13.06.2017
Digital-Gipfel

Gesundheitssystem braucht mehr Schutz

Die Vernetzung im Gesundheitswesen bietet viele Vorteile, damit steigt jedoch auch die Gefahr von Hackerangriffen. Beim Digital-Gipfel in Mannheim warnen Experten davor, die Sicherheit aus den Augen zu verlieren. Auch Cyber-Versicherungen werden in Zukunft an Bedeutung gewinnen. Von Henning Engelage

Wenn Patienten in ein Krankenhaus kommen, gehen sie immer auch ein Risiko ein. Rund 19.000 Menschen sterben schätzungsweise jedes Jahr in deutschen Kliniken, weil Ärzte falsche Diagnosen stellen, bei der Behandlung Fehler machen oder die Hygiene mangelhaft ist. Zu diesen bekannten Gefahren gesellt sich eine neue hinzu: Angriffe aus dem Internet, die ebenfalls das Leben der Patienten bedrohen können.

Patientendaten, gespeichert im Computer oder der Cloud; EKG-Geräte, angeschlossen über das Netzwerk; sensible Befunde, versendet über das Internet: Die Medizin nutzt verstärkt die Möglichkeiten der Digitalisierung, immer mehr Krankenhäuser, Apotheken und Arztpraxen vernetzen sich. Doch damit steigt die Gefahr von Datendiebstählen oder Hackerangriffen. Erst vor wenigen Wochen legte der WannaCry-Virus den National Health Service in Großbritannien lahm. Zu trauriger Berühmtheit gelangte auch das Lukaskrankenhaus in Neuss, wo am Aschermittwoch 2016 ein Erpressungstrojaner das gesamte IT-System zum Erliegen brachte.

IT-Sicherheit ist Voraussetzung für Gesundheitssystem

„Vielen ist die Relevanz von Cybersecurity im Gesundheitswesen erst mit dem Fall des Lukaskrankenhaus bewusst geworden”, betont Carsten Ahrens, CEO beim Sicherheitsdienstleister Giesecke & Devrient Mobile Security, auf dem diesjährigen Digital-Gipfel in Mannheim. Die Bundesregierung hat E-Health und Cybersecurity zu den Schwerpunktthemen des diesjährigen Gipfels ausgerufen. Die Politik will die Digitalisierung im Gesundheitssektor beschleunigen, denn sie verspricht sich viel davon: eine gezieltere Behandlung, weniger Fehler, geringere Kosten und eine bessere Betreuung von Patienten – gerade auf dem Land.

Doch ohne ausreichende Sicherheit bleiben diese Visionen nur Wunschträume. Telekom-Vorstand Thomas Kremer sieht im Schutz der Daten eine Grundvoraussetzung, um überhaupt eine Akzeptanz in der Bevölkerung für ein vernetztes Gesundheitswesen zu erreichen. „Wenn die Patienten dem System nicht vertrauen, dann wird das nichts”, urteilt Kremer. So dürften im Gesundheitswesen keine Daten die Praxen unverschlüsselt verlassen.

Gerade kleine und mittlere Betriebe unterschätzen die Gefahren

Der Alltag sieht jedoch gerade in kleineren Praxen anders aus. „Die Lage ist schon sehr heterogen im Gesundheitswesen, das ist kein Geheimnis”, sagt der Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm. Er erzählt vom Mediziner, der per Bildnachricht über WhatsApp seinen Kollegen um Rat fragt. Gesundheitsdaten seien aber gerade besonders schützenswert.

Dass das Problembewusstsein in kleineren Kliniken und Arztpraxen nicht so ausgeprägt ist, überrascht nicht. Auch kleine und mittlere Unternehmen (KMU) aus anderen Branchen unterschätzten häufig die Gefahren aus dem Netz. Hacker machen aber vor kleinen Unternehmen nicht Halt. Laut einer Befragung des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hat bereits jedes vierte KMU Schäden durch Hackerangriffe erlitten. „In Deutschland gibt es 1956 Krankenhäuser. Dazu 105.000 Arztpraxen. Das sind alles potenzielle Angriffsziele”, betont Werner Schmidt, Mitglied der Vorstände der LVM Versicherung und Vorsitzender des Ausschusses Betrieb, Digitalisierung und Informationstechnologie beim GDV.

Politik erhöht Druck auf Unternehmen

Die Europäische Datenschutzgrundverordnung, die 2018 in Kraft tritt, erhöht immerhin den Druck auf die Krankenhäuser und Arztpraxen, für eine ausreichende IT-Sicherheit zu sorgen. Sie enthält hohe Geldbußen für Unternehmen, deren Daten gestohlen oder missbraucht werden. Bis zu vier Prozent des Jahresumsatzes drohen als Strafe. Doch selbst wenn keine Daten verloren gehen: Die wirtschaftlichen Folgen eines Hackerangriffs und des Ausfall der IT können so gravierend sein, dass sich Arztpraxen, Apotheken und Kliniken schon aus Eigeninteresse um hohe Sicherheitsstandards bemühen sollten.

Gegen die finanziellen Folgen können sich Unternehmen auch mit einer Cyberversicherung absichern. Im Ernstfall hilft der Versicherer mit Experten dabei, den Schaden möglichst gering zu halten. „Wir gehen davon aus, dass für Ärzte und Krankenhäuser die Cyberversicherung schon bald so selbstverständlich sein wird wie die Feuerversicherung oder die Arzthaftpflichtversicherung“, sagt Schmidt. Damit sich besonders die kleinen und mittleren Betriebe, zu denen so gut wie alle 105.000 Arztpraxen gehören dürften, in Zukunft einfacher versichern können, hat der GDV mit seinen Mitgliedsunternehmen unverbindliche Musterbedingungen für eine Cyberversicherung von KMUs entwickelt. Sie sind quasi eine Blaupause, damit die Versicherer eigene Produkte schneller an den Markt bringen können.

Um eine solche Versicherung abzuschließen, müssen Krankenhäuser und Praxen aber grundlegende IT-Sicherheitsstandards einhalten. „Niemand versichert ein unverschlossenes Haus gegen Einbruch”, betont Schmidt. So könnten die Versicherer indirekt mit dafür sorgen, dass sich die IT-Sicherheit im Gesundheitswesen verbessert. Und Patienten mit einem guten Gefühl ins Krankenhaus gehen.