KHZG, ePA & Co.: Anschub für die Digitalisierung im Gesundheitswesen

Die Pandemie hat gezeigt: Das Gesundheitswesen benötigt dringend ein digitales Update.  Mit elektronischer Patientenakte und KHZG-Milliardenspritze soll jetzt ein neues Zeitalter eingeläutet werden. Im Zentrum steht dabei die IT-Sicherheit.

Haben Sie schon von der ePA gehört? Vielleicht denken Sie bei der Abkürzung noch an die „Einmannpackung”, dem Verpflegungspaket der Bundeswehr. Nein, weit gefehlt. Die elektronische Patientenakte, kurz ePA, ist schon seit Beginn des Jahres für alle gesetzlich Krankenversicherten verfügbar. Darin werden nun die Daten zu Vorerkrankungen, Medikamenten oder Blutwerten, die vorher verteilt in den Aktenordnern der Arztpraxen lagen, gebündelt.

Per App haben wir die Entscheidung und Kontrolle darüber, welche dieser sensiblen Informationen wir mit wem teilen wollen oder welche gelöscht werden sollten. Beispielsweise braucht die Augenärztin nicht zwingend die Einblicke des Therapeuten.

Auch wenn noch einiges passieren muss, bis die ePA vollständig eingeführt ist und die Nutzung auch für technische Laien vereinfacht wird: Insgesamt ist die ePA ein längst überfälliger Schritt und ein zentraler Meilenstein bei  der Digitalisierung im Gesundheitswesen. Gleichzeitig sieht man an diesem Beispiel, wie zentral das Thema Sicherheit ist.

Denn je mehr wir vernetzen, desto größer werden die Angriffsflächen für Cyberkriminelle. Nicht nur unsere wertvollen persönlichen Daten sind beliebt. Cyberattacken auf Einrichtungen im Gesundheitswesen nehmen zu, weil sich Erpresser Lösegeld erhoffen und sie leider oft zu leichtes Spiel haben.

Die Folgen können verheerend sein und Menschenleben gefährden oder sogar kosten. Nach einem Hackerangriff auf das Uniklinikum Düsseldorf im September 2021 war die Patientenaufnahme nicht mehr möglich. Eine Patientin konnte nicht rechtzeitig behandelt werden und verstarb.

Gesundheitswesen muss digital aufholen

Dass Digitalisierung die Qualität der Patientenversorgung verbessert, ist unumstritten. Dass diesbezüglich in Deutschland erheblicher Nachholbedarf besteht, leider auch.  Wir erinnern uns alle an die Faxgeräte der Gesundheitsämter, die für erhebliche Verzögerungen durch die händische Weiterverarbeitung sorgten.

Aktuelle Studien offenbaren auch bei Kliniken einen erheblichen Nachholbedarf. Beim Benchmarking der Krankenhaus-IT im internationalen Vergleich 2019 landete Deutschland abgeschlagen mit einem Wert von 2,3 (von 7) unter 40 % des europäischen Durchschnitts. Die USA (5,3) oder Türkei (3,8) schnitt deutlich besser ab. Auch eine jüngere Studie verglich den digitalen Reifegrad deutscher Kliniken und zieht das Fazit: „Der Datenschutz glänzt, aber die Patientenzentrierung konvergiert gegen null.“

Gamechanger KHZG plus Zukunftsfonds?

Das soll sich nun möglichst schnell ändern. Der Gesetzgeber macht Ernst und nimmt Geld in die Hand. In den letzten Jahren wurden mehrere Gesetze auf den Weg gebracht, um den Digitalisierungsgrad im Gesundheitswesen zu erhöhen: das Terminservice- und Versorgungsgesetz (TSVG), das Gesetz für mehr Sicherheit in der Arzneimittelversorgung (GSAV), das digitale-Versorgung-Gesetz (DVG) oder das Patientendaten-Schutz-Gesetz (PDSG).

Mit dem Krankenhauszukunftsgesetz (KHZG) sollen gezielt notwendige Investitionen gefördert werden. Hierfür wurde der Krankenhauszukunftsfonds (KHZF) errichtet. Dieser umfasst ein Fördervolumen von bis zu 4,3 Milliarden Euro, das von Bund (70 Prozent) und Ländern (30 Prozent) bereitgestellt wird. Mit dieser Finanzspritze soll der digitale Wandel angeschoben werden. Wer eine Förderung bekommen will, muss zahlreiche MUSS-Kriterien beachten. Dazu zählt auch eine anteilige Investition in die IT-Sicherheit.

 

Interview mit Bernd Maier

Bernd Maier von Thinking Objects

Bernd Maier, Sales & Account Manager bei Thinking Objects, unterstützt als zertifizierter Berater Krankenhäuser beim Thema IT-Sicherheit.

HörtippNeue Ansätze für die IT-Sicherheit im Krankenhaus„: Bernd Maier war gemeinsam mit Markus Gringel von SECUDOS GmbH zu Gast im Podcast von Insider Research.


Warum wurde das Krankenhauszukunftsgesetz (KHZG) beschlossen?

Vorhaben wie die Einführung der elektronischen Patientenakte, mit der die Weitergabe von hochsensiblen Daten vereinheitlicht und beschleunigt wird, drohen vom geringen Digitalisierungsgrad in Deutschland ausgebremst zu werden. Es gibt hier zudem erhebliche Unterschiede zwischen hoch entwickelten Unikliniken und kleineren Kliniken, die noch kaum digitalisiert sind.

