Nachbericht zum „3. Fachdialog Krankenhaus-IT und Medizintechnik“: Landesregierung muss die Investitionsmittel erhöhen, um mehr Digitalisierung und IT-Sicherheit zu ermöglichen

In der Eröffnungsrede zum „3. Fachdialog Krankenhaus-IT und Medizintechnik“ am 12.01.2017 im Wissenschaftspark Gelsenkirchen machte Burkhard Fischer, KGNW-Referatsleiter für Qualitätsmanagement, IT und Datenanalyse, deutlich, dass Krankenhäuser essentiell von einer funktionierenden IT und Medizintechnik abhängig sind. Dies sei durch die Bundesregierung mit Verabschiedung des IT-Sicherheitsgesetzes im Jahre 2015 und der Einstufung von Krankenhäusern als kritische Infrastruktur für die Versorgung der Bevölkerung nachhaltig unterstrichen worden.

„Patientendaten, die während eines Krankenhausaufenthaltes entstehen, sind hochsensibel und schützenswert. Aus diesem Grunde ist IT-Sicherheit im Krankenhaus ein Schlüssel für die Sicherstellung der Patientenversorgung. Die KGNW hat in der Landtagsanhörung am 1. Juni 2016 zu den Cyberangriffen auf NRW-Krankenhäuser deutlich gemacht, dass in der IT viele Chancen zum Wohle der Patientinnen und Patienten, sowie unserer Mitarbeiterinnen und Mitarbeiter liegen, wir aber auch in moderne Systeme und geschultes Personal investieren müssen, um die gewünschte Sicherheit der Prozesse und Daten auf Dauer gewährleisten und weiter ausbauen zu können. Die Landesregierung muss die Investitionsmittel erhöhen, um mehr Digitalisierung und IT-Sicherheit zu ermöglichen“, so Fischer.

v.l.n.r.: Auf dem Podium diskutierten Burkhard Fischer (KGNW-Referatsleiter für Qualitätsmanagement, IT und Datenanalyse), Horst Imdahl (Geschäftsführer der Städtischen Kliniken Mönchengladbach), Dr. Silke Haferkamp (stellv. Leiterin des Geschäftsbereichs IT am Universitätsklinikum Aachen), Dr. Ruth Hecker (Leiterin Qualitäts- management am Universitätsklinikum Essen und stellvertretende. Vorsitzende des Aktionsbündnisses Patientensicherheit) und Dr. Bernd Schütze (Senior Experte Medical Data Security bei Telekom Healthcare).

„Wir hatten in der Vergangenheit trotz ISO 27001-Zertifizierung eine Cyberattacke. Es wird das Management der IT-Sicherheit zertifiziert und nicht die Sicherheit selbst. Ein ISO-Zertifikat ist kein Rundumsorglospaket, aber ein Weg zu mehr IT-Sicherheit. Es schafft ein Bewusstsein bei allen Mitarbeitern, es werden Risiken identifiziert, und es ist dann eine kaufmännische Entscheidung der Geschäftsführung, ob die von der IT-Abteilung vorgeschlagenen Maßnahmen umgesetzt werden. Gewissen Risiken muss man natürlich alleine aus Kostengründen akzeptieren“, erklärte Dr. Silke Haferkamp, stellv. Leiterin des Geschäftsbereichs IT am Universitätsklinikum Aachen.

Auch Horst Imdahl, Geschäftsführer der Städtischen Kliniken Mönchengladbach sieht in der IT-Sicherheit eine zentrale Managementaufgabe der Krankenhausleitung. „Die Vernachlässigung von IT-Sicherheit gefährdet die Betriebsfähigkeit des ganzen Hauses. Sparsamkeit an dieser Stelle ist ein großer Fehler, da die Zahl und Qualität der Angriffe steigt. Krankenhäuser müssen den Weg zur digitalen Klinik gehen“, bekräftige der erfahrene Krankenhausmanager. Nach den Cyber-Attacken auf das Lukaskrankenhaus in Neuss habe sein Haus eine eSecurity-Versicherung über 1.000.000 Euro Schadenssumme abgeschlossen, die für Schäden bis 30 Tage nach dem Angriff aufkommt und im Jahr rund 20.000 Euro kostet.

„Es gibt keine 100-prozentige IT-Sicherheit, aber wenn der Gesetzgeber einen hohen Standard bei IT-Sicherheit und Datenschutz etablieren will, müssen den Krankenhäusern auch die dafür notwendigen Fördermittel bereitgestellt werden“, forderte Dr. Bernd Schütze, Senior Experte Medical Data Security bei Telekom Healthcare.

