Eigentlich könnte man meinen, Krankenhäuser hätten spätestens seit den aufsehenerregenden Cyberangriffen der letzten Jahre die Notwendigkeit von IT-Sicherheit verinnerlicht. Die aktuelle Studie des Sicherheitsanbieters ESET legt zumindest nahe: Investiert wird durchaus – allerdings meist kurzfristig, im Sinne einzelner Projekte oder Übungen. Was auffällt: Obwohl mit 52 Prozent relativ viele Häuser Notfallübungen oder Ransomware-Trainings veranstalten, bleibt der strategische Überbau oft auf der Strecke. Bei rund 48 Prozent gibt's immerhin Awareness-Schulungen, und auch die Sicherheit vernetzter Medizintechnik rückt stärker in den Fokus.
Klar zeigt sich aber: Strategie, regelmäßiges Testen und feste Verantwortlichkeiten fehlen vielerorts. Besonders verblüffend – zumindest auf den ersten Blick – ist die Zurückhaltung von Universitätskliniken. Die gelten eigentlich als technologische Vorreiter im Gesundheitswesen. Doch bei NIS2-Umsetzung landen sie in der Umfrage auf den hinteren Plätzen. Vielleicht liegt es an der schieren Komplexität ihrer gewachsenen IT-Landschaften und internationalen Vernetzungen. Jedenfalls: Viel operative Härte, wenig formale Konformität.
Noch brisanter wird es beim Notfallmanagement. Die meisten befragten Kliniken meinen, mit Notfallplänen abgesichert zu sein. Aber: Lediglich etwa jeder Dritte testet diese wirklich regelmäßig. Gerade Unikliniken, die bei einem IT-Ausfall besonders empfindlich getroffen wären, zeigen hier Schwächen – und das, obwohl sie solche Krisensituationen eigentlich gewohnt sein müssten.
Heißt also: Die NIS2-Richtlinie bringt deutlichen regulatorischen Zugzwang und zwingt Krankenhäuser zum Umdenken. Es reicht nicht mehr, nur Ad-hoc-Maßnahmen vorzuweisen und mit ein paar Cyber-Trainings zu glänzen. Wirklich sicher wird das System erst mit tief verankerten Notfallstrukturen, klar zugewiesenen Verantwortlichkeiten und einer Kultur, die IT-Sicherheit nicht als reine Compliance-Aufgabe, sondern als elementaren Teil der Gesundheitsversorgung begreift.
Ob und wie Krankenhäuser – besonders die Unikliniken – den Sprung zu einem ganzheitlich verankerten IT-Sicherheitsmanagement schaffen, wird sich in den kommenden Monaten zeigen. Wer mag, kann weitere Details und Hintergrundinfos im ausführlichen ESET-Blog nachlesen: https://ots.de/WIy9hr.
Die ESET-Umfrage verdeutlicht: Krankenhäuser, insbesondere Universitätskliniken, investieren zwar in technische Sicherheitsmaßnahmen wie Ransomware-Übungen und Awareness-Schulungen, doch ein ganzheitliches Konzept fehlt zumeist. Notfallpläne existieren oft nur auf dem Papier; ihr Ernstfall-Test erfolgt selten und lückenhaft. Ursachen für die schleppende Umsetzung der NIS2-Richtlinie reichen von internen organisatorischen Schwierigkeiten über digitale Altlasten bis hin zu unklaren Zuständigkeiten im Management. Laut einem aktuellen Beitrag der "Zeit" warnen Experten vor den Folgen mangelnder IT-Sicherheit, da Angriffe auf Gesundheitseinrichtungen weiter zunehmen und zu echten Versorgungsengpässen führen könnten. Der Druck durch neue gesetzliche Vorgaben wird steigen, sodass Krankenhäuser nicht umhin kommen, digitale Sicherheitsmaßnahmen und Managementstrukturen noch fester in ihren Alltag zu integrieren. Für kleine wie große Einrichtungen stellt sich die Frage: Schafft man es, IT-Sicherheit von einer lästigen Pflicht zu einem selbstverständlichen Pfeiler des Betriebs zu machen?
