Strom Elektrizität Kabel Mast Hochspannung Stromnetz Stromversorgung High voltage transmission tower at dusk
© HelloRF Zcool / shutterstock.com
SERIE: Sicherheit Kritischer Infrastrukturen

Unzureichende Krisenvorsorge durch unzureichenden Gesetzesdruck

Zum Blackout-Schutz im Krankenhaus

Krankenhäuser sind kritische Infrastrukturen (KRITIS). Ihr Ausfall hätte – in Anlehnung an die KRITIS-Definition des Rates der Europäischen Union – wesentliche Bedeutung für die Aufrechterhaltung der Gesundheit. Umso wichtiger ist ihr Schutz vor vielfältigen Gefahren – doch daran hapert es. Ein Blick auf Strukturen, Risiken und Vorsorgemaßnahmen.

KRITIS-Definition für die IT-Sicherheit

»

Indem die kleineren Krankenhäuser ausgenommen werden, werden sie zu einem noch leichter überwindbaren Ziel.

«

Das Beispiel der Krankenhäuser in Neuss und Arnsberg, die 2016 nach Infektionen mit Verschlüsselungstrojanern ihre Computersysteme abschalten mussten, hatte deren Anfälligkeit etwa durch Cyberangriffe deutlich gemacht.

Gleichwohl nehmen das IT-Sicherheitsgesetz bzw. die BSI-Gesetzgebung nicht alle Krankenhäuser gleichermaßen in die Pflicht, sich den Herausforderungen der zunehmenden Digitalisierung und damit ihrer Verwundbarkeit zu stellen. Vielmehr wurde die Zahl von 30.000 vollstationären Krankenhausbehandlungen als Bemessungskriterium definiert, ab wann ein Krankenhaus als kritische Infrastruktur gilt.

Dieser Schwellenwert mag kleinere Krankenhäuser im positiven Sinne vom vollen Umfang der Anforderungen entlasten, die an größere Einrichtungen gestellt werden. Aber indem die kleineren, ohnehin finanziell weniger leistungsfähigen und dadurch auch über eine weniger ausgeprägte Infrastruktur verfügenden Krankenhäuser davon ausgenommen werden, werden sie zu einem noch leichter überwindbaren Ziel.

Vom Cyberangriff zum Blackout

»

Seit Jahren ist das zunehmende Risiko bekannt, das aus einem groß angelegten Cyberangriff auf die Stromversorgung resultieren würde.

«

Dabei ist die IT-Sicherheit längst nicht die einzige Gefahr, gegenüber der sich ein Krankenhaus wappnen muss – aber möglicherweise das Einfallstor bzw. der Ausgangspunkt.

Denn bis heute haben Cyberangriffe in Deutschland primär wirtschaftliche Schäden verursacht, sich jedoch nicht nachhaltig auf die Sicherheitslage – oder im konkreten Fall auf die Versorgung der Patienten – ausgewirkt. Doch seit Jahren ist das zunehmende Risiko bekannt, das aus einem groß angelegten Cyberangriff auf die Stromversorgung resultieren würde.

Das Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag hat schon 2010 in einer systematischen Analyse der Folgen eines lang andauernden und großflächigen Stromausfalls festgestellt, dass diese sich zu einer Schadenslage von besonderer Qualität summieren würden, dass alle kritischen Infrastrukturen betroffen wären und dass ein Kollaps der gesamten Gesellschaft kaum zu verhindern wäre.

Zur Tragweite eines Blackouts

»

Die Herausforderung bei einem Blackout besteht nicht nur durch den Stromausfall an sich.

«

Warum ist das so? – Weil ein Blackout einen plötzlich auftretenden, flächendeckenden, gegebenenfalls zeitgleich weite Teile Europas umfassenden, über mehrere Tage hinausgehenden Strom- und Infrastrukturausfall darstellt. Anders als bei einem lokalen und/oder kurzzeitigen Stromausfall fällt dabei gleichzeitig oder zeitnah nacheinander alles aus, was von der Stromversorgung abhängig ist.

Die Herausforderung bei einem Blackout besteht nicht nur durch den Stromausfall an sich, sondern besonders in dem daraus resultierenden infrastrukturellen Kollaps, zumal die Wiederherstellung ausgefallener kritischer Infrastrukturen wesentlich länger dauern kann, als die Wiederherstellung der Stromversorgung.

Dementsprechend bedeutsam ist die Vorsorge der kritischen Infrastrukturen auch für den Blackout-Fall.

Outsourcing im Krankenhaus

»

Jegliche Notfall- und Krisenplanung wird dadurch erschwert, dass die Krankenhäuser zahlreiche Dienstleistungen outgesourct haben.

«

Jegliche Notfall- und Krisenplanung bzw. -vorsorge wird dadurch erschwert, dass die Krankenhäuser ihre Leistungen längst nicht mehr alle selbst erbringen, sondern zahlreiche Dienstleistungen outgesourct haben.

Dazu können etwa gesundheitsbezogene Leistungen wie

  • die über Schnelltests hinausgehende Labordiagnostik,
  • der Betrieb der Apotheke oder
  • die Wartung der medizinischen Großgeräte

zählen.

In vielen Häusern werden zudem Leistungen wie

  • die Gebäudereinigung oder
  • die Wartung der Haustechnik, aber auch
  • der Betrieb der Wäscherei und Sterilisation oder
  • der Betrieb der Küche.

outgesourct.

Beispiel: Krankenhauswäscherei

»

Die Wäscherei hat weder eine Notstromversorgung, noch Notfallpläne – außer für einen temporären Betriebsausfall.

«

Der österreichische Blackout-Experte Herbert Saurugg hat schon oft den Finger in die Wunde gelegt und etwa auf das Wäschereiproblem hingewiesen.

Viele Spitäler verfügen über keine eigene Wäscherei mehr, sondern haben diese Leistung outgesourct. So liefert etwa ein Betreiber einer Wäscherei in der Regel zwei bis vier Mal pro Tag mit eigenen LKWs frische Wäsche (Bettwäsche, Handtücher, Patientenroben etc.) an.

Das Beispielspital führt ein eigenes Pandemielager und hat den Betreiber der Wäscherei verpflichtet, auch ein Pandemielager anzulegen. Dieses soll für ca. drei Tage im Normalbetrieb reichen oder als Kapazitätserweiterung bei Pandemien dienen. Zudem gibt es einen Altbestand an OP-Roben, die ersatzhalber als Patientenroben verwendet werden könnten.

Die Wäscherei hat weder eine Notstromversorgung, noch Notfallpläne – außer für einen temporären Betriebsausfall. Hier könnte sie auf andere Partnerwäschereien ausweichen, deren Infrastruktur sