In einem Bürogebäude am Rande des Frankfurter Bankenviertels hat die Unternehmensberatung Protivity ihren Deutschland-Sitz. Das Unternehmen schult unter anderem Prüfer, die schauen, ob kritische Infrastrukturen wirklich so sicher sind, wie das BSI-Gesetz es vorschreibt:

"Hier geht es also wirklich darum, dass vom Vorstand, Geschäftsführung bis in die IT hinein das Thema Informationssicherheit gemanagt wird. Dass Risiken identifiziert werden, dass geprüft wird: Wie kann man mit diesen Sicherheitsrisiken umgehen? In der Regel ergeben sich daraus Maßnahmen in der IT, wie beispielsweise Firewalls oder Netzwerk-Sicherheit oder auch bei Applikationen: Da geht es um Berechtigungen."

Erklärt Kai-Uwe Ruhse, der die Technologie-Beratung des Unternehmens leitet. Was er da beschreibt, ist ein Informationssicherheitsmanagementsystem. Es geht eben nicht nur darum, hier und da IT-Systeme zu schützen. Solche Maßnahmen müssen vielmehr aus einer ganzen Sicherheitskultur im Ökosystem Klinik heraus entstehen. Letztendlich sollen sie dafür sorgen, dass die wichtigen Patienteninformationen und IT-Systeme immer verfügbar sind. Außerdem müssen die Informationen integer sein – dürfen also nicht unbemerkt verändert werden. Und schließlich muss man sie gegen einen Zugriff von außen schützen – gerade bei so sensiblen Informationen wie Patientendaten. Der Fokus liegt aber vor allem auf der Verfügbarkeit:

"Wenn eine Katastrophe hier eintritt, dann sollten die Daten da sein. Wenn ein Stromausfall eintritt, sollte sichergestellt sein, dass der Betrieb im Krankenhaus erst mal weiterläuft."

Was das konkret bedeutet, kann man an der Uniklinik Bonn erfahren: Über 50.000 stationäre Behandlungen gibt es hier pro Jahr, 8.000 Beschäftigte, 32 einzelne Kliniken auf einem 42 Hektar großen Gelände. Relativ zentral steht das unscheinbare Gebäude der IT-Abteilung. Drei Stockwerke hat es. Ganz oben hat Dieter Padberg sein Büro. Er ist IT-Direktor. Die Daten, über die er wacht, lagern einige Stockwerke tiefer:

"Hier ist beispielsweise auch ein Rechenzentrum untergebracht und unten im Keller ist ein großer Diesel, der in Notfallsituationen anspringt. Das heißt, wir überbrücken letztendlich den ersten Ausfall mit sogenannten USV-Anlagen. Unterbrechungsfreier Stromversorgung."

Aber was, wenn jemand es wirklich darauf absieht, die Server zu zerstören?

"Wir haben in allen Dingen eigentlich eine Redundanz. Wir haben auch nicht nur ein Rechenzentrum hier im Haus, sondern wir haben ein zweites genauso gelagert in einem anderen Haus, wo auf solche Terror-Aktionen Wert gelegt wird. Das heißt, sollte wirklich in diesem Haus mal irgendetwas ausfallen oder es sabotiert werden, gibt es in einem zweiten ein zweites Rechenzentrum, das eins zu eins sämtliche Funktionen übernehmen kann."

So weit soll es aber gar nicht kommen:

"Also Sie kommen hier ins Gebäude, aber spätestens vor unseren Fluren ist immer Schluss. Dort haben Sie vielleicht gesehen, sind überall Kameraanlagen. Zum zweiten sind die Serverräume nochmal doppelt gesichert. Das heißt, Sie haben dort über Passwort-Abfrage, über bestimmte Security Levels nur eine sehr, sehr geringe Möglichkeit, in die Räume reinzukommen."

Neben diesem physischen Schutz, schirmen Firewalls die Computersysteme nach außen ab; Virenscanner prüfen die Systeme von innen; die Computer auf den Stationen melden sich nach einiger Zeit automatisch ab. Aber hier können Konflikte zwischen Sicherheit und Klinikbetrieb entstehen. Aus den USA sind etwa Fälle dokumentiert, wo Mitarbeiter allein dazu abgestellt wurden, ständig auf die Leertaste zu drücken. Damit sollten sie verhindern, dass die Computer sich nach fünf Minuten ausloggen und die Ärzte sich wieder umständlich einloggen müssen.

"Wir gehen in den Dialog mit unseren Anwendern und fragen: Was ist zumutbar und wo ist der Fluss nicht beeinträchtigt? Das heißt, wir schauen uns an, beobachten: Wie wird das angenommen? Und entsprechend haben wir immer Zyklen, wo wir solche Fragestellungen anpassen."

Das ist der entscheidende Punkt, der eben aus dem systematischen Denken bei der Informationssicherheit hervorgeht: Es braucht ein Konzept, das an die Arbeit auf allen Ebenen der Klinik angepasst ist und dennoch den Cyber-Risiken gerecht wird.