Drei Learnings für mehr Cybersicherheit

Am 04. März 2024 fand die Online-Veranstaltung „Cybersicherheit im Gesundheitswesen: Wie gut sind wir auf den Ernstfall vorbereitet?“ statt. Dr. Christian Ullrich, Bereichsleiter IT Betrieb Applikationen und Infrastruktur bei der SBK Siemens-Betriebskrankenkasse, und Rechtswissenschaftler Prof. Dr. Dennis-Kenji Kipker thematisierten in ihren Impulsvorträgen den aktuellen Stand in Sachen Cybersicherheit in Deutschland. 

SBK-Experte Christian Ullrich formuliert einen persönlichen Rückblick auf die Veranstaltung:

"Wollen wir wirklich öffentlich über unsere Erfahrung mit einem Cyberangriff sprechen? Mit dieser Frage habe ich mich in den letzten Wochen ausführlich beschäftigt. Und für mich mit einem klaren Ja beantwortet. Ja, unser Dienstleister war im letzten Jahr von einem Cyberangriff betroffen. Damit auch wir bei der SBK Siemens-Betriebskrankenkasse – und viele weitere Kassen. Ja, wir haben diese Situation sehr gut gemeistert. Und ja, ich will unsere Learnings unbedingt teilen. Denn der Vorfall im letzten Jahr war keine Übung, keine Theorie – sondern Realität. Und in dieser realen Situation haben wir viel gelernt, was wir am Reißbrett, in einem Workshop nicht gelernt hätten. Und davon sollen auch andere Akteure profitieren. Denn Cybersecurity ist wahrlich kein Wettbewerbsthema! Nur gemeinsam können wir das Gesundheitswesen resilienter machen.
 
In unserer Veranstaltung durfte ich deshalb über unsere Erfahrungen im letzten Jahr berichten. Und auch mit einem Jahr Abstand bleiben meine TOP 3- Learnings die folgenden:

1. Wir sollten die Systeme der unterschiedlichen Akteure, z.B. durch asynchrone Datenströme, stärker entkoppeln. Auch sollten grundlegende IT-Sicherheitsprinzipien (Zero-Trust etc.) bei allen Akteuren im Gesundheitswesen zum Einsatz kommen, unabhängig von deren Größe und Systemrelevanz. Das bedeutet: Wir stellen uns technisch so auf, dass Angriffe schwieriger werden und wenn sie trotzdem geschehen, nicht viele Akteure auf einmal betroffen sind, sondern nur einzelne.
    
2. Wir brauchen eine Gesamtstrategie in Sachen Cybersicherheit. Das Gesundheitswesen arbeitet bereits jetzt schon enorm vernetzt – und die Vernetzung wird mit zunehmender Digitalisierung weiterwachsen. Es reicht daher nicht, Regelungen für Einzelakteure zu erlassen. Die Sicherheitsmaßnahmen müssen die Prozesse in ihrer Gesamtheit und über alle Akteure hinweg betrachten.
    
3. Wir werden Betriebsunterbrechungen – durch Cyber-Angriffen oder andere Ursachen – nie ganz verhindern können. Deshalb brauchen wir Fallback-Lösungen, die die Versorgung und die finanzielle Absicherung unserer Versicherten, Ärzte, Kliniken etc. sicherstellt.

 
Mit den NIS2 und KRITS Gesetzesvorhaben, die aktuell auf der Agenda stehen, werden wir einen Schritt nach vorne machen und ich hoffe, dass die Umsetzung schneller geht als es im Moment aussieht – auch wenn sich damit sicher nicht alle meine oben skizzierten Punkte in Gänze erledigt haben. Digitalisierung schafft Werte, reduziert Bürokratie, hebt Ressourcen und verbessert damit nicht zuletzt die Versorgung unserer Versicherten. Deshalb ist das Thema Cybersicherheit kein Nice-to-have, sondern zwingend notwendige Vorsorge."