Cybersicherheit ist eine Voraussetzung für das Überleben des Gesundheitswesens

Wenn wir von einer sicheren Gesundheitseinrichtung im Jahr 2025 sprechen, denken wir nicht mehr nur an ein Krankenhaus, das über einen Stromgenerator, einen Evakuierungsplan und eine gut sortierte Apotheke verfügt. Der heutige Nutzer des Gesundheitssystems verlässt sich fast ebenso sehr auf digitale Systeme wie auf Sauerstoff oder sterile Instrumente: Laborergebnisse reisen über das Netzwerk zu elektronischen Patientenakten, das geistige Eigentum von Forschungsabteilungen wird in Rechenzentren gespeichert, und chirurgische Roboter sowie Medikation-Dosierungssysteme werden von Software gesteuert.

Daher wandelt sich das Konzept der Sicherheit in die Dimension der Cybersicherheit der Geschäftskontinuität, die heute Schulter an Schulter mit Naturkatastrophen, technischen-technologischen und anthropogenen Bedrohungen steht. Eine sichere Gesundheitseinrichtung ist heute eine, die Cybersicherheit so tief in ihre Kernprozesse integriert, wie es Architekten einst mit Sanitär- und Elektroleitungen taten.

Drei Ebenen der Resilienz

Wir glauben, dass die heutige geschichtete Resilienz im Gesundheitswesen auf drei Ebenen beruht: Die physische Ebene, oder Zugangskontrolle, zielt darauf ab, physische Sabotage und Diebstahl von Geräten oder Daten zu verhindern, während die operationale Ebene, wie Krisenprotokolle, darauf fokussiert ist, den Krankenhausbetrieb während Unterbrechungen traditioneller Ressourcen aufrechtzuerhalten; die dritte Ebene ist die Cybersicherheit, die darauf abzielt, die Funktionalität digitaler Dienste aufrechtzuerhalten und Daten durch Maßnahmen wie Netzwerksegmentierung und Multi-Faktor-Authentifizierung zu schützen.

Der Kleber, der alle drei Ebenen verbindet, ist der Business Continuity Plan, vordefinierte Szenarien, Tischübungen und eine klare Hierarchie der Verantwortlichkeiten. Ein Krankenhaus, das medizinische IoT-Geräte automatisch in ein isoliertes Netzwerk umschalten und innerhalb von Minuten ein virtuelles Rechenzentrum aus einem redundanten Datenbackup hochfahren kann, muss geplante Aktivitäten im Falle von Ransomware oder Überschwemmungen nicht unterbrechen.

Wenn Wasser und Strom Voraussetzungen für eine sterile Umgebung sind, ist Cybersicherheit eine Voraussetzung für die Effizienz im Gesundheitswesen. Ohne sie riskieren wir einen doppelten Verlust: klinisch (Operationsverzögerungen, Fehldiagnosen, Todesfälle) und finanziell (Lösegeldzahlungen im Falle von Ransomware, Rechtskosten, beeinträchtigter Ruf). Daher sollten aus der Perspektive jeder Führungskraft Investitionen in Cybersicherheit als Kapitalinvestitionen behandelt werden, die Wert schaffen, und nicht als „Feuerwehrausgaben“.

Ich freue mich auf den Moment, in dem das Management SOC-Berichte (Security Operations Center) in derselben Excel-Tabelle sieht, in der es die Belegung der Operationssäle verfolgt, denn nur dann können wir sagen, dass Cybersicherheit einen Platz von strategischer Priorität einnimmt.

Verantwortung auf allen Ebenen

Als das Klinische Krankenhauszentrum Zagreb im Juni 2024 Opfer eines Cyberangriffs wurde, richtete sich das gesamte Spotlight auf die IT, aber im Laufe der Zeit begann es, sich auch auf andere Dienste zu richten. Der Vorfall offenbarte erneut die Tatsache, dass es einen professionellen Dienst für Cybersicherheit im Gesundheitswesen geben kann, die Verantwortung jedoch auf allen Ebenen liegt.

Eine neue Generation von Gesundheitsfachleuten ist mit dem Internet und mobilen Anwendungen aufgewachsen, viele Direktoren und Vorstandsmitglieder jedoch nicht. ISC2 warnte auch 2024, dass die globale Qualifikationslücke in der Cybersicherheit auf 4,8 Millionen Fachkräfte angewachsen ist, wobei der größte Mangel an Kompetenzen gerade im Management besteht. Das bedeutet nicht, dass das Management wissen muss, wie man Netzwerkgeräte oder Firewalls konfiguriert, aber sie müssen grundlegende Konzepte verstehen, so wie sie die Bilanz, die Gewinn- und Verlustrechnung und Ähnliches verstehen.

Die EU hat diese Herausforderung ebenfalls erkannt. Die ECCC hat im Programm „Digital Europe 2025 – 2027“ 390 Millionen Euro bereitgestellt, von denen dreißig Millionen Euro speziell für Projekte zur Verbesserung der Resilienz der Cybersicherheit im Gesundheitswesen, einschließlich Bildung, vorgesehen sind.

Es wird oft erwähnt, aber noch häufiger vergessen, dass Cybersicherheit kein Projekt, sondern ein kontinuierlicher Prozess ist, ähnlich wie die Luftqualität, die wir nicht bemerken, bis sie verschwindet. Dies erfordert ständige Kommunikation, sogenannte Champions in jeder Abteilung, Personen, die gute Sicherheitspraktiken fördern, und regelmäßige Übungen (z. B. Phishing, War-Room). Dann wird Cybersicherheit zu einem kollektiven Reflex des Gesundheitssystems, die IT-Abteilung bleibt die erste Verteidigungslinie, aber ohne informierte und engagierte Führung wird selbst die beste Firewall zu einer teuren Dekoration.

Europäisches Geld, neue regulatorische Rahmenbedingungen und eine frische Generation digitaler Natives öffnen ein Fenster der Transformation. Ob wir hindurchgehen oder es zuschließen sehen, wird von den aktuellen Entscheidungsträgern jetzt entschieden.

EU-Finanzhebel

Im März 2025 gab die Europäische Kommission bekannt, dass 1,3 Milliarden Euro aus dem Programm „Digital Europe“ in Cybersicherheit, künstliche Intelligenz und digitale Fähigkeiten, insbesondere in kritischen Sektoren wie dem Gesundheitswesen, fließen werden. Gleichzeitig sieht der Aktionsplan der EC zur Stärkung der Sicherheit von Krankenhäusern Mechanismen zur Prävention, Erkennung und Reaktion auf Cyberangriffe sowie eine Reihe von Zielen vor, die darauf abzielen, Angreifer vom Gesundheitssektor abzuhalten.

Das kroatische Gesundheitssystem, das seit Jahren zwischen steigenden Kosten und begrenzten inländischen Finanzierungsquellen balanciert, darf solche Chancen nicht verpassen. Nämlich können kroatische Institutionen zum ersten Mal die Last der Kapitalinvestitionen vom überlasteten nationalen Haushalt auf europäische Mittel verlagern. Geld ist daher nicht mehr die größte Herausforderung, sondern die Qualität des Antrags, eine klare Risikobewertung, ein realistischer Umsetzungsplan und messbare Auswirkungen werden entscheidend sein.

Ein Krankenhaus, das beweist, dass mit Hilfe von europäischem Geld die Wiederherstellung eines kritischen Systems von mehreren Stunden oder Tagen auf mehrere Minuten verkürzt werden kann, konkurriert gleichwertig mit renommierten Zentren aus Deutschland oder Frankreich – trotz möglicherweise eines kleineren Budgets, das es besitzt oder anstrebt.

Mit anderen Worten, EU-Mittel können ein Puffer für ein System sein, in dem Schulden zu einer chronischen Krankheit geworden sind, und der Investitionszyklus in IT und Cybersicherheit seit Jahren aufgeschoben wurde. Ob dies tatsächlich die Finanzen der Krankenhäuser entlasten wird, hängt von der Bereitschaft der Führung ab, von einer reaktiven, heilenden Mentalität zu einer aktiven, investitionsorientierten zu wechseln. Eine historische Gelegenheit besteht, und jetzt liegt es an den kroatischen Krankenhäusern zu zeigen, wie ein Projekt aussieht, das Europa überzeugen wird, dass ein Teil der 1,3 Milliarden Euro ihnen zugutekommen sollte. Es liegt an ihnen, diese Gelegenheit zu ergreifen, damit wir nicht wieder über Angriffe lesen, die diagnostische Untersuchungen und Operationen verzögern und das Vertrauen der Patienten untergraben.

