KRITIS - Gesundheit ist zum digitalen Thema geworden

18.09.2018

Vorsorge muss richtig und bezahlbar sein

Bildquelle: fotolia.com - Urheber:PMDesign

Ein Beitrag von Jens Washausen, GEOS Germany GmbH Bonn 

Über den Schutz kritischer Infrastrukturen (KRITIS) wird schon sehr lange geredet. Das ist gut so und gleichsam fatal. Wer lange über etwas scheinbar Wichtiges spricht, läuft Gefahr, es am Ende des Tages zu zerreden. Gern erinnern wir uns an den massenhaften Gebrauch der Wörter „nachhaltig“ und „Nachhaltigkeit“. Dies drohte fast, ein wirklich zukunftsrelevantes Thema vollständig zu diskreditieren.

Zurück zum Sektor Gesundheit. Wer wünscht sich nicht für die Stunde null seiner Sprösslinge eine freundliche, fürsorgliche und unaufdringlich professionell geführte Geburtenstation. Später machen wir dann gern einen Bogen um Kliniken und Krankenhäuser. Dasein sollen sie schon und funktionieren müssen Sie auch. Das gilt aber auch für unseren Hausarzt und die für immer erwartete Verfügbarkeit von Hustensaft und Schmerzmitteln.

Ist dies selbstverständlich, heute und in der Zukunft? Nein. Es ist aber völlig zu Recht eine Erwartung jedes Bürgers an unser Gemeinwesen, weil es seit vielen Jahren zu unserer Art zu leben dazu gehört. Viele Menschen andernorts beneiden uns darum.

Es gehört irgendwie dazu. So, wie klar ist, dass der Bankautomat uns etwas von unserem Geld auszahlt, dass Strom aus der Steckdose kommt und es beim Bäcker und im Supermarkt Brot zu kaufen gibt.

Risiken zu Ende denken

Als der jetzt aus dem Amt des Bundesinnenministers ausgeschiedene Thomas de Maizière vor einigen Monaten versuchte, der Bevölkerung Tipps und Hinweise zur Notfallvorsorge zu geben, wurde er verspottet. Zugegeben, die Kampagne war nicht wirklich klug aufgesetzt. Aber einen sehr ernsthaften Hintergrund hat sie. Sie hätte es auch verdient gehabt, gescheiter kommuniziert zu werden. Gute Kommunikationsberater hatte der Minister jedenfalls nicht.

Es ist hochgradig bedauerlich, dass uns durch derlei missglückte Vorstöße immer wieder die Ernsthaftigkeit der Wahrnehmung solcher Themen zu scheitern droht. Denn natürlich hatte der Minister Recht. Es ist vorstellbar, dass das Licht einmal für mehr als zwanzig Minuten ausgeht und, dass kein Wasser fließt, wenn wir den Hahn aufdrehen und, dass die Discounter und Supermärkte in meiner näheren Umgebung nicht erreichbar sind, weil Straßen überschwemmt oder verschüttet sind und die Tanksäule keinen Sprit hergibt, weil die Pumpen nicht arbeiten oder der Tanklaster seit Tagen nicht durchkam.

Wenn wir und der Bundesminister a.D. das für möglich halten, muss die Frage erlaubt sein, wo unsere deutsche Gründlichkeit und Akkuratesse abgeblieben sind. Nicht in dem Sinne, dass wir unfehlbare Systeme schaffen und unterhalten (Wer soll das bezahlen, wer hat so viel Geld? Wer hat so viel Pinkepinke …?), sondern mit der Intention, Erkenntnisse unseres Ingenieurswesens und des Risikomanagements konsequent zu Ende zu denken.