Dr. Ruth Hecker, Leiterin Qualitätsmanagement am Universitätsklinikum Essen und stellvertretende. Vorsitzende des Aktionsbündnisses Patientensicherheit (APS), berichtet: „Leider entstehen Behandlungsfehler auch durch mangelnde Datenqualität und Anwenderfehler bei der Nutzung IT und Medizinprodukten. Dennoch befürworten laut einer FORSA-Umfrage 75 Prozent der Patienten die Digitalisierung des Gesundheitswesens. Patienten wünschen sich die konsequente Umsetzung der elektronischen Patientenakte, um eine sicherer Behandlung zu ermöglichen und um bei Streitigkeiten wegen vermuteten Behandlungsfehlern ihre vollständigen Daten einfacher verfügbar zu haben. Wir als Aktionsbündnis Patientensicherheit würden dies ebenfalls ausdrücklich begrüßen und fordern daher ebenfalls die notwendigen Finanzmittel für IT-Sicherheit und Datenschutz in unseren Krankenhäusern.“
Frau Dr. Haferkamp gibt zu bedenken, dass es aktuell oftmals aufgrund fehlender Prozesse und Möglichkeiten der Software noch nicht möglich sei, den Patienten alle ihre Daten auf Knopfdruck zur Verfügung stellen und diese meist noch manuell zusammengestellt werden müssten. Es müsse auch noch geklärt werden, was genau der richtige Datensatz für den Patienten – auch vor dem Hintergrund von gewünschter Datensparsamkeit – umfasse.

Werner Dohr, Leiter des Kompetenzzentrums Cybercrime beim Landeskriminalamt NRW, berichtete über seine Erfahrungen im Rahmen der Cyberattacken auf das Lukaskrankenhaus in Neuss am 10.02.2016 und weitere Krankenhäuser in den folgenden Tagen. Sein Team war ab dem 11.02.2016 quasi rund um die Uhr im Neusser Krankenhaus im Einsatz und bei allen Besprechung dabei. Es sei kein zielgerichteter Angriff auf Krankenhäuser gewesen. In NRW waren drei Kliniken auf unterschiedliche Art betroffen. „Im Angriffsfall stehen die Kliniken und auch andere Unternehmen immer im Zwiespalt zwischen Produktivität herstellen und Sicherheit, aber im Lukaskrankenhaus wäre auch das Backup direkt wieder verschlüsselt worden. Wäre man auf die Erpressung eingegangen, wäre man vielleicht nochmal erpresst worden“, erklärte der Spezialist des LKA.

Als Tipps für die Krankenhäuser empfiehlt Dohr: „Führen Sie alle Software-Updates durch und etablieren Sie ein durchgreifendes Rollen- und Rechtekonzept vor allem im Hinblick auf Passwörter. Das Wichtigste bleibt aber das Bewusstsein bei den Mitarbeitern. Die größte Schwachstelle bleibt der Anwender. Fast nie sind technische Ursachen schuld.“ Ein Testszenario einer Cyberattacke sollte eine Organisation ruhig 2 bis 3 Tage richtig unter Stress setze, aber das helfe im Ernstfall sehr.

Frank Kriege, Abteilungsleiter Medizin- und Informationstechnik der Contilia-Krankenhausgruppe in Essen, sieht in der menschlichen Komponente und der zunehmenden „digitalen Sorglosigkeit“ ebenfalls das größte IT-Sicherheitsrisiko. Mitarbeiter sollten auch skeptisch sein, wenn jemand vielleicht unter falscher Identität um Patientendaten bittet. Systematische und dokumentierte Risikoaudits seien ein wichtiges Instrument um Risiken zu identifizieren und zu minimieren. Sein wenig optimistisches Fazit lautete dennoch, dass draußen ein Cyberkrieg tobe und Krankenhäuser dabei Kollateralschäden seien.

Der „3. Fachdialog Krankenhaus-IT und Medizintechnik“ der KGNW sollte sensibilisieren und Best-Practice-Beispiele liefern. Dieses Ziel wurde nach Aussagen der rund 100 Teilnehmer im Wissenschaftspark Gelsenkirchen erreicht.

Auf Einladung der Krankenhausgesellschaft Nordrhein-Westfalen diskutierten Experten und Krankenhaus-Mitarbeiter auf Einladung der über „Datenschutz und IT-Sicherheit“ sowie über aktuelle Herausforderungen in der Medizintechnik. Auf dem Programm standen Impulsvorträge, unter anderem vom Landeskriminalamt NRW, Workshops zu den Themen „Digitalisierung über die Sektorengrenze“ hinaus und „Herausforderungen der Medizintechnik“. Die Teilnehmer erhielten Tipps zum Schutz vor Cyberattacken, Empfehlungen zur Umsetzung des IT-Sicherheitsgesetzes in Krankenhäusern und zur Gestaltung von Verträgen zur Auftragsdatenverarbeitung. Ebenfalls diskutiert wurde der Umgang mit Patientendaten, die während eines Krankenhausaufenthaltes entstehen. Weitere Themen waren der Medikationsplan und das Überleitungsmanagement an der Sektorengrenze sowie innovative E-Health-Projekte in NRW. Abschließend fanden Herausforderungen in der Medizintechnik über die Darstellung der Anforderungen an Dokumentation von Software als Medizinprodukt und der Umsetzung der neuen Medizinproduktebetreiberverordnung am Beispiel von patienteneigenen Medizinprodukten Einzug in das Vortragsprogramm.