Alte Hardware und Software in Kliniken sind oft nicht mehr legal oder sicher. NIS2 und B3S zwingen Krankenhäuser zu umfassendem Risikomanagement.
Ein Auto ohne AdBlue kann unter Umständen noch fahren, aber auf die Straße darf der Wagen eigentlich nicht mehr. Prof. Thomas Jäschke von der Datatree AG hat dieses Bild in seinem Vortrag beim Clubabend des Bundesverbands der Krankenhaus-IT-Leiterinnen und -Leiter bemüht, um ein massives Problem in deutschen Kliniken zu beschreiben. Denn bei in die Jahre gekommener Hard- und Software stellt sich oft dieselbe Frage: Ist der Betrieb eines Systems sicher oder legal, nur weil es technisch noch läuft?
Oft sieht es im Klinikalltag so aus: Ein alter Server brummt im Keller vor sich hin, das Archivsystem spuckt brav Patientenakten aus und das Ultraschallgerät macht seinen Job. Updates? Fehlanzeige. Den Stecker ziehen kann die IT-Abteilung trotzdem nicht einfach. Steuerrechtlich gelten zehn Jahre Aufbewahrungsfrist, bei medizinischen Akten reden wir über 15 bis 30 Jahre. Die Daten müssen also zwingend abrufbar bleiben.
Heikel wird die Lage, sobald Medizintechnik ins Spiel kommt. Hier hängt die Hardware oft an ganz spezifischen, teils sehr alten Software- oder Betriebssystemversionen. Spielt man hier eigenmächtig ein Update ein, riskiert man nicht selten die Zulassung des gesamten Geräts.
Einig waren sich die Teilnehmer bei der Veranstaltung, dass eine gemeinsame Liste alter Systeme notwendig ist, aber noch lange nicht ausreicht. Asset-Datenbanken und Inventare schaffen Transparenz, allerdings beginnt die eigentliche Arbeit danach. Welche Prozesse hängen an einem System? Welche Daten werden verarbeitet? Welche Schnittstellen bestehen? Welche Folgen hätte ein Ausfall? Wer entscheidet, ob ein System weiterbetrieben, isoliert, ersetzt oder abgeschaltet wird?
Gerade im Krankenhaus entscheidet nicht allein das Alter eines Systems über dessen Kritikalität. Ein alter Server kann vertretbar sein, wenn er sauber isoliert ist und nur noch für Archivzwecke benötigt wird. Ein anderes System kann hochkritisch sein, weil daran Diagnostik, Kommunikation, Medizintechnik oder zentrale Infrastruktur hängen. Risiken entstehen demnach nicht nur durch die Technik, sondern auch durch den Prozess, in dem die Technik eingesetzt wird.
Digital Health abonnieren
Alle 14 Tage bieten wir Ihnen eine Übersicht der neuesten Entwicklungen in der Digitalisierung des Gesundheitswesens und beleuchten deren Auswirkungen.
Ausführliche Informationen zum Versandverfahren und zu Ihren Widerrufsmöglichkeiten erhalten Sie in unserer Datenschutzerklärung.
Hängen jedoch zentrale Systeme oder Kommunikationswege an veralteter Technik, werden Angreifern Tür und Tor geöffnet. Dabei sind Themen wie Lifecycle-Management, Risikobewertung, Notfallplanung, Lieferkettensteuerung und Co. nicht neu. Inzwischen lässt der Gesetzgeber allerdings keine Ausreden mehr zu. Durch NIS2 und den Branchenspezifischen Sicherheitsstandard fürs Krankenhaus (B3S) stehen Krankenhäuser als kritische Infrastruktur massiv unter Druck, Informationssicherheit nachweisbar zu steuern. Die IT kann darauf hinweisen, an welchen Stellen Handlungsbedarf besteht.
Die Entscheidung über den Weiterbetrieb, eine Isolation, beziehungsweise die Abschaltung der kritischen Bereiche, oder notwendige Investitionen bleiben jedoch eine organisatorische Verantwortung. In der Praxis liegt hier oft die größte Hürde. Viele Häuser kennen ihre Altlasten, aber für die Umsetzung fehlen die Zeit, das Budget, das Personal, eine Priorisierung und klare Eskalationswege.
(mack)
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | Mit „IT-Notfallkarte“ und Co.: BSI hilft Arztpraxen bei IT-Sicherheit | 0 | 5 | 14-07-2026 |
| 2 | Alte Cisco-Lücke attackiert: Leitfaden zum Schutz | 0 | 7 | 14-07-2026 |
| 3 | Auslegungssache 163: Datenschutz-Alltag im Krankenhaus | 0 | 5 | 10-07-2026 |
| 4 | What Nobody Tells You When You Buy an Industrial Edge Device | 0 | 5 | 17-05-2026 |
| 5 | Ransomware Is About Leverage: Return on Risk Takes It Away | 0 | 5 | 30-06-2026 |
| 6 | На страже нацбезопасности: российские решения для киберзащиты критической инфраструктуры | 0 | 0 | 25-11-2020 |
| 7 | What governance looks like when business teams start shipping their own software | 0 | 5 | 24-06-2026 |
| 8 | Why frontier AI must be stress-tested before CISOs trust it | 0 | 5 | 26-06-2026 |
| 9 | СМИ: Белый дом принимает решения, которые могут привести к взлому его компьютеров | 0 | 0 | 24-10-2019 |