Cyberresilienz im Gesundheitswesen: Europa ringt mit der Umsetzung<\/p>\n
Cyberangriffe auf Krankenh\u00e4user und andere Gesundheitseinrichtungen sind inzwischen an der Tagesordnung \u2013 die Digitalisierung des Gesundheitswesens<\/a> schafft neue Angriffsfl\u00e4chen. Die Angriffe treffen Versorgung, Verwaltung und im Zweifel auch die Patientensicherheit. Auf dem Panel \u201eBuilding Cyber-Resilient Health Systems: Nordic and German Strategies in Practice\u201c diskutierten Dr. P\u00e4ivi Sillanaukee (Finnland), S\u00f8ren Bank Greenfield (D\u00e4nemark), Just Ebbesen (Norwegen) und Stephan Krumm (Deutschland) unter der Moderation von Beatrice Kluge (Gematik), warum der Abstand zwischen Strategie und Wirklichkeit im Gesundheitswesen noch immer gro\u00df ist.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Strategien gibt es genug \u2013 es fehlt an der Umsetzung<\/p>\n Gleich zu Beginn wurde ein Grundproblem angesprochen: Auf europ\u00e4ischer und nationaler Ebene gibt es inzwischen zahlreiche Strategien, Vorschriften und politische Leitlinien. In der Praxis fehlt jedoch oft die \u00dcbersetzung in handhabbare Prozesse.<\/p>\n S\u00f8ren Bank Greenfield, Leiter der Abteilung f\u00fcr Cyber- und Informationssicherheit bei der d\u00e4nischen Health Data Authority, verdeutlichte, dass Kooperation zwar unverzichtbar sei, \u201egeteilte Verantwortung\u201c allein in der Praxis aber nicht ausreiche. Entscheidend seien klar definierte Zust\u00e4ndigkeiten. Das eigentliche Defizit liege aus seiner Sicht darin, \u201edass Politik h\u00e4ufig Regeln formuliert, aber nicht ausreichend zeigt, wie diese in realen Organisationen umgesetzt werden sollen.\u201c<\/p>\n Greenfield pl\u00e4dierte deshalb daf\u00fcr, politische Ma\u00dfnahmen immer mit konkreten Leitlinien, Pilotans\u00e4tzen und Umsetzungswerkzeugen zu verbinden. Vorschriften m\u00fcssten parallel zur Praxis gedacht werden, nicht von ihr losgel\u00f6st.<\/p>\n Mensch bleibt gr\u00f6\u00dfte Schwachstelle<\/p>\n Dr. P\u00e4ivi Sillanaukee, Sonderbeauftragte f\u00fcr Gesundheit und Wohlbefinden im finnischen Ministerium f\u00fcr Soziales und Gesundheit, lenkte den Blick auf den menschlichen Faktor. Viele Sicherheitsvorf\u00e4lle h\u00e4tten ihren Ursprung nicht in der Technik selbst, sondern in Fehlern bei Anwendung, Organisation und Aufsicht. Standards und Regeln seien wichtig, m\u00fcssten aber verstanden, einge\u00fcbt und kontrolliert werden.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Als Beispiel verwies Sillanaukee auf den bekannten finnischen Vastaamo-Datenskandal aus dem Jahr 2020, bei dem Patientendaten eines privaten Psychotherapieanbieters im Netz landeten<\/a>. Das Problem habe damals nicht in fehlender Regulierung gelegen, sondern darin, dass bestehende Vorgaben nicht umgesetzt worden seien. Daraus leitete sie die Notwendigkeit ab, neben Bewusstseinsbildung und \u00dcbungen auch die Aufsicht \u00fcber die tats\u00e4chliche Implementierung von Sicherheitsma\u00dfnahmen zu st\u00e4rken.<\/p>\n Kliniken sitzen im Dilemma zwischen Schutz und Datennutzung<\/p>\n Die Krankenhausperspektive brachte Just Ebbesen, Sonderbeauftragter f\u00fcr Gesundheit und zuk\u00fcnftige Krankenh\u00e4user am Universit\u00e4tsklinikum Oslo \/ Norway Health Tech, in die Diskussion ein. Er arbeitet an der Schnittstelle von k\u00fcnftiger Klinikorganisation, neuen Versorgungsmodellen, Digitalisierung und Industriekooperation. Aus seiner Sicht stehen Kliniken vor einem strukturellen Zielkonflikt: \u201eEinerseits m\u00fcssen sie Systeme absichern, andererseits sind sie zunehmend auf Datenintegration, externe Ger\u00e4te, Dienstleister und digitale Schnittstellen angewiesen\u201c.<\/p>\n Gerade in spezialisierten Gesundheitseinrichtungen fallen heute enorme Datenmengen an. Wie diese Daten sicher genutzt werden k\u00f6nnen, ohne die Privatsph\u00e4re von Patientinnen und Patienten zu gef\u00e4hrden, erforscht etwa das Projekt AnoMed \u2013 mit dem Ziel, Gesundheitsdaten f\u00fcr Forschung und KI-Entwicklung nutzbar zu machen<\/a>. Gleichzeitig sind Prim\u00e4rversorgung, Spezialversorgung und externe Datenquellen vielerorts noch unzureichend miteinander verbunden. Das erschwert nicht nur die Versorgung, sondern erh\u00f6ht auch die Komplexit\u00e4t bei der Absicherung.<\/p>\n Deutschland: Regulierung, F\u00f6rdermittel und Monitoring<\/p>\n Stephan Krumm, Fachreferent f\u00fcr Cybersicherheit und Interoperabilit\u00e4t beim Bundesministerium f\u00fcr Gesundheit, schilderte die deutsche Perspektive. F\u00fcr Krankenh\u00e4user gebe es bereits seit mehreren Jahren verbindliche Anforderungen an die Cybersicherheit. Die Herausforderung bestehe nun darin, sichtbarer zu machen, wo in der Praxis noch die gr\u00f6\u00dften L\u00fccken liegen.<\/p>\n Zu diesen Baustellen geh\u00f6rten unter anderem Altsysteme, fehlende Netzwerksegmentierung und der sehr unterschiedliche Reifegrad einzelner Einrichtungen. Krumm verwies in diesem Zusammenhang auf das Krankenhauszukunftsprogramm und den DigitalRadar<\/a>, mit dem auch Fortschritte im Bereich der digitalen Reife und Cybersicherheit beobachtet werden.<\/p>\n Regulierung bleibt reaktiv<\/p>\n