Krankenhäuser sollen vor Hacker-Angriffen geschützt werden
Mehr als 200.000 Computer weltweit hat die jüngste Cyber-Attacke mit der Software „WannaCry“ lahmgelegt. Betroffen waren Privatpersonen, aber auch eine Reihe von Behörden und Unternehmen in Europa. Auch zahlreiche Kliniken in Großbritannien waren dem Hacker-Angriff zum Opfer gefallen. Computer mussten daraufhin heruntergefahren und Patienten nach Hause geschickt werden. Die erpresserische Software nutzte dabei eine Sicherheitslücke im Microsoft-Betriebssystem Windows aus, über die sie automatisch neue Computer anstecken konnte. Zwar blieben deutsche Krankenhäuser bisher verschont, doch Experten monieren, dass viele Kliniken nicht ausreichend auf mögliche Hacker-Angriffe vorbereitet seien. Nun will die deutsche Bundesregierung die Krankenhäuser zu mehr Schutzmaßnahmen verpflichten.
Für Krankenhäuser gelten bislang keine verbindlichen Sicherheitsregeln
Angriffe auf die Krankenhaus-IT wie der von „WannaCry“ können erhebliche Folgen haben. Nicht nur der Datenschutz kann betroffen sein, auch Leistungsabrechnungen können verhindert werden, und durch Störungen der Medizintechnik in Operationssälen oder der Intensivpflege kann sogar das Wohl der Patienten direkt gefährdet werden. In Deutschland verpflichtet zwar die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) alle Betreiber sogenannter „Kritischer Infrastrukturen“ dazu, erhöhte Anforderungen an die IT-Sicherheit ihrer Anlagen zu erfüllen. Jedoch gilt die Verordnung bisher nur für die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation, sofern ihre IT-Anlagen bestimmte Schwellenwerte überschreiten. Für Krankenhäuser gibt es bislang keine verbindlichen Regelungen zur IT-Sicherheit.
Allerdings sind auch Geschäftsführer und Vorstände von Kliniken zur Sorgfalt verpflichtet und müssen sich angemessen über mögliche IT-Risiken informieren sowie entsprechende Schutzmaßnahmen ergreifen. Auch gibt es – sofern personenbezogene Daten von Hacker-Angriffen betroffen sind – gemäß Bundesdatenschutzgesetz (BDSG) unter bestimmten Voraussetzungen Meldepflichten gegenüber den Aufsichtsbehörden sowie Benachrichtigungspflichten gegenüber den betroffenen Personen.
Neue Verordnung soll IT-Sicherheit stärken
Bereits im vergangenen Jahr hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Untersuchung veröffentlicht, nach der es um die IT-Sicherheit von Krankenhäusern sehr unterschiedlich bestellt sei. Im Bericht des BSI hieß es: „Während große Häuser, insbesondere Universitätskliniken, um die Bedeutung des Themas wissen, wird es gerade bei kleineren Krankenhäusern in ländlichen Gebieten aus Budget- und Personalmangel eher mit untergeordneter Priorität behandelt.“ Nach der jüngsten Attacke fordert nun auch Bundesinnenminister Thomas de Maizière (CDU), endlich auch Gesundheitseinrichtungen gesetzlich zu verstärkten Sicherheitsmaßnahmen der IT-Systeme zu verpflichten und Vorfälle an das BSI zu melden. Genau wie einige Verkehrs- und Finanzunternehmen sollen sie bald zur „kritischen Infrastruktur" gehören. Eine entsprechende Verordnung soll noch vor der Bundestagswahl im September zur Abstimmung gestellt werden.
Kritiker bemängeln allerdings, dass durch die vorgeschlagene Verordnung vermutlich nur ein kleiner Teil der Krankenhauspatienten besser geschützt werden würde. Denn um zur „kritischen Infrastruktur“ zu zählen, sieht die Verordnung mindestens 30.000 vollstationäre Patienten im Jahr vor. Diese Menge an Patienten wird nach Angaben der Deutschen Krankenhausgesellschaft jedoch nur von rund zehn Prozent aller Klinken betreut. Ein Sprecher des Innenministeriums erklärte, auch die restlichen Häuser seien aufgefordert, sich um die Sicherheit ihrer Computer zu kümmern. Zwingen könne man sie jedoch nicht.
Foto: © BillionPhotos.com - Fotolia.com