Krankenhauszukunftsgesetz IT-Sicherheit und KHZG: Zukunft der Förderung

Autor / Redakteur: Helmut Semmelmayer* / Susanne Ehneß

Mit dem Erlass des Krankenhauszukunftsgesetzes haben Bund und Länder 2021 eine Fördersumme von stolzen 4,3 Milliarden Euro für die Digitalisierung deutscher Krankenhäuser bereitgestellt. Die Förderperiode nähert sich nun ihrem Ende, doch im Bereich der IT-Sicherheit bleibt weiterhin viel zu tun. Zeit für ein erstes Resümee.

Firma zum Thema

Gesundheitsdaten wie Krankengeschichte, eingenommene Medikamente und Infos über vergangene Behandlungen müssen vor Unbefugten geschützt werden
Gesundheitsdaten wie Krankengeschichte, eingenommene Medikamente und Infos über vergangene Behandlungen müssen vor Unbefugten geschützt werden
(© auremar - stock.adobe.com)

Durch das Krankenhauszukunftsgesetz (KHZG) fließen erstmals seit Jahrzehnten Haushaltsmittel des deutschen Bundes direkt in Krankenhäuser: 3 Milliarden Euro stellt der Bund selbst zur Verfügung, die Länder bzw. Krankenhausträger beteiligen sich zusätzlich mit 30 % der jeweiligen Investitionskosten. Mit dieser Summe sollen neben dem Ausbau innovativer neuer Lösungen wie Telemedizin-Angeboten, digitalen Patientenportalen und elektronischer Dokumentation vor allem dringend benötigte Verbesserungen in der IT-Infrastruktur finanziert werden. Mindestens 15% jedes Antrags müssen daher verpflichtend für Maßnahmen zur Erhöhung der Informationssicherheit eingesetzt werden.

„Wichtige Ergänzung zu bestehenden Fördertöpfen“

Für diese Mindestquote gibt es einen guten Grund: Das Thema IT-Sicherheit ist zwar weniger glamourös als andere förderfähige Vorhaben, gewinnt für den Betrieb von Krankenhäusern jedoch zunehmend an Bedeutung. Das zeigt etwa der massive Anstieg an Cyberangriffen im Gesundheitsbereich, der sich 2021 weiter fortsetzt. Um gegenzusteuern forciert die Bundesregierung das Thema Cybersecurity daher aktuell neben dem KHZG auch durch das IT-Sicherheitsgesetz 2.0 und die Anpassung der KRITIS-Verordnung. Einzigartig am Krankenhauszukunftsgesetz ist jedoch, dass die Gelder auch kleineren Kliniken zur Verfügung stehen, die unter den KRITIS-Schwellenwert von 30.000 vollstationären Fällen im Jahr liegen.

Um Gesundheitsdaten in Einrichtungen jeglicher Größe abzusichern, stellt das KHZG somit eine wichtige Ergänzung zu bestehenden Fördertöpfen dar. Bislang ist allerdings nicht bekannt, wie erfolgreich die Förderinitiative war. Bedenkt man die bis zu dreimonatige Bearbeitung durch die Länder, die zwischen dem initialen Antrag und der Einreichung beim Bundesamt für soziale Sicherung liegen können, ist der Zeitrahmen für die Ausarbeitung von Projekten insgesamt recht knapp bemessen. Erste Summen aus dem Zukunftsfonds sind bereits geflossen, genaue Zahlen zur Ausschüttung werden jedoch erst Anfang März 2022 veröffentlicht.

Innere und äußere Schwachstellen

Gesundheitsdaten wie die Krankengeschichte, eingenommene Medikamente und Informationen über vergangene Behandlungen zählen zu den sensibelsten Daten, die ein Mensch besitzt. Just dieser Fakt macht sie allerdings auch zu einem besonders begehrten Ziel für Cyberkriminelle: Weltweit werden Kliniken und Krankenhäuser seit einigen Jahren immer häufiger das Ziel von Hacker-Attacken und Schadsoftware, wie zuletzt etwa eines der größten Krankenhäuser in Rom und mehrere Kliniken in Baden-Württemberg.

Doch nicht immer sind Angriffe von außen für den Verlust von Daten verantwortlich. Auch die eigenen Mitarbeiter können wissentlich oder unabsichtlich Datenpannen auslösen: Es genügt ein Arzt, der versehentlich eine eMail an den falschen Empfänger versendet. Ein ungesicherter Laptop, der gestohlen oder in der Straßenbahn vergessen wird. Ein neugieriger Kollege, der unbefugt auf Patientendaten außerhalb seines Zuständigkeitsbereichs zugreift.

Neben Fragen des Datenschutzes, die spätestens seit der DSGVO in aller Munde sind, gewinnt zudem der Schutz vor Ausfällen immer mehr an Relevanz. Ein erfolgreicher Cyberangriff kann den Betrieb in betroffenen Kliniken tage- oder wochenlang lahmlegen, mit weitreichenden Folgen für die gesundheitliche Versorgung in der Region. Um das zu verhindern gelten in Deutschland seit Einführung der KRITIS-Verordnung strengere Regeln für große Krankenhäuser. Im Zentrum des branchenspezifischen Sicherheitsstandards (B3S) der deutschen Krankenhausgesellschaft steht dabei die Einrichtung eines Informationssicherheitsmanagementsystems, welches die nötigen Prozesse und Strukturen zur sicheren Verwaltung von Daten dauerhaft in einer Organisation etablieren soll.

Zu den Anforderungen des B3S zählen einerseits organisatorische Aufgaben wie Schulungen und das Benennen eines Informationssicherheitsbeauftragten und andererseits technische Anforderungen hinsichtlich des sicheren IT-Betriebs: Schutz vor Schadsoftware, Patchmanagement, Absicherung von Fernzugriffen, Identitäts- und Rechtemanagement, etc. Obwohl der Sicherheitsstandard aktuell nur für KRITIS-Krankenhäuser verpflichtend ist, lohnt sich eine Auseinandersetzung mit den empfohlenen Maßnahmen natürlich auch für kleinere Einrichtungen, die keineswegs gegen Cyberattacken „immun“ sind. Auf kurz oder lang führt kein Weg an der Absicherung der eigenen IT-Umgebung vorbei, insbesondere da sich die Bedrohungslage laufend weiter verschärft.

Sinnvoll investieren, sichere Prozesse etablieren

Beim Wort Digitalisierung denken wohl die meisten Menschen eher an futuristische Technologien als an Hacker und Schadsoftware. Auch Entscheidungsträger in Wirtschaft und Verwaltung neigen dazu, lieber neue Geräte anzuschaffen, als in wichtige, aber weitgehend unsichtbare Grundlagen wie die Cybersicherheit zu investieren. Die Tatsache, dass mindestens 15% des Krankenhauszukunftsfonds zweckgebunden für die Verbesserung der Informationssicherheit eingesetzt werden muss, ist daher ein wichtiger Schritt, um dringend notwendige Verbesserungen in diesem Bereich voranzutreiben.

Aber auch beim Thema IT-Sicherheit gilt es, Lösungen zu finden, die zu der Anwendungsumgebung passen und in der Praxis sinnvoll eingesetzt werden können. Das beste neue Computersystem bringt nichts, wenn die Implementierung Monate in Anspruch nimmt, die Anwendung das medizinische Personal überfordert oder komplexe Abläufe am Ende sogar die Behandlungsqualität gefährden. Ganz zu schweigen davon, dass durch die Förderung zwar die Anschaffungskosten für überdimensionierte Software-Lösungen entfallen, diese aber im weiteren Betrieb durch Service und Wartung gehörig zu Buche schlagen können.

Wie wähle ich die richtige Software aus?

Ein geeignetes Software-Produkt sollte sich nahtlos in bestehende Prozesse integrieren lassen und den laufenden Betrieb dabei nicht nur sicherer machen, sondern gleichzeitig den Verwaltungsaufwand reduzieren. Etwa im Bereich Identitäts- und Rechtemanagement: Die Frage, welche Benutzer auf welche Daten zugreifen können, ist sowohl in Sachen Datenschutz, als auch für die IT-Sicherheit hochgradig relevant, lässt sich manuell jedoch nur schwer kontrollieren. Die entsprechenden Berechtigungen sind auf unterschiedliche Systeme verteilt und lassen sich ohne technische Fertigkeiten kaum abrufen.

Identity-Access-Management-Lösungen helfen nicht nur dabei, bestehende Berechtigungen zu überblicken, sondern können viele der für die Benutzerverwaltung notwendigen Prozesse automatisieren (z. B. Vergabe und Entzug von Rechten bei Abteilungswechsel, Karenz, Austritt, etc.). Dadurch entfällt sowohl der Aufwand durch Routine-Aufgaben, als auch das Risiko von Fehlern in der Verwaltung von Benutzern. Eine automatisierte Berechtigungsvergabe, die die Zugriffsrechte für Nutzer auf ein Minimum reduziert, gehört somit zu den Grundlagen für Sicherheit und Compliance. Mit dem passenden Tool kann die entsprechende Anforderung des B3S schnell und effizient umgesetzt werden.

Für Außenstehende kann es jedoch schwer sein zu beurteilen, ob eine spezifische Lösung im Kontext ihres Betriebes sinnvoll ist oder nicht. Die Vorteile einzelner Produkte sind ohne die nötige Erfahrung schwer einzuschätzen. Ein fachkundiger Software-Berater kann Kliniken hier bei der Auswahl unterstützen und hilft darüber hinaus beim Ausfüllen der notwendigen Formulare. Gemeinsam mit Experten kann das Projekt schon im Vorfeld möglichst genau geplant und beschrieben werden, was wiederum die Bearbeitung des Antrags beschleunigt.

IT-Förderungen: Wie geht es nun weiter?

Auch wenn die länderspezifischen Fristen für das KHZG mittlerweile nahezu abgelaufen sind, stehen Krankenhäusern weiterhin Mittel für IT-Projekte zur Verfügung. Der Krankenhausstrukturfond, der ursprünglich für den Abbau von Überkapazitäten entworfen wurde, deckt etwa in seiner aktuellen Förderperiode (bis 2024) auch Projekte zur Verbesserung der IT-Sicherheit von Gesundheitseinrichtungen ab. Mit 9 von 11 Anträgen stellten IT-Vorhaben im Jahr 2020 sogar den überwiegenden Anteil aller Förderanträge des Strukturfonds dar. Die gute Nachricht für Klinik-Betreiber: Nach aktuellem Stand sind in den kommenden Jahren in sämtlichen Bundesländern noch ausreichend Fördermittel vorhanden.

Helmut Semmelmayer
Helmut Semmelmayer
(© tenfold)

Wie beim Krankenhauszukunftsgesetz muss ein Strukturfonds-Antrag zunächst beim jeweiligen Bundesland eingereicht werden, welches verpflichtet ist, einen Anteil der Fördersumme beizusteuern. Für IT-Projekte muss zudem die Anlage „Sicherheit der Informationstechnik“ beigelegt werden, in welcher das Vorhaben näher beschrieben wird. Insbesondere ist konkret auszuführen, welche Anforderungen der branchenspezifischen Sicherheitsstandards durch die Maßnahmen abgedeckt werden sollen. Die Antragstellung steht allen KRITIS-Krankenhäusern (mehr als 30.000 vollstationäre Fälle im Jahr) offen.

*Der Autor: Helmut Semmelmayer, Senior Manager Channel Sales bei tenfold

(ID:47712648)