Freiwilligkeit funktioniert bei der Daseinsvorsorge nicht

Das BMI, vorgesetzte Behörde des Bundesamtes für Sicherheit in der Informationstechnik und des Bonner BBK, liefert dazu eine treffliche Erklärung:

„Im Rahmen des UP KRITIS, einer öffentlich-privaten Partnerschaft von Betreibern und dem Bund, wurden in der Vergangenheit Konzepte und Handlungsempfehlungen erarbeitet, um den Schutz der Informationstechnik in Kritischen Infrastrukturen zu verbessern und in den einzelnen Sektoren ein einheitlich hohes IT-Sicherheitsniveau zu erreichen. Dieses System der Selbstregulierung hat zwar zu einer spürbaren Erhöhung des Sicherheitsniveaus geführt. Ausgehend von den in der Praxis erzielten Erfahrungswerten ist jedoch nicht hinreichend sichergestellt, dass sich in den einzelnen Sektoren ein gleichwertiges und hinreichendes Schutzniveau für die eingesetzte Informationstechnik herausbilden kann.

Das also ist des Pudels Kern! Das Prinzip der Freiwilligkeit funktioniert nicht so, wie erhofft. Aber das ist keine Überraschung. Die Eigentümer der Betreiberunternehmen kritischer Infrastrukturen verfolgen selbstverständlich wirtschaftliche Ziele. Die Vorstände und Geschäftsführungen werden nicht dafür bezahlt, gesamtgesellschaftliche Daseinsvorsorge zu betreiben, sondern, positive Ergebnisse für die Anteilseigner zu erwirtschaften. Zu rügen sind nicht das Verantwortungsbewusstsein und Können unserer Unternehmen, sondern der mangelnde politische Mut und der wenig ausgeprägte Gestaltungswille der Politik. Insofern machen wir hier Feststellungen, die in jüngster Vergangenheit auch schon in anderen zentralen Bereichen der inneren Sicherheit des Landes zu treffen waren.

Wir brauchen gesellschaftlichen Diskurs und politische Vorgaben

In den Jahren 2006 bis 2008 sind eine Reihe methodologischer Leitlinien für den Schutz kritischer Infrastrukturen erarbeitet worden. Bis in die jüngste Zeit folgte eine Reihe von Veröffentlichungen zu dem Thema. An der Front der Gesetzgebung tat sich jedoch nicht allzu viel. Die Bundesinnenminister sowie die Präsidenten von BBK und BSI haben ausreichend und immer wieder auf die Wichtigkeit der Aufgabe KRITIS verwiesen. Klartext ist vom Gesetzgeber aber bis heute nicht gesprochen worden. Das ist ein ähnlich industriefeindliches Vorgehen wie wir es etwa aus der so genannten Energiewende kennen. Auf den ersten Blick bleiben die Industrie und die KRITIS-Betreiber auf ihrer moralischen Verantwortung sitzen. So aber kann es nicht funktionieren.

Ich habe auch während der protect 2017 in Leipzig darauf hingewiesen, dass KRITIS eine gesamtgesellschaftliche Aufgabe ist und, dass sie nur als solche zu lösen ist. Wir brauchen einen Diskurs mit allen politikfähigen Kräften darüber, welchen Grad an Resilienz wir brauchen bzw. wollen und was es uns wert ist. Wir brauchen ein gesamtgesellschaftliches Finanzierungsmodell für KRITIS.

 

KRITIS - Sektor Gesundheit

Das Thema KRITIS ist auch zehn Jahre nach der Erstellung des Leitfadens „Schutz Kritische Infrastruktur: Risikomanagement im Krankenhaus“ (Herausgeber Bundesamt für Bevölkerungsschutz und Katastrophenhilfe November 2008) im Gesundheitswesen noch immer ein ziemlicher Exot. Die Methodologie befindet sich auf populärwissenschaftlichem Niveau. Verbindlichkeit? Fehlanzeige.

