Ausgerechnet aus dem deutschen Gesundheitswesen gibt es in diesen Tagen Positives zu vermelden, und das gerade aus dem Bereich Cybersicherheit, wo die Branche sonst als eine der großen Problemzonen des Landes gilt. So Vieles wurde hier schon begonnen, so Weniges vollendet. Die Mängelliste reicht vom Dauerdrama der elektronischen Patientenakte bis zum Telenotarzt, der bundesweit noch immer nicht übers Versuchsstadium hinausgekommen ist.
Zeitgleich werden die Bedrohungen immer zahlreicher: Laut aktuellen Daten des Sicherheitsdienstleisters Netscout hat sich alleine die Zahl sogenannter Distributed-Denial-of-Service-Angriffe auf die deutsche Gesundheitsbranche 2020 gegenüber 2019 mindestens verfünffacht; von 319 dieser DDoS-Attacken im vergangenen auf schon jetzt mehr als 2000 in diesem Jahr. Zudem wurden zuletzt mehrere Kliniken von Hackerangriffen mit Erpressungssoftware getroffen und teils tagelang lahmgelegt.
Es könnte der vorläufige Höhepunkt bleiben, denn tatsächlich dürfte sich die Cybersicherheit in der Gesundheitsbranche bald merklich verbessern, dem Krankenhauszukunftsgesetz des Bundes sei dank. Ab Anfang Januar 2021 stellt der Bund dafür drei Milliarden Euro bereit, weitere 1,3 Milliarden steuern die Länder bei. Das Werk hat kürzlich den Bundesrat passiert und wer es genau studiert, der ahnt, dass es schon bald zu einer Art Goldstandard der Digitalgesetzgebung avancieren könnte.
15 Prozent der Förderung müssen in IT-Sicherheit fließen
Die wirkliche Neuerung verbirgt sich dabei im Kleingedruckten: Erstmals sind Fördermittel für die Digitalisierung an konkrete Maßnahmen geknüpft, die die Cybersicherheit einer Branche verbessern sollen. Mindestens 15 Prozent jeder beantragten Fördersumme müssen explizit für IT-Sicherheitsprojekte investiert werden. Geld für eine moderne digitale Patientenverwaltung, für die regionale Vernetzung von Kliniken oder für High-Tech-Geräte gibt es also nur, wenn die Krankenhausträger schon beim Förderantrag nachweisen, dass IT-Sicherheit essentieller Bestandteil des Digitalisierungsprojektes ist.
Das interessiert WiWo-Leser heute besonders
So schummels sich Ikea, Karstadt & Co. am Lockdown vorbei
Warum VW-Händler keine E-Autos verkaufen wollen
„Ich dachte, der KGB hätte mich entführt“
Was heute wichtig ist, lesen Sie hier
Solch eine Verpflichtung, Cyberrisiken und ihre Abwehr von Beginn an zu berücksichtigen, ist nicht nur für die Gesetzgebung ein neuer Gedanke. Auch quer durch die Wirtschaft ist das Konzept der sogenannten „Security by design“ noch immer nicht als Grundprinzip in der Digitalisierung etabliert.
Und das, obwohl die Zahl der Attacken und die Schadenssummen nach erfolgreichen Online-Angriffen ungebremst steigen. „Noch immer starten zu viele Firmen IT-Projekte, ohne sich ernsthaft Gedanken über Cybersicherheit zu machen“, kritisiert Thomas Schumacher, Experte für Cybersecurity beim Beratungsunternehmen Accenture, die Naivität vieler Verantwortlicher.
Zumindest in der deutschen Kliniklandschaft wird das neue Krankenhauszukunftsgesetz viele Verantwortlichen zum Umdenken bewegen. Und es ist zu hoffen, dass sich der Pflichtanteil für die Cybersicherheit künftig in jedem digitalen Förderprogramm von Bund oder Ländern fände - und er dann zum Standard in der gesamten Wirtschaft wird.
Mehr zum Thema: Netzwerk der Graubärte: Kliniken, Labors und medizinische Zentren stehen in der Pandemie besonders im Visier von Hackern. Nun will ein globales Bündnis von IT-Experten die Gesundheitsbranche besser schützen.
