über die letzten 25 Jahre immer wieder kritisch zur Monopol-Stellung von Microsoft und generell über die Aufgabe, einen „großen öffentlichen Ort der Information" zu schaffen, „der ohne Restriktionen allen zugänglich ist“, geäußert haben. Auch diverse Studien, beispielsweise eine Studie des Bundesministeriums des Innern, 2019, sowie eine 2020 veröffentlichte Umfrage der Kommunalen Gemeinschaftsstelle für Verwaltungsmanagement (KGSt) bescheinigen "dringenden Handlungsbedarf" und fordern den vermehrten Einsatz von Open Source Software auf dem Weg zu Digitaler Unabhängigkeit.
Es gäbe auch Positivbeispiele, berichtete Dr. Zimmermann, wie z.B. das MALT Project des Europäischen Kernforschungszentrums CERN in der Schweiz, die einen eigenen Weg gegangen sind. Im Weiteren stellt Zimmermann ausführlich die alternativen Freien Anbieter und Software vor, die im Klinikum Görlitz zur Anwendung kommen und lud andere IT-Verantwortliche anhand der eigenen positiven Erfahrungen dazu ein, sich ebenfalls mit Freier-, Open Source Software zu beschäftigen. Im Klinikum Görlitz arbeite sie zuverlässig, schone die Ressourcen und mache „richtig Spaß".
Als nächster Punkt standen aktuelle Informationen zum Stand PDSG/§75c SGB V /KHZG inkl. Diskussion, vorgetragen von Markus Holzbrecher-Morys, Deutsche Krankenhausgesellschaft e. V. Geschäftsführer (IT, Datenaustausch und eHealth), auf der Tagesordnung.
Holzbrecher-Morys wies eingangs auf den teils noch schwebenden Gesetzgebungsprozess im Rahmen des Krankenhaus-Zukunfts-Gesetzes bzw. des Patientendaten-Schutzgesetzes hin. Einige Diskussionen seien hierzu noch nicht abgeschlossen, insbesondere die Frage der Sanktionierung von Krankenhäusern, die sich aufgrund fehlender Hard- und Software-Komponenten nicht rechtzeitig zum 1.1.2021 an die Telematikinfrastruktur zur Nutzung der elektronischen Patientenakte anschließen könnten. Da mit Blick auf das Ende des legislativen Prozesses im Vorfeld der Bundestagswahl 2021 nur noch begrenzte Möglichkeiten für gesetzlichen Änderungsbedarf zur Verfügung stünden, sei eine entsprechende Initiative noch in diesem Jahr notwendig – auch um Rechtssicherheit für die betroffenen Krankenhäuser geben zu können.

Mit dem Krankenhauszukunftsgesetz solle neben dem Krankenhausstrukturfonds ein zweiter sog. Krankenhauszukunftsfonds zur Verfügung gestellt werden. Dabei stünden Fördermittel von insgesamt ca. 4,3 Milliarden Euro zur Verteilung bereit. Auf 1.700 Krankenhäuser gerechnet, ergäbe das einen durchschnittlichen Förderbetrag von ca. 2 Millionen Euro pro Haus. Allerdings werde dafür bis 2025 von den Häusern
erwartet, dass sie wesentliche Digitale Services anbieten müssten, wozu unter anderem eine durchgehende elektronische Medikation oder ein durchgängiges Order Entry System gezählt würden. Andernfalls stünden Sanktionen von bis zu 2 Prozent des Rechnungsbetrages im Raum. Als weitere Rahmenbedingung für Förderanträge im Kontext des Krankenhaus-Zukunftsfonds seien 15 Prozent der beantragten Fördermittel für Maßnahmen zur Verbesserung der IT-Sicherheit aufzuwenden.

Als wichtige Entwicklung stellte Holzbrecher-Morys die geplante Evaluierung der Fördermaßnahmen auf Basis einer Selbsteinschätzung vor, die mittels einer Zweipunktmessung (am 30.6.2021 und am 30.6.2023) erörtern solle, ob die Fördermaßnahmen den Krankenhäusern auf dem Weg zu mehr Digitalisierung effektiv gewesen seien. So sollen anerkannte Reifegradmodelle geeignete Kriterien zur Einschätzung des
digitalen Reifegrades extrahiert werden, die als Basis für eine Reifegradermittlung aller Krankenhäuser in Deutschland herangezogen würden.

