Cyberresilienz im Gesundheitswesen: Europa ringt mit der Umsetzung

Cyberangriffe auf Krankenhäuser und andere Gesundheitseinrichtungen sind inzwischen an der Tagesordnung – die Digitalisierung des Gesundheitswesens schafft neue Angriffsflächen. Die Angriffe treffen Versorgung, Verwaltung und im Zweifel auch die Patientensicherheit. Auf dem Panel „Building Cyber-Resilient Health Systems: Nordic and German Strategies in Practice“ diskutierten Dr. Päivi Sillanaukee (Finnland), Søren Bank Greenfield (Dänemark), Just Ebbesen (Norwegen) und Stephan Krumm (Deutschland) unter der Moderation von Beatrice Kluge (Gematik), warum der Abstand zwischen Strategie und Wirklichkeit im Gesundheitswesen noch immer groß ist.

Strategien gibt es genug – es fehlt an der Umsetzung

Gleich zu Beginn wurde ein Grundproblem angesprochen: Auf europäischer und nationaler Ebene gibt es inzwischen zahlreiche Strategien, Vorschriften und politische Leitlinien. In der Praxis fehlt jedoch oft die Übersetzung in handhabbare Prozesse.

Søren Bank Greenfield, Leiter der Abteilung für Cyber- und Informationssicherheit bei der dänischen Health Data Authority, verdeutlichte, dass Kooperation zwar unverzichtbar sei, „geteilte Verantwortung“ allein in der Praxis aber nicht ausreiche. Entscheidend seien klar definierte Zuständigkeiten. Das eigentliche Defizit liege aus seiner Sicht darin, „dass Politik häufig Regeln formuliert, aber nicht ausreichend zeigt, wie diese in realen Organisationen umgesetzt werden sollen.“

Greenfield plädierte deshalb dafür, politische Maßnahmen immer mit konkreten Leitlinien, Pilotansätzen und Umsetzungswerkzeugen zu verbinden. Vorschriften müssten parallel zur Praxis gedacht werden, nicht von ihr losgelöst.

Mensch bleibt größte Schwachstelle

Dr. Päivi Sillanaukee, Sonderbeauftragte für Gesundheit und Wohlbefinden im finnischen Ministerium für Soziales und Gesundheit, lenkte den Blick auf den menschlichen Faktor. Viele Sicherheitsvorfälle hätten ihren Ursprung nicht in der Technik selbst, sondern in Fehlern bei Anwendung, Organisation und Aufsicht. Standards und Regeln seien wichtig, müssten aber verstanden, eingeübt und kontrolliert werden.

Als Beispiel verwies Sillanaukee auf den bekannten finnischen Vastaamo-Datenskandal aus dem Jahr 2020, bei dem Patientendaten eines privaten Psychotherapieanbieters im Netz landeten. Das Problem habe damals nicht in fehlender Regulierung gelegen, sondern darin, dass bestehende Vorgaben nicht umgesetzt worden seien. Daraus leitete sie die Notwendigkeit ab, neben Bewusstseinsbildung und Übungen auch die Aufsicht über die tatsächliche Implementierung von Sicherheitsmaßnahmen zu stärken.

Kliniken sitzen im Dilemma zwischen Schutz und Datennutzung

Die Krankenhausperspektive brachte Just Ebbesen, Sonderbeauftragter für Gesundheit und zukünftige Krankenhäuser am Universitätsklinikum Oslo / Norway Health Tech, in die Diskussion ein. Er arbeitet an der Schnittstelle von künftiger Klinikorganisation, neuen Versorgungsmodellen, Digitalisierung und Industriekooperation. Aus seiner Sicht stehen Kliniken vor einem strukturellen Zielkonflikt: „Einerseits müssen sie Systeme absichern, andererseits sind sie zunehmend auf Datenintegration, externe Geräte, Dienstleister und digitale Schnittstellen angewiesen“.

Gerade in spezialisierten Gesundheitseinrichtungen fallen heute enorme Datenmengen an. Wie diese Daten sicher genutzt werden können, ohne die Privatsphäre von Patientinnen und Patienten zu gefährden, erforscht etwa das Projekt AnoMed – mit dem Ziel, Gesundheitsdaten für Forschung und KI-Entwicklung nutzbar zu machen. Gleichzeitig sind Primärversorgung, Spezialversorgung und externe Datenquellen vielerorts noch unzureichend miteinander verbunden. Das erschwert nicht nur die Versorgung, sondern erhöht auch die Komplexität bei der Absicherung.

Deutschland: Regulierung, Fördermittel und Monitoring

Stephan Krumm, Fachreferent für Cybersicherheit und Interoperabilität beim Bundesministerium für Gesundheit, schilderte die deutsche Perspektive. Für Krankenhäuser gebe es bereits seit mehreren Jahren verbindliche Anforderungen an die Cybersicherheit. Die Herausforderung bestehe nun darin, sichtbarer zu machen, wo in der Praxis noch die größten Lücken liegen.

Zu diesen Baustellen gehörten unter anderem Altsysteme, fehlende Netzwerksegmentierung und der sehr unterschiedliche Reifegrad einzelner Einrichtungen. Krumm verwies in diesem Zusammenhang auf das Krankenhauszukunftsprogramm und den DigitalRadar, mit dem auch Fortschritte im Bereich der digitalen Reife und Cybersicherheit beobachtet werden.

Regulierung bleibt reaktiv

Ein wiederkehrendes Thema des Panels war die Geschwindigkeit von Bedrohungen. Dass Regulierung in der Praxis oft zu langsam greift, zeigte sich zuletzt auch beim BSI-Sicherheitskongress, wo die NIS-2-Umsetzung weit hinter den Erwartungen zurückblieb. Die Diskutierenden waren sich weitgehend einig, dass Regulierung fast zwangsläufig langsamer ist als die Entwicklung neuer Angriffsformen.

Greenfield argumentierte, Politik könne immer nur auf bekannte Risiken reagieren. Statt zu versuchen, jede neue Bedrohung einzeln zu regulieren, müsse der Fokus stärker auf universelle Fähigkeiten gelegt werden: Erkennung von Vorfällen, Zusammenarbeit zwischen Organisationen, Krisenmanagement, Kommunikationswege und belastbare Vertrauensstrukturen.

Kleine Einrichtungen als systemisches Risiko

Ein besonders wichtiger Punkt kam von Greenfield: „Kleine Praxen, Kliniken und andere medizinische Einrichtungen sind oft die übersehene Schwachstelle in einem immer stärker vernetzten Gesundheitssystem.“ Diese Einrichtungen wollten die Regeln meist einhalten, hätten aber weder die nötigen Fachkräfte noch die Zeit, sich tief in komplexe Sicherheitsanforderungen einzuarbeiten.

Deshalb warb Greenfield für einfache und robuste Unterstützungssysteme, die kleinere Einrichtungen technisch entlasten. Wenn immer mehr Akteure digital miteinander verbunden würden, dann müsse man auch die schwächsten Glieder dieser Kette gezielt absichern.

Norwegische Sicht: Pragmatismus statt Perfektion

Ebbesen argumentierte mehrfach für einen pragmatischen Ansatz. „Gesundheitssysteme könnten nicht vollständig abgeschottet werden, wenn sie zugleich moderne, datengetriebene Versorgung anbieten wollen. Entscheidend sei deshalb, Mittel dort einzusetzen, wo sie den größten Nutzen für Sicherheit und Versorgung gleichzeitig stiften.“

Europa soll seine Kräfte bündeln

Zum Ende weitete sich die Diskussion auf die europäische Ebene aus. Sillanaukee hob hervor, dass nordische Kooperation, gemeinsame Übungen und langfristige Austauschstrukturen wertvolle Erfahrungen geliefert hätten. Solche Formate müssten konsequenter auf europäischer Ebene gedacht werden.

Krumm unterstrich schließlich, „dass Europa bei künftigen KI-gestützten Bedrohungen nicht nationalstaatlich denken kann. Kein einzelnes Land wird auf Dauer mit den Ressourcen großer internationaler Technologieanbieter mithalten können.“ Wenn Europa eigene Antworten entwickeln wolle, müsse es Kompetenzen, Wissen und Fähigkeiten stärker bündeln.

Das Panel war sich einig, dass Cybersicherheit im Gesundheitswesen weit mehr ist als ein IT-Thema. Es gehe um Organisation, Zuständigkeiten, Ausbildung, Standards, Finanzierung und internationale Zusammenarbeit. Die größten Probleme lägen nicht unbedingt im Fehlen von Strategien, sondern darin, sie unter realen Bedingungen in Krankenhäusern, Praxen und anderen Einrichtungen wirksam umzusetzen.

(vza)