IT-Sicherheit: Der französische Weg

Die Digitalisierung der deutschen Krankenhäuser kommt nur schleppend voran. Es fehlen IT-Fachkräfte und das Auslagern von Infrastrukturen und Anwendungen scheitert an rechtlichen Hürden. Wie es besser geht, zeigt ein Blick nach Frankreich, das IT-Sicherheit in den Mittelpunkt der Krankenhausdigitalisierung gestellt hat.

Baustellen bei der Digitalisierung von Krankenhäusern gibt es in Deutschland mehr als genug. Oft tun sich die Häuser schon schwer damit, die ganz normalen Abläufe im Arbeitsalltag zu digitalisieren. Denn ihre IT-Infrastrukturen und Anwendungslandschaften sind veraltet. Und es fehlt sowohl an Personal als auch an finanziellen Mitteln für die Modernisierung. Das Krankenhauszukunftsgesetz (KHZG) sollte das ändern. Doch die Fördergelder waren lediglich ein Tropfen auf den heißen Stein und reichten bei weitem nicht aus, um die Digitalisierungsdefizite zu beseitigen. Zudem vermochte das Gesetz nicht das Problem zu lösen, dass Krankenhäuser im Kampf um begehrte IT-Fachkräfte kaum mit Unternehmen aus der Industrie oder ITK-Branche mithalten können.

IT-Sicherheit in Deutschland nur unzureichend

Das hat dazu geführt, dass die deutschen Krankenhäuser mit der Digitalisierung nur langsam vorankommen und ihre IT-Infrastrukturen höchst verwundbar bleiben. Zwar sind sie als KRITIS-Betriebe und nach dem Sozialgesetzbuch verpflichtet, IT-Systeme und Patienteninformationen nach dem Stand der Technik zu schützen. Tatsächlich gelingt ihnen das aber nur unzureichend, wie erfolgreiche Cyber-Attacken immer wieder belegen. Besonders schwer erwischte es 2022 das Klinikum Lippe und 2020 die Uniklinik Düsseldorf. Letztere war dabei sogar nur ein Kollateralschaden, da es die Angreifer eigentlich auf die Universität selbst abgesehen hatten.

Einer Untersuchung von Sicherheitsexperten zufolge weist rund ein Drittel der IT-Systeme und Online-Services von deutschen Krankenhäusern mehr oder weniger kritische Schwachstellen auf. Doch nicht nur das macht sie für Cyberkriminelle zu attraktiven Zielen. Sondern auch das enorme Erpressungspotenzial, das sie als Betreiber kritischer Infrastrukturen, die mit äußerst sensiblen Daten arbeiten, bieten.

Hilft von externen Partnern

Lösen ließe sich das Digitalisierungsdilemma, indem Krankenhäuser ihre IT auslagern. Dann könnten sich ihre internen IT-Teams auf die Einführung moderner Technologien konzentrieren, statt den Großteil ihrer Ressourcen für den Betrieb grundlegender Infrastrukturen aufzuwenden. Sie könnten das Krankenhaus viel besser bei seinen Kernkompetenzen – der Diagnose und Behandlung von Erkrankungen – unterstützen. Etwa durch neue Anwendungen für Telemedizin oder KI bei der Bildanalyse von diagnostischen Aufnahmen, während sich spezialisierte Dienstleister um die Verwaltung der IT-Systeme, Anwendungen und Daten kümmern.

In der Praxis ist das jedoch gar nicht so einfach, da komplexe rechtliche Regelungen zum Datenschutz das IT-Outsourcing erschweren. So gelten Gesundheitsdaten laut der DSGVO zu den besonders schützenswerten Daten, die nur von Fachpersonal beziehungsweise unter dessen Aufsicht verarbeitet werden dürfen. Oder von Personen, die einer Geheimhaltungspflicht unterliegen. Einige Daten fallen zudem unter die ärztliche Schweigepflicht und dürfen nur unter ganz bestimmten Voraussetzungen weitergegeben werden. Bei Verstößen drohen Geld- oder sogar Freiheitsstrafen. Überdies sind Patientenakten im Krankenhaus vor einer Beschlagnahmung durch Strafverfolgungsbehörden geschützt, bei einem Dienstleister hingegen nicht in jedem Fall.

