• KRITIS-Einstufung: Schwellenwert für Krankenhäuser überprüfen

    Pressemitteilung
    IT-Sicherheit
    01.Juni 2017
    „Krankenhäuser müssen wirksam vor Cyber-Angriffen geschützt werden. Deshalb begrüßen wir den Beschluss der Bundesregierung, im Rahmen des IT-Sicherheitsgesetzes nunmehr auch Festlegungen zum Schutz kritischer Infrastrukturen (KRITIS) im Gesundheitswesen zu treffen. Wir halten es jedoch für problematisch, dass nur 110 Krankenhäuser mit jeweils mehr als 30.000 Behandlungsfällen pro Jahr als hinreichend bedeutsam für die stationäre medizinische Versorgung eingestuft werden. Diese Festlegung und der ihr zugrunde liegende Schwellenwert sind mit der Versorgungsrealität nicht in Einklang zu bringen. Wir halten es deshalb für dringend geboten, die KRITIS-Bemessungsgrenzen für Krankenhäuser kritisch zu überprüfen", sagte Rudolf Henke, 1. Vorsitzender des Marburger Bundes, zu dem gestern vom Bundeskabinett verabschiedeten Entwurf einer Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen (Erste Verordnung zur Änderung der BSI-Kritisverordnung).

    „Wenn die derzeitige Festlegung bedeuten würde, dass die größten Krankenhäuser zuerst ertüchtigt werden sollen, könnten wir damit leben. Es kann aber nicht sein, dass eine Klinik wie das Lukaskrankenhaus in Neuss, das selbst schon einmal Ziel einer Cyber-Attacke war, als weniger schutz- und unterstützungswürdig eingestuft wird, nur weil dort 28.500 Patienten pro Jahr versorgt werden – also 1.500 Patienten weniger, als es der Schwellenwert vorsieht", betonte Henke. Drei Viertel der Krankenhäuser in Deutschland, die unterhalb des Schwellenwerts von 30.000 Behandlungsfällen liegen und insgesamt mehr als 14,2 Millionen Patienten pro Jahr versorgen, würden pauschal als nicht hinreichend bedeutsam für die vollstationäre medizinische Versorgung der Allgemeinheit klassifiziert. Diese Einschätzung benachteilige eine Vielzahl von Krankenhäusern, deren Ausfall erhebliche Versorgungsprobleme nach sich ziehen würde.

    Die von der Verordnung betroffenen Betreiber kritischer Infrastrukturen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Dafür sollen sie entsprechende Mittel der Länder erhalten. Krankenhäuser gehören aufgrund ihrer herausragenden Bedeutung für die medizinische Versorgung der Bevölkerung zu den kritischen Infrastrukturen der Gesellschaft, also zu den Einrichtungen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Sie haben daher eine besondere Verpflichtung, die Verfügbarkeit ihrer Dienstleistungen sicherzustellen.

    Auch in Krankenhäusern werden Prozesse und Strukturen immer stärker und auf vielfältige Weise durch Informationstechnik geprägt. Dies gilt sowohl für die administrativen Abläufe der Einrichtungen als auch für die medizinische Versorgung und Pflege der Patienten. Vor dem Hintergrund der Erfahrungen mit vereinzelten Cyber-Angriffen auf deutsche Krankenhäuser und den jüngsten weltweiten Attacken durch die Erpressungssoftware „WannaCry" hat der Marburger Bund daher auf seiner jüngsten Hauptversammlung in Freiburg ein staatliches Förderprogramm für eine moderne Krankenhaus-IT in Höhe von 10 Milliarden Euro über die nächsten sechs Jahre gefordert.