Drei Schlüsselmechanismen

Neben der finanziellen Unterstützung aus dem Programm „Digital Europe“ entwickelt die Europäische Union eine Reihe immaterieller Instrumente, die es Krankenhäusern und Gesundheitseinrichtungen ermöglichen, ihre Resilienz in der Cybersicherheit zu verbessern, ohne sich ausschließlich auf eigene Ressourcen verlassen zu müssen.

Das Cyber Solidarity Act bringt ein neues Niveau europäischer Zusammenarbeit in der Cybersicherheit im Rahmen von drei Schlüsselmechanismen. Ein Netzwerk von Security Operations Centers (SOCs) wird eingerichtet, das künstliche Intelligenz zur Erkennung von Bedrohungen in Echtzeit nutzt. Schnelles Handeln in Krisensituationen wird auch durch Schwachstellentests, europäische Expertenreserven und gegenseitige Unterstützung zwischen den Mitgliedstaaten erwartet. Darüber hinaus wird ein System zur Überprüfung von Vorfällen eingeführt, um aus Vorfällen zu lernen und die Verteidigung zu verbessern. ENISA, die EU-Agentur für Cybersicherheit, koordiniert ein Netzwerk nationaler Computer Security Incident Response Teams (CSIRT), und kroatische Teams können über dieses Netzwerk Informationen austauschen, Vorfälle lösen und an gemeinsamen Übungen teilnehmen.

Es gibt auch EU-CyCLONe, ein europäisches Netzwerk zur Bewältigung von Cyberkrisen, das Ländern hilft, auf große Sicherheitsvorfälle zu reagieren. Im Falle eines Angriffs können nationale Stellen auf gemeinsame Richtlinien und operative Unterstützung zurückgreifen. Dies ist besonders nützlich für den Gesundheitssektor, da die Folgen von Angriffen oft schwerwiegend sind. Es ist auch erwähnenswert, dass das Europäische Zentrum für digitale Fähigkeiten und Beschäftigung kostenlose Schulungen zur Cybersicherheit für Gesundheitsfachleute und IT-Experten anbietet. Durch Online-Kurse und Zertifizierungen können Krankenhäuser ihre Teams und digitalen Strategien stärken.

Die Rolle der Führung

Im traditionellen Modell war die IT oft eine „technische Dienstabteilung“. In der Ära der vernetzten Geräte sitzen der CIO und der CISO am selben Tisch wie der Direktor und der Finanzdirektor. Der Vorstand muss klar kartierte Risiken, vierteljährliche Sicherheitsberichte in einem für medizinisches und finanzielles Personal verständlichen Format und Vorschläge für Cybersicherheitsprojekte basierend auf realen Szenarien haben.

Zum Beispiel: „Wie viel kostet uns eine Stunde Ausfallzeit von BIS oder LIS?“ Wenn die Antwort lautet: „Fünfzigtausend Euro mit ein paar Tagen erwarteter Wiederherstellung“, dann ist eine dreijährige Investition von zweihunderttausend Euro in Netzwerksegmentierung und Backups mehrfach profitabel. Die Europäische Kommission warnt im Entwurf der Verordnung über den Europäischen Gesundheitsdatenraum (EHDS) ausdrücklich, dass „Vertrauen eine grundlegende Voraussetzung für den Erfolg“ der digitalen Gesundheit ist.

Somit richtet sie sich an Entscheidungsträger wie Direktoren, Vorstandsmitglieder und Finanzdirektoren – diejenigen, die entscheiden, wie viel die Institution in den Datenschutz und den ununterbrochenen Betrieb des Systems investieren wird, und damit direkt die Patientensicherheit und den Ruf ihrer Institution beeinflussen.

Der erste Schritt verantwortungsvoller Führung besteht darin, klar zu beschreiben, auf welche digitalen Werkzeuge jeder Prozess angewiesen ist und wer der verantwortliche Eigentümer ist. Wenn beispielsweise das Laborsystem verzögert wird, wird die Therapie verschoben; wenn das Krankenhausinformationssystem ausfällt, stoppen die Aufnahmen und Entlassungen. Wenn solche Abhängigkeiten auf einer einzigen verständlichen Karte dargestellt werden, erhalten technische Begriffe konkrete geschäftliche und finanzielle Bedeutungen, und das Management muss regelmäßig über diese Bedeutung informiert werden.

Vorteile, aber auch Strafen

Anstatt komplizierte Berichte darüber zu erstellen, welche Protokolle wir auf SIEM überwachen, reicht es aus, regelmäßig eine Zusammenfassung der wichtigsten Ereignisse und Kennzahlen zu präsentieren, zum Beispiel, wie lange der längste Ausfall gedauert hat, wie viele Mitarbeiter auf eine gefälschte Phishing-E-Mail „geklickt“ haben und welcher Schaden entstanden wäre, wenn ein schwerwiegender Cybervorfall eingetreten wäre. Wenn solche Daten auf dem Tisch liegen, wird die Investitionsentscheidung zu einer Frage der Wahl zwischen akzeptablem Risiko und hohen Kosten der Unterbrechung. Netzwerksegmentierung oder redundante Backups werden nicht mehr als IT-Ausgaben präsentiert, sondern als logische Reaktion auf ein klar quantifiziertes Problem.

Glücklicherweise ist dieser Ansatz ab 2025 nicht mehr nur eine gute Praxis, sondern auch eine gesetzliche Verpflichtung. Das Cybersicherheitsgesetz oder die NIS2-Richtlinie erweitert die persönliche Verantwortung für Aufsichtsräte und sieht finanzielle Strafen für Institutionen von bis zu zehn Millionen Euro oder zwei Prozent des Gesamtumsatzes für wichtige Einrichtungen vor, die ihren Verpflichtungen im Bereich des Risikomanagements in der Cybersicherheit nicht nachkommen. Diese Bestimmung, ausgedrückt in Zahlen, die jeder Finanzdirektor versteht, verlagert die Sicherheit effektiv von technischen Korridoren an die Spitze des Managements von Gesundheitseinrichtungen.

Auf zwei Fronten

Wir dürfen die Patienten nicht vergessen, die lieber eine Institution wählen würden, der sie vertrauen, um ihre Daten zu schützen, die Kontinuität der Abläufe zu gewährleisten und Untersuchungen oder Therapien nicht aufgrund von Angriffen zu unterbrechen. Im privaten Sektor bevorzugen Investoren natürlich Projekte, deren digitale Infrastruktur das Risiko verringert und die Nachhaltigkeit der Einnahmen garantiert. Daher baut eine Führung, die aktiv Cybersicherheit verwaltet, Kapitalvertrauen auf zwei Fronten auf, gegenüber Patienten und gegenüber finanziellen Partnern, ohne dass komplizierte Tabellen und Indikatoren erforderlich sind.

Unabhängig von den Praktiken oder Gesetzen, die im Gesundheitswesen angewendet werden, sollten strategische Entscheidungen über Informationssicherheit die Auswirkungen von Ausfällen nicht übersehen, nicht nur auf die Wahrung der Vertraulichkeit, Integrität oder Verfügbarkeit des Informationssystems, sondern auch darauf, wie die angewandten Maßnahmen die Erfüllung der primären Mission der Gesundheitseinrichtung – die Gesundheit und das Leben der Patienten zu bewahren – beeinflussen.

Vertrauen in die digitale Gesundheit entsteht im Vorstandszimmer, nicht in Serverräumen. Obwohl technische Teams die erste Verteidigungslinie sind, liegt die letztendliche Verantwortung für Strategie, Budget und öffentliche Wahrnehmung bei der Führung. Je schneller sie erkennt, dass die Resilienz der Cybersicherheit ebenso wichtig ist wie sterile Instrumente oder ein Stromgenerator, desto schneller wird sie sicherstellen, dass die Patienten Vertrauen haben und das Gesundheitssystem am Leben bleibt.