Im Anschluss an den Vortrag stand Markus Holzbrecher-Morys für Rückfragen der Teilnehmer zur Verfügung.
Der folgende Vortrag drehte sich um das Projekt „Doktor IT“, im Uniklinikum Carl-Gustav-Carus, Dresden, dass die „Bessere Zusammenarbeit durch gemeinsame Dokumentation“ zum Ziel hatte. Tom Bormann und Gordon Schultz präsentierten ein erfolgreich abgeschlossenes Projekt, welches sich mit der Konsolidierung der vielen verschiedenen spezifischen IT-Systeme befasste, die vor allem zu Dokumentation und
Kommunikation in ihrem Haus zum Einsatz kamen. Ziel war es, die Dokumentation in möglichst wenigen Systemen zusammenzufassen und diese dann abteilungsübergreifend, künftig mehr thematisch gebündelt zu nutzen und die hierdurch verschiedenen internen und externen Kommunikationskanäle zu vereinheitlichen. Als weiterer wichtiger Faktor für eine effizientere Arbeitssituation sollte durch die Konsolidierung der Systeme die Übersicht über die Prioritäten in der täglichen Arbeit verbessert werden.

Im Folgenden stellten Schultz und Bormann ihre im Zuge des erfolgreichen Projekts entstandene „Komponenten Portfolio Liste“ vor, erläuterten die neuen Werkzeuge und Abläufe und beantworteten im Anschluss Fragen der Teilnehmer. Der 10. KRITISche Stammtisch endete mit dem Erfahrungsbericht von Stefan Wittjen (Chief Information Security Officer, Vivantes) zur „Stabsrahmenübung Cybersicherheitsvorfall“, die im Vivantes Klinikum am Friedrichshain in Berlin stattfand.

Bei einer „Stabsrahmenübung“ handele es sich um keine „Echtübung“, berichtete Herr Wittjen, sondern es wurden verschiedene Szenarien in der Theorie mit den betroffenen Stäben und Personen durchgespielt.
Die Vivantes Netzwerk für Gesundheit GmbH versorgt rund 1/3 der Berliner Bevölkerung in über 110 Fachkliniken an 9 Standorten. Die zentralen IT-Systeme werden in einem eigenen Rechenzentrum betrieben. Wenn ein Standort aufgrund eines Cybersicherheitsfalles vom Netz genommen wird, ist er dadurch automatisch auch von der zentralen IT-Versorgung abgeschnitten. Das heißt, es besteht eine hohe Abhängigkeit. So sei ein wichtiger Faktor, den es zu üben gegolten habe, wie ein ganzer Klinikstandort damit klarkäme, wenn er vom Netz getrennt wäre.

Die Übung wurde unter Beteiligung der Senatsverwaltung und dem LKA Berlin mit Kollegen aus der IT, dem Katastrophenschutz und den betroffenen medizinischen Bereichen rund 6 Monate vorbereitet. Im Vorfeld der Übung wurden verschiedene Gruppen gebildet, die jeweils für die Konzeption und die Überwachung des Ablaufs verantwortlich waren. Betroffen von der Übung waren im Wesentlichen die Krisenstäbe in der zentralen Verwaltung und am Standort Friedrichshain, die in den Alarm- und Einsatzplänen von Vivantes definiert sind. Die auf Wunsch der Gesundheitssenatorin Kalayci durchgeführte Stabsrahmenübung beinhaltete das Szenario, dass ein Techniker Malware per USB-Stick an ein Medizingerät im Klinikum gebracht hatte, was sich im Verlaufe der 6-stündigen Übung über Ausfälle medizintechnischer Geräte zu einem Totalausfall der gesamten IT-Versorgung ausweitete. Sowohl Einspieler aus den lokalen Medien als auch von unzufriedenen Patienten gehörten zu den zu bewältigenden Problemen. Die Krankenhauseinsatzleitung musste sich mit einer Umverlagerung von Intensivpatienten auseinandersetzen, für die ausgefallenen Arbeitsrechner wurden 20-30 Notebooks an den Standort Friedrichshain gefahren um auf Client-Ebene schnellstmöglich weiterarbeiten zu können. Auch die Essens-,Labor- und Apothekenversorgung mussten sichergestellt werden.

Im Anschluss an die Übung wurden die Teilnehmer befragt und die Antworten ausgewertet. Dadurch konnten im Nachgang wichtige Erkenntnisse zur Verbesserung aber auch der Bestätigung der diversen Störfall- und Notfallprozesse gewonnen werden. Zum Abschluss appellierte Organisator Konrad Christoph an die Teilnehmer weiterhin interessante Themenvorschläge einzubringen und bedankte sich bei den Referenten.
Ein 11. KRITIScher Stammtisch wird stattfinden, der konkrete Termin sowie der Inhalt wird von den aktuellen Entwicklungen z.B. beim KHZG abhängig sein.

Autor: Kai Wehrs, Quelle: Krankenhaus-IT Journal, Ausgabe Oktober 2020