Die vielen Regelungen, die sich über das Datenschutz-, Straf-, Zivil- und Berufsrecht erstrecken, sorgen dafür, dass das Auslagern der Krankenhaus-IT nur mit hohem organisatorischem Aufwand möglich ist. Um diesen Aufwand sowie rechtliche Risiken zu vermeiden, verzichten Krankenhäuser in der Regel darauf.

Ohne IT-Sicherheit kein Datenschutz

Nun ist der Schutz von persönlichen Daten, Gesundheitsinformationen und Patientengeheimnissen fraglos ein hohes Gut. Doch können Krankenhäuser diesen Schutz nicht gewährleisten, weil sie damit überfordert sind, die dafür benötigten IT-Infrastrukturen sicher zu betreiben. Der deutsche Weg, den Datenschutz über die IT-Sicherheit zu stellen, schwächt letztlich beides. Zwar hat mit Bayern immerhin ein erstes Bundesland sein Datenschutzgesetz angepasst, um das Auslagern der Krankenhaus-IT zu erleichtern. Wirklich Schwung hat das allerdings nicht in die Angelegenheit gebracht. Wohl auch, weil verbindliche Zertifizierungen für entsprechende Dienstleister, Best Practices für Krankenhäuser sowie Klarstellungen zu rechtlichen Detailfragen weiterhin fehlen.

Dass es auch anders geht, macht derzeit Frankreich vor, das den Fokus inzwischen auf die IT-Sicherheit gelegt hat. Wollen Krankenhäuser oder Unternehmen dort die sensiblen Daten von Patienten speichern und verarbeiten, benötigen sie eine Zertifizierung nach ISO 27001. Sie müssen also nachweisen, dass sie hohe Sicherheitsanforderungen erfüllen können. Dazu gibt es verschiedene Auflagen für das Beauftragen von IT-Dienstleistern, die sicherstellen sollen, dass Datenschutz und Datensouveränität gewährleistet bleiben. Sie verhindern, dass Daten missbraucht werden oder bei ausländischen Cloud-Providern landen.

Damit haben französische Krankenhäuser künftig die Wahl. Sie können ihre IT selbst betreiben, wenn sie das in einer sicheren Art und Weise tun. Sie können diese Aufgabe aber auch einem IT-Dienstleister überlassen, wenn sie nicht in der Lage sind, die Sicherheitsvorgaben einzuhalten, oder es ihnen ganz allgemein an IT-Personal und IT-Budgets fehlt. Denn klar ist auch: Große Infrastrukturen lassen sich viel effizienter verwalten als kleine IT-Umgebungen. Es ist daher auch gar nicht sinnvoll, dass sich jedes noch so kleine Krankenhaus selbst um seine IT kümmert.

Unikliniken als Service Provider

Derzeit laufen in Frankreich die Zertifizierungen für die IT-Dienstleister. Zu diesen zählen nicht nur klassische Systemhäuser, die bereits die IT zahlreicher Unternehmen aus anderen Branchen verwalten. Sondern auch spezialisierte Anbieter wie Philips, das für den überwiegenden Teil der französischen Kliniken das Bilddatenarchivierungs- und Kommunikationssystem (PACS) bereitstellt, oder auch Unikliniken, etwa in Bordeaux, Nantes und Montpellier. Diese entwickeln sich zu Service Providern für Krankenhäuser in ihrer Region weiter und profitieren dabei natürlich auch von den Skaleneffekten großer IT-Infrastrukturen.

Ein solches Modell könnte auch in Deutschland mit seinen vielen erfahrenen Systemhäusern gut funktionieren. Darüber hinaus haben auch einige Unikliniken sowie Krankenhausketten, die ohnehin schon als IT-Dienstleister für ihre einzelnen Häuser auftreten, Bereitschaft signalisiert. Es liegt damit nun vor allem an den Gesetzgebern in Bund und Ländern, die Rahmenbedingungen dafür zu schaffen, dass Krankenhäuser externe Anbieter datenschutzkonform und rechtssicher bei der IT-Verwaltung hinzuziehen können. Andernfalls drohen die deutschen Krankenhäuser bei der Digitalisierung noch weiter zurückzufallen.

Der Autor: Marten Neubauer ist Field Director Healthcare bei Dell Technologies in Deutschland