In einem sehr emotionalen Gespräch während der protect‘2017 verglich ein Risikomanager eines bedeutenden Wasserversorgungsunternehmens die Verfügbarkeit von Trinkwasser mit der von elektrischem Strom. Den Beginn der Elektrifizierung kann man in etwa auf die industrielle Revolution um 1880 herum datieren. Ein historisch sehr kurzer Zeitraum, in dem wir uns an die Verfügbarkeit von Spannung und Stromstärke schnell gewöhnt haben. Aber wie viele Jahre ist die Menschheit ohne Trinkwasser ausgekommen? …

Im Rahmen der Definition der KRITIS-Sektoren ist der Bereich des Gesundheitswesens klar als relevant definiert. Über IKT, Energieversorger und die Verkehrsunternehmen ist in den vergangenen Jahren sehr intensiv diskutiert und geschrieben worden. Erst mit der Änderungsverordnung der Bundesregierung zur KRITIS-VO vom 31. Mai 2017 zu den Grenzen der KRITIS-Sektoren in den Bereichen Gesundheit, Finanzen und Verkehr sowie Transport stehen die Schwellenwerte fest.

Diese sind:

  • Krankenhäuser ab 30.000 stationären Fällen im Jahr
  • Produktionsstätten und Abgabestellen für Medizinprodukte ab einem Jahresumsatz von 90,6 Millionen Euro.
  • Produktionsstätten, Betriebs- und Lagerräume sowie Anlagen zum Vertrieb für verschreibungspflichtige Arzneimittel und Apotheken ab 4,65 Mio. Packungen im Jahr
  • Labore, Transportsysteme und Kommunikationssysteme …
  • Anlagen oder Systeme zur Steuerung von Entnahme und Weiterverarbeitung von Blutspenden ab 34.000 Produkten im Jahr.

Für diese Beschlusslage gab es eine sehr aufwändige Vorarbeit und wissenschaftliche Begründung:

Angetrieben durch die seit vielen Monaten nicht abreißenden Nachrichten über Angriffe auf die digitale Souveränität des Staates, die Integrität von Behörden-Netzwerken, auf Datenbanken mit Patientendaten und die Einschleusung von Verschlüsselungstrojanern ergibt sich, gewollt oder nicht, die Tendenz, das Thema KRITIS Gesundheit zu einem digitalen Thema zu machen.

Warum ist das so? Das Thema KRITIS ist durch die Bundesregierung zur fachlichen Führung und Aufsicht weitestgehend an das BSI delegiert worden. Hier gibt es bislang eher keine gesundheitspolitischen Kompetenzen. Betrachtet werden IT-technologische Sicherstellungsprozesse und Risiken und die Voraussetzung für ein KRITIS-Konzept im Gesundheitswesen wäre eine politische Strukturreform im Gesundheitswesen. Dazu hatten die Bundesregierungen in Anbetracht der politischen Kräfteverhältnisse nicht die Kraft. Das Resultat ist offensichtlich: KRITIS Gesundheit ist ein digitales Thema geworden. Es ist damit ein Thema technischer Spezialisten, zu einem Projekt der IT-Leiter der mittelgroßen und großen Kliniken geworden.

Mit Verlaub, nichts gegen das Engagement der IT-Leiter. Endlich nimmt sich jemand des Themas an und zeigt Verantwortung. Meine Kritik geht in eine andere Richtung. Unsere IT-Leiter sind in der Regel sehr versierte Informations- und System-Dienstleister. Sie sind aber eben nicht die Verantwortlichen für das BCM der Klinik, weil sie die Managementverantwortung und den Durchgriff auf viele relevante Betriebsprozesse einer Klinik nicht haben. Immer wieder treffen wir deshalb desillusionierte Informatik-Profis von Kliniken, die uns berichten, dass Sie befürchten in diesen Projekten zu scheitern. Meiner Erfahrung nach können sie in dieser Verantwortung nicht erfolgreich sein, weil KRITIS Gesundheit sicherlich auch ein IT-Sicherheitsthema ist, es ist vor allem aber eine BCM-Aufgabe und gehört damit in die Hände eines Mitglieds der Klinik-Geschäftsleitung.

Wie das funktioniert, wissen wir seit langem. Die Tools dafür sind seit Jahren in der Industrie und bei den Betreibern vorhanden. Wir reden vor allem über die Methodik der Business Impact Analyse. Die Verfahren sind in der EN 22300 ff. geregelt und gut beschrieben. Die akademischen Tiefen der KRITIS Sektorstudie Gesundheit sind lesenswert aber für die Praxis wenig hilfreich.


Zurück