Author:
Pfenninger E. G.,Schmidt S. A.,Rohland C.,Peters S.,McNutt D.,Kaisers U. X.,Königsdorfer M.
Abstract
Zusammenfassung
Hintergrund
Gesundheitssysteme, und somit auch Krankenhäuser, gehören per definitionem zur Kritischen Infrastruktur eines Landes. Vermehrt sind in den vergangenen Jahren Kliniken Ziel von Hackerangriffen mit der Folge einer wochen- bis sogar monatelangen Beeinträchtigung ihrer Handlungsfähigkeit geworden. Gemäß der „Nationalen Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie)“ sind Kliniken gesetzlich verpflichtet, dagegen Vorsorge zu treffen.
Fragestellung
Die vorgelegte Studie beschreibt die Planung, Durchführung und Ergebnisse einer Stabsrahmenübung an einem Großklinikum, die den Zeitraum der ersten 3 Tage bei einem hackerbedingten kompletten IT-Ausfall simulierte.
Material und Methoden
In einer 8‑monatigen Evaluationsphase wurden alle IT-abhängigen Prozesse im Klinikum untersucht sowie, wenn notwendig, papierbasierte Rückfalllösungen generiert und bereichsspezifische Notfallpläne fixiert. So genannte Dienstleister, wie Apotheke, Klinische Chemie, Radiologie und Rechenzentrum, beübten einen 72-stündigen IT-Ausfall; die Klinikeinsatzleitung (KEL) steuerte im selben Zeitraum in einer Stabsübung den Ablauf. Die Teilnehmer bewerteten die Übung nach ihrem Abschluss mithilfe eines Fragebogens. Daraus sowie anhand der Vor- und Nachbereitung wurden eine Resilienzmatrix entwickelt sowie ein kurz-, mittel- und langfristiger Handlungsbedarf definiert.
Ergebnisse
Die Teilnehmer bewerteten die Übung mit 85 % als sinnvoll, hatten in 97 % der Fälle zur Durchführung eine ausreichende Unterstützung und in 75 % der Fälle genügend Informationen erhalten. Dagegen fühlten sie sich persönlich und die Klinik insgesamt nur in 34 % der Fälle genügend auf einen IT-Komplettausfall vorbereitet. Die IT-ausfallsbezogenen bereichsspezifischen Notfallpläne waren vor der Übung am Klinikum in 1,7 % der Einheiten vorhanden, zur und nach der Übung in 86,7 %. Die höchste Resilienz gegenüber einem IT-Komplettausfall zeigten Einheiten, die noch auf Papierbasis arbeiteten, die geringste naturgemäß das Rechenzentrum mit komplettem Stillstand.
Schlussfolgerung
Die Evaluationsphase mit der Generierung von entsprechenden Rückfallebenen ist die wichtigste Komponente in der Stärkung der Resilienz gegenüber einem Hackerangriff auf die Klinik-IT. Diese sogfältige Vorbereitung vermag die fatalen Auswirkungen auf Patienten, Personal und die gesamte Klinik zu minimieren.
Publisher
Springer Science and Business Media LLC
Subject
Anesthesiology and Pain Medicine
Reference31 articles.
1. Deutsche Krankenhausgesellschaft Krankenhäuser als kritische Infrastrukturen – Umsetzungshinweise der Deutschen Krankenhausgesellschaft. https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT-Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/2017_12_19_483_ITSiG_Kritis_Umsetzungshinweise_BSIG_v0.9.pdf. Zugegriffen: 23. Juni 2023
2. Bundesamt für Sicherheit in der Informationstechnik https://www.bsi.bund.de/DE/Home/home_node.html. Zugegriffen: 23. Juni 2023
3. Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (2. ITSiG). https://www.buzer.de/gesetz/14639/index.htm. Zugegriffen: 23. Juni 2023
4. BSI Die Lage der IT-Sicherheit in Deutschland 2021. https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html. Zugegriffen: 31. Jan. 2022
5. BSI Die Lage der I T‑Sicherheit in Deutschland 2022. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2022.pdf?__blob=publicationFile&v=6. Zugegriffen: 23. Juni 2023