(Bild: Lukaskrankenhaus, Neuss)

Ab Ende Juni müssen Krankenhäuser mit mindestens 30.000 Behandlungsfällen pro Jahr sich nach dem IT-Sicherheitsgesetz richten.

Große Krankenhäuser und Kliniken in Deutschland müssen sich künftig intensiver um die Sicherheit ihrer IT-Infrastruktur kümmern. Ab Ende Juni gelten nach dem IT-Sicherheitsgesetz auch Krankenhäuser als "kritische Infrastruktur". Betroffen seien allerdings "nur die großen Pötte", erklärte Matthias Fischer vom Bundesinnenministerium am Dienstag auf einem Expertenforum in Berlin.

Die neuen Regeln gelten für insgesamt 110 Krankenhäuser und Kliniken, die mindestens 30.000 Behandlungsfälle im Jahr vorweisen. Die großen Einrichtungen hätten allerdings schon von jeher viel in IT-Sicherheit investiert, lautete die Kritik auf dem Forum. Dass kleinere Einrichtungen dabei nicht berücksichtigt würden, sei "mit der Versorgungsrealität nicht in Einklang zu bringen", kritisierte zuletzt auch der Marburger Bund.

WannaCry und Petya

So falle etwa das Lukaskrankenhaus in Neuss, das im vergangenen Jahr Ziel eines Cyberangriffs gewesen sei, nicht unter die neuen Regelungen. Das Innenministerium könne aber die Versorgungsstrukturen nur aus Bundessicht bestimmen, sagte Fischer. Aus regionaler Sicht seien kleinere Häuser dagegen natürlich von großer Bedeutung.

Erst vor sechs Wochen waren von der Cyber-Attacke durch den Erpressungstrojaner WannaCry allein in Großbritannien zahlreiche Krankenhäuser lahmgelegt worden. Die aktuell grassierende Petya-Attacke hat zumindest ein Krankenhaus im US-amerikanischen Pittsburgh erfasst. Einige Referenten für das Expertenforum in Berlin kurzfristig ihre Teilnahme wegen des laufenden Cyber-Angriffs abgesagt.

"Reale Gefahr"

Die Angriffe seien sehr breit gestreut gewesen, sagte Jan Neuhaus von der Deutschen Krankenhausgesellschaft und appellierte gegen "Panikmache". Bereits in den bislang bestehenden Strukturen hätten Krankenhäuser eigene Notfallpläne. Dennoch seien die Gefahren real, "und selbst zufällige Angriffe können erhebliche Schäden verursachen".

Bislang basierte die Sicherung der IT-Systeme in Krankenhäusern weitgehend auf Freiwilligkeit. Künftig müssen sie etwa eine Kontaktstelle für IT-Sicherheitsfragen rund um die Uhr unterhalten und "erhebliche Störungen" an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. (dpa) / (anw)