Zum Inhalt springen

Kliniken vernachlässigen IT-Risikomanagement

Kliniken vernachlässigen IT-Risikomanagement Security Management wird vielerorts noch sträflich vernachlässigt. ­Dabei können entsprechende Lösungen zu Vorteilen im Kampf um die Patienten führen.

Autor:Markus Bereszewski • 22.2.2007 • ca. 4:35 Min

In Deutschland entstehen durch Computerviren und Datenmissbrauch volkswirtschaftliche Gesamtschäden in Höhe von jährlich rund 18 Milliarden Euro, ist der Security-Dienstleister Netsecure sicher. Illegale Zugriffe auf die Informationstechnologie erweisen sich aber nicht nur bei Bankgeschäften oder im elektronischen Handel als besonders sensibel. Auch Einrichtungen im Gesundheitswesen sind auf den Schutz einer lückenlosen IT-Sicherheit angewiesen. Überraschend ist dabei, dass fast zwei von drei Kliniken Mängel in der Informationssicherheit aufweisen. Patientendaten sind gefährdet, klinische Arbeitsabläufe geraten ins Stocken. Durch ein umfassendes IT-Risikomanagement könnten die Ge­sundheitseinrichtungen mögliche Schwachstellen erfassen und angemessen auf Bedrohungen reagieren. Der positive Effekt: Die mit dem Datenmissbrauch verbundenen Haftungsrisiken sinken. Das IT-Risikomanagement wird dabei in das Gesamtrisikomanagement der Klinik integriert. Allerdings räumen bisher nur vier von zehn Krankenhäusern der Einführung eines IT-Risikomanagementsystems die notwendige Priorität ein. Die Prognose für das laufende Jahr ist wenig ermutigend. Denn auch in den kommenden zwölf Monaten beabsichtigen lediglich vier von zehn Klinikentscheidern in eine Anpassung ihrer IT-Systeme zu investieren. Das ist das Ergebnis der aktuellen Studie »Krankenhaus Trend« von der Unternehmensberatung Steria Mummert Consulting und KlinikManagement Aktuell. Die Folgen der Zurückhaltung im IT-Risikomanagement werden von den Klinikentscheidern weitgehend unterschätzt. So sind die Gesundheitseinrichtungen dazu angehalten, die persönlichen Daten der Patienten zu schützen. Denn nur der Patient hat das Recht, über die Preisgabe und Verwendung seiner Informationen gegenüber Dritten zu bestimmen. Verletzt der behandelnde Arzt die ihm standesrechtlich auferlegte Schweigepflicht, droht ihm eine Freiheitsstrafe von bis zu zwei Jahren (§ 203 StGB). Darüber hinaus kommt dem Datenschutz auch im Wettbewerb um die Dienstleistungen am Patienten eine bedeutende Rolle zu. Rund neun von zehn Befragten würden sich bei­spielsweise nicht bei Ärzten oder in Krankenhäusern behandeln lassen, wenn sie das Gefühl haben, dass der korrekte Umgang mit persönlichen Daten nicht gewährleistet werden kann. Trotz möglicher wirtschaftlicher Konsequenzen aus einer unzureichenden Sicherheit der IT investiert derzeit nur rund jedes dritte Krankenhaus in den Schutz von Patientendaten.