Um jetzt nicht nur Sanktionen, sondern finanzielle Anreize für die wirtschaftlich oft defizitären Einrichtungen zu schaffen, wurde das KHZG beschlossen und ein Förderfonds eingerichtet. Bund und Länder stellen einen Gesamtbetrag von 4,3 Milliarden Euro zur Verfügung.

 

Was wird gefördert und welche Rolle spielt die IT-Sicherheit?

Insgesamt gibt es elf sogenannte Fördertatbestände, die sich entlang der „patient journey“ orientieren. Darunter fällt unter anderem das Patientenportal oder Medikationsmanagement. Einige der Punkte unterliegen besonderen Vorgaben.

Eine zentrale Rolle spielt die IT-Sicherheit (Fördertatbestand 10). Denn Investitionen in die Informationssicherheit müssen 15 Prozent der beantragten Fördermittel ausmachen. Das ist ein klares Bekenntnis.

Ziel ist es, dass alle geförderten Maßnahmen bereits zu Beginn den Anforderungen und Standards der IT- und Cybersicherheit entsprechen. Gefördert werden erforderliche technische und informationstechnische Maßnahmen, einschließlich der Kosten für die Beratung bei der Planung.

Themenseite IT-Sicherheit im Gesundheitswesen

Welche Unterstützung  benötigen die Krankenhäuser?

Für die Antragstellung müssen Kliniken vom Bundesamt für Soziale Sicherung (BAS) zertifizierte Dienstleister ins Boot holen. Wir begleiten Kunden dann bei der Stellung des Antrags und verfügen über das notwendige Wissen, um bestätigen zu können, dass die Lösungen auch die IT-Sicherheitsvorgaben erfüllen.

Hinzu kommt: Für das Vergabeverfahren gibt es keine Ausnahmen. In der öffentlichen Ausschreibung muss ein Preis genannt werden, der schon vorher im Förderantrag genannt werden muss. Immer wieder kommen Kliniken auf uns zu, um sich hierbei Rat zu holen. Als erfahrener Dienstleister können wir den Umfang realistisch einschätzen.

 

Was müssen Krankenhäuser tun beim Thema IT-Sicherheit?

Gesundheit ist Vertrauenssache. Und grundsätzlich gilt: Je mehr digitalisiert werden soll, umso umfassender müssen die Maßnahmen ausfallen. An einem soliden Grundschutz kommt aber niemand vorbei. Der Gesetzgeber nimmt vor allem große Häuser mit über 30.000 vollstationären Fällen wie zum Beispiel Unikliniken in die Pflicht. Als sogenannte kritische Infrastrukturen (KRITIS) sind diese vorrangig dazu verpflichtet, ein ISMS einzuführen, das prozessuale, organisatorische und infrastrukturelle Anforderungen in den Blick nimmt.

Sichere IT-Systeme wie auch die darin verarbeiteten Informationen in der Gesundheitsversorgung sind von höchster Bedeutung. Die störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse müssen sichergestellt sein. Auch ein sicherer Datenaustausch gehört dazu.

Leitlinie für die Cybersicherheit bleibt die ISO 27001 und der Branchenspezifische Sicherheitsstandard (B3S). Je nach Reifegrad kommen unterschiedliche Lösungen infrage. Will ich in meinem Haus alles digital machen, müssen diese Prozesse abgesichert zur Verfügung gestellt werden. Dann kommt die ganze Bandbreite an Abwehrmaßnahmen  zum Einsatz. Von Firewalls, Endpoint Protection, Notfallplanung, über SIEM & SOC sowie  begleitenden Pentests. Was hier im Einzelfall sinnvoll ist, stellen wir in einem gemeinsamen Security Workshop fest.

 

Welche Herausforderungen siehst du?

Organisationen müssen sich stärker professionalisieren, was die IT und Digitalisierung betrifft. Viele Klinikleitungen sehen beim Thema Patientenversorgung nur den Betrieb direkt am Menschen. Die IT wird dann kaum wahrgenommen und spielt bei Entscheidungen nur eine geringe Rolle.

Das Thema Cybersicherheit und dessen Bedeutung sind leider nicht konkret greifbar. Wir müssen hier oft erst die richtigen Bilder finden: Krankenhäuser haben einen Tresor. Darin liegen die Kronjuwelen, die hochsensiblen Patientendaten. Gibt es eine Schutztür davor? Ist sie abgeschlossen? Oder steht sogar der Tresor offen für Angreifer?

Darüber hinaus ist vielen Verantwortlichen nicht klar, dass schon bald Sanktionen greifen. Konkret bedeutet dies, dass bei weiterhin fehlendem Reifegrad in der IT ab Januar 2022 Abschläge bei der Abrechnung von bis zu 2 % je Fall drohen.
Ich kann nur davor warnen, das Thema auf die leichte Schulter zu nehmen und Investitionen in die IT-Sicherheit zu verschleppen.

Am Reifegrad der Digitalisierung wird sich entscheiden, ob ein Haus profitabel sein wird oder auf der Strecke bleibt. Das KHZG bietet eine einmalige Chance. Jetzt liegt es an den Krankenhäusern, diese Aufgabe zu stemmen, digital aufzuholen und dabei die Cybersicherheit als zentralen Bestandteil kontinuierlich im Blick zu halten.

 

Danke für das Gespräch!


Themenseite IT-Sicherheit im Krankenhaus

Sie möchten mehr wissen? Für Fachleute und IT-Entscheider haben wir alles Wissenswerte auf unserer Themenseite IT-Sicherheit im Krankenhaus zusammengestellt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *