Alles steht immer und überall zur Verfügung? Nicht zuletzt die COVID-19-Pandemie hat uns gezeigt, dass selbst system­relevante Bereiche an ihre Grenzen kommen und stressanfällig sind. Die Verordnung über kritische Infrastruktur (Kritis-Verordnung) hat lange vor Corona diese Gefahren thematisiert. Die IT ist dabei mittlerweile zur Schlüsseltechnologie für systemrelevante Bereiche, die kritischen Infrastrukturen, geworden. Martin Meilwes, Teamleiter der GRB Gesellschaft für Risiko-Beratung mbH, ist Experte für diese Themen. Er schildert, weshalb nicht nur Kliniken der Maximal- und Schwerpunktversorgung beim Stichwort Kritis aufhorchen sollten.

Bei kritischer Infrastruktur geht es um Wirtschaftsbereiche, deren Ausfall unmittelbare Auswirkungen auf die Versorgung der Bevölkerung hat. Acht unterschiedliche Sektoren gehören dazu, neben dem Gesundheitswesen sind es Energie, Ernährung, Verkehr, Wasserversorgung, Finanzen/Versicherungen, Staat/Verwaltung und eben IT. Sparten wie Energie, Ernährung oder auch Verkehr und Gesundheitswesen sind in den vergangenen Wochen immer wieder als systemrelevant bezeichnet worden.
 

Auch kleinere Häuser können zu kritischen Infrastrukturen zählen

Krankenhäuser, die mehr als 30.000 vollstationäre Fälle im Jahr behandeln, gelten als kritische Infrastruktur. Jährlich zum 30. März müssen die Klinik­leitungen an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe melden, wenn sie diesen Schwellenwert erreichen oder überschreiten. Dabei sollten sich Häuser der Grund- und Regelversorgung durchaus angesprochen fühlen, denn auch sie können diese Größenordnung erreichen, wenn sie in Verbünden zusammenarbeiten. In der Kritis-Verordnung werden dafür verschiedene Kriterien genannt: Wenn die Häuser unter einer Leitung stehen, wenn sie einem vergleichbaren Zweck dienen, wenn sie eine gemeinsame Betriebseinrichtung haben oder gar auf einem gemeinsamen Betriebsgelände liegen, könnten sie auch als Verbund zur kritischen Infrastruktur zählen.

Daraus folgt der Zwang, in einer externen Prüfung nachzuweisen, dass die Klinik oder der Klinikverbund den Anforderungen der Verordnung über die kritische Infrastruktur gewachsen ist. Hierbei beauftragt der Klinikbetreiber eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannte „prüfende Stelle“ mit der Prüfung, ob der für das Gesundheitswesen gültige Branchenstandard für das IT-System und die IT-Prozesse eingehalten und für das im Mittelpunkt stehende Informationssicherheits-Managementsystem umgesetzt wird.

Im Endeffekt geht es neben der Darlegung der implementierten technischen und organisatorischen Sicherheit im Kontext mit der Nutzung von IT-Systemen auch darum nachzuweisen, dass ein strukturiertes und jederzeit funktionsbereites IT-Notfallmanagement vorhanden ist, das auf die unterschiedlichen Katastrophen-Szenarien (vom technischen Ausfall der IT-Systeme bis hin zu kriminellen Cyberangriffen) zielgerichtet reagiert und somit einen erfolgreichen Weg aus einem  Notfall- in ein Kontinuitätsmanagement beschreibt.
 

IT-Sicherheit im Fokus der Prüfung

Durch das seit Juli 2015 gültige Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) sollen die IT-Systeme und digitalen Infrastrukturen in den systemrelevanten Bereichen im besonderen Maße geschützt werden.

Durch die fortschreitende Digitalisierung und informationstechnologische Vernetzung der Arbeits- und Versorgungsprozesse in den Krankenhäusern und anderen Einrichtungen des Gesundheitswesens entwickelt sich die Informationstechnik auch im Gesundheitswesen zu einer unentbehrlichen Schlüsseltechnologie. Ihr Verlust kann die gesamte Betriebsfähigkeit einer Klinik in Gefahr bringen. Dabei droht der IT nicht nur Gefahr durch Cyberattacken, sondern auch durch eine Reihe anderer Gefahren – seien es Feuer, Wasser, Stromausfall … Selbst einfache Bedienfehler können sich verheerend auswirken.

Die IT ist somit in den Fokus der staatlichen Daseinsvorsorge gerückt und wird umfangreich geprüft. Ein Audit wird dabei von drei Personen durchgeführt: einem leitenden Auditor mit IT-Kenntnissen und zusätzlicher Prüfverfahrens-Kompetenz nach § 8a BSIG, einem IT-Auditor als Fachmann und einem sogenannten „Branchenexperten“. Der Branchenexperte soll als Kenner der Krankenhauslandschaft den Blick auf die Besonderheiten dieser Umgebung lenken. Gemeinsam mit den beiden anderen Auditoren sucht er zudem nach praktikablen Lösungen. In der GRB gibt es drei Mitarbeitende, die die Qualifikation als Branchenexperte haben. Sie haben alle einen klinischen Hintergrund.
 

Fehler vermeiden statt Fehler korrigieren

Die drei Auditoren legen mit den verantwortlichen Mitarbeitenden des Krankenhauses den Geltungsbereich der Prüfung fest, erstellen einen Prüfplan und nehmen die Prüfung dann vor – zumeist mittels Interviews, aber auch mit Begehungen vor Ort. Dabei geht es neben generellen Fragen zum Informationssicherheits-Managementsystem auch um ganz pragmatische Fragen wie beispielsweise: Wo sind die Serverräume untergebracht? Wie sind sie gegen die unterschiedlichen Gefahren gesichert?

Dabei sollte die Kritis-Prüfung nicht nur als notwendiges Übel angesehen werden. Sie führt der Krankenhausleitung auch vor Augen, dass sie die Verantwortung für das zentrale Thema IT trägt. Schwere Störungen oder sogar länger andauernde Systemausfälle der IT im Krankenhaus können zu großen Gefahren für die zu versorgenden Patienten und die Betriebsbereitschaft der systemrelevanten Infrastruktur Krankenhaus führen. Das liegt zum einen an der hohen Abhängigkeit der vielfältigen diagnostischen und therapeutischen Prozesse in der unmittelbaren Patientenversorgung, zum anderen an der Abhängigkeit der hierfür notwendigen Logistik und technischen Infrastruktur. Aber auch die Beherrschung kleinerer Störungen der IT-Infrastruktur in einem so komplexen Betrieb, wie ihn ein Krankenhaus darstellt, ist aus verantwortlicher unternehmerischer Sicht geboten, da letztlich eine Fehler­korrektur und die damit verbundenen häufig aufwendigen Korrekturmaßnahmen immer teurer als eine Fehlervermeidung sind. Insbesondere beim Thema IT ist das augenfällig.

Somit darf die Kritis-Prüfung nicht nur als Nachweis gesetzlicher Anforderungen angesehen werden. Vielmehr kann sie zudem als ein geeignetes Frühwarnsystem und risikopräventives Instrument eines umfassenden Risikomanagements gewertet werden, das auch die stetige Entwicklung moderner Technologien zu berücksichtigen hat.

Martin Meilwes
Martin.Meilwes@grb.de