Sicherheit braucht Regeln
Mithilfe der sogenannten Business Impact Analyse ist es den Kliniken möglich, kritische Abläufe in der IT sowie dem Kerngeschäft ausfindig zu machen und mögliche Ausfallfolgen zu analysieren. Das Krankenhausmanagement kann auf der Basis der gewonnenen Informationen so die maximale Zeit bestimmen, nach welcher der Betrieb bei einem Ausfall wieder gewährleistet sein soll. Darüber hinaus sind vor allem Information-Security-Management-Systeme (ISMS) geeignet, durch Erhebung und Behandlung aller IT-Risiken ein angemessenes Niveau der Informationssicherheit im Krankenhaus zu definieren, zu erreichen und durch einen kontinuierlichen Verbesserungsprozess (KVP) zu erhalten oder zu steigern. Durch ein entsprechendes Vorgehensmodell sind die Kliniken in der der Lage, sämtliche Risiken, wie beispielsweise unerlaubte Zugriffe auf Patientendaten, zu erfassen. Die Gesundheitseinrichtungen können so auf entsprechende Verstöße gezielter reagieren. Der Schwerpunkt liegt dabei nicht ausschließlich auf der technischen Seite der IT-Sicherheit, sondern auch auf dem verantwortungsvollen Umgang aller Angestellten mit sensiblen Informationen. Dafür legt die Klinikleitung übergreifend gültige Regeln für den Umgang mit den Daten fest. Um das medizinische Personal für das Problem der Informationssicherheit zu sensibilisieren, sollten die Kliniken ihre Mitarbeiter speziell schulen. Ergänzend dazu werden mögliche Strategien festgelegt und die verantwortlichen Kontrollkräfte bestimmt. Als kritischer Erfolgsfaktor beim Management der Informationssicherheit erweist sich dabei vor allem das Aufspüren von Schwachstellen, und den daraus resultierenden IT-Risiken.

Schlechte Kommuni­kation erschwert ­Risikoerfassung
Um mögliche Sicherheitsvorfälle und damit verbundene Schäden frühzeitig im System zu erkennen, muss sich das medizinische Personal untereinander ausführlich austauschen. Der notwen­dige Informationsfluss scheitert jedoch häufig an den kommunikativen Schnittstellen zwischen den Abteilungen. Mehr als die Hälfte der Krankenhäuser be­urteilen die Kommunikation in ihrem Haus als schlecht bis sehr schlecht. Der Grund: Fast drei von vier Topmanagern gehen davon aus, dass das Klinikpersonal mögliche Fehler oder »Beinahe-Fehler« nicht meldet, da sie Sanktionen der Leitungsebene fürchten. Rund die Hälfte gibt dagegen als Ursache an, dass die Kommunikation von der Klinikführung nicht aktiv eingefordert wird. Um die Mitarbeiter anzuhalten, mögliche Schwachstellen zu melden, setzen die Krankenhäuser häufig auf sogenannte »Critical-Incident-Reporting-Systeme«. Sie ermöglichen es den Angestellten, sogenannte »Beinahe-Fehler« (near misses) anonym anzuzeigen. Die wertvollen Informationen, die aus den kritischen Erfahrungen gewonnen werden, können entscheidend dazu beitragen, künftig schwerwiegendere Vorfälle zu vermeiden. Eine besondere Herausforderung in Sachen Datenschutz stellt zudem die gemeinsame Nutzung der Patientendaten durch das medizinische Personal dar. Im Fokus steht dabei die elektronische Patientenakte. Auf dem speziellen Datenträger werden neben den persönlichen Daten des Patienten alle Untersuchungsergebnisse, wie beispielsweise Blutwerte, Röntgenbilder oder EKG-Diagramme, gespeichert. Neben den Krankenhausärzten erhalten auch niedergelassene Mediziner mit Zustimmung der Patienten einen Zugriff auf die Akte. Der positive Effekt: Die Gesundheitsakteure können besser und kostengünstiger bereichsübergreifend zusammenarbeiten. Doppel- sowie Fehlbehandlungen werden reduziert und die Liegezeit der Patienten verkürzt. Doch auch hier ist bei der Umsetzung Vorsicht geboten. Um einem Missbrauch von sensiblen Daten vorzubeugen, sollte dem Zugriff auf die elektronischen Patientenakte ein Berechtigungssystem vorgeschaltet werden, das die Benutzung der Daten kontrollierbar macht. Vor allem User-Management- und Single-Sign-On-Systeme ermöglichen hier eine hohe ­Sicherheit. Der behandelnde Arzt erhält innerhalb des Krankenhauses, nach einmaliger Eingabe eines Passwortes Zugang zu den benötigten Patientendaten und allen notwendigen Anwendungen. Der Zugriff basiert dabei auf exakt ­abgestimmten Berechtigungsstrukturen. So wird das Risiko des Datenmissbrauchs minimiert. Die Voraussetzung für den sicheren und ­effizienten Betrieb der klinikeigenen IT ist darüber hinaus eine genaue und aktuelle Dokumentation der IT-Landschaft. Durch das Erfassen der jeweiligen Systeme und IT-Prozesse sinkt vor allem die Abhängigkeit der Krankenhäuser von einzelnen Know-how-Trägern. So ist es dem ­Klinikpersonal beispielsweise beim Ausfall des elektronischen Personaleinsatzplans leichter möglich, die Missstände ohne den Verantwortlichen für das IT-Verfahren zu beheben. Beim Aufbau eines entsprechenden Systems sollten sich die Klinikentscheider an bestehenden Standards wie der ISO/IEC 27001:2005 oder den IT-Grundschutzkatalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientieren. Etwa 70 Prozent der befragten Fach- und Führungskräfte in den Krankenhäusern sehen im Risikomanagement ­einen entscheidenden Wettbewerbs­vorteil. Denn öffentlichkeitswirksame Schäden durch Missbrauch der Patientendaten beispielsweise, kann zu massivem Image- und damit Umsatzverlust führen. Darüber hinaus sehen vier von zehn Krankenhausentscheidern im Ri­sikomanagement die Möglichkeit wei­tere Kosten einzusparen. Ergänzend dazu liegt den Klinikchefs die Sicherheit des Patienten auf dem Herzen. Mehr als zwei von drei Krankenhäusern wollen sich auf diese Weise gegenüber ihren Wettbewerbern behaupten.

Olaf Janssen, IT-Sicherheitsexperte von der Unternehmensberatung Steria Mummert Consulting

Das könnte Sie auch interessieren
Martin List, CTO & Geschäftsführer Ploon.it Group, Sebastian Säuberlich, Partner PROM12, Jonathan Gorenfloh, Gründer & Geschäftsführer Step und Jan-Michael Lohr, CEO & Geschäftsführer Ploon.it Group (v. lks.)
Systemhausgruppe erweitert Sonnensystem Ploon.it expandiert in Süddeutschland und in der Schweiz
S.Kohlhs, M.Windrath
IT-Sicherheitslösungen auch für KMU Kaspersky und api schließen Distributionspartnerschaft  
BSI-Sicherheitskennzeichen-Übergabe bei Samsung 2025_Bild_Samsung.jpg
Transparente IT-Sicherheit für User Samsung-Geräte erhalten IT-Sicherheitskennzeichen des BSI
Konica Minolta in Langenhagen
Neuer IT-Dienstleister KOMI Group Konica Minolta gliedert IT-Infrastruktur-Business aus
Bundeskabinett_Bild_Bundesregierung_Steffen Kugler.JPG
Mehr Schutz vor Cyberangriffen Bundesregierung bringt neues IT-Sicherheitsgesetz auf den Weg
Webinar: Extreme Platform One
Termin Webinar: Extreme Platform One
Datum: 17.9.2025 - 17.9.2025
Ort: online
Webinar-Thementage der connect professional
Termin Webinar-Thementage der connect professional
Datum: 15.9.2025 - 10.11.2025
Ort: online
IFA Logo
Termin IFA
Datum: 4.9.2025 - 8.9.2025
Ort: Messe Berlin
Mehr passende Artikel
Internet, Anwendungen übers Internet, Datentransfer
Schnelles Netz für alle Standorte Glasfaser: Bundesweite Vermarkter im Tarifcheck
Apple Watch Series 9
Von wegen CO2-neutral Gericht stoppt Apple-Werbung wegen Greenwashing
Messe Berlin, Smart Country Convention 2024
Impulse für Verwaltung und Regionen Smart Country Convention: Digitalisierung im öffentlichen Sektor
Gamescom 2025
Weltgrößte Computer- und Videospielmesse Gamescom verzeichnet kräftiges Besucherplus
PayPal Omaha
Deutsche Banken stoppen Zahlungen Sicherheits-Panne bei Paypal
Weiter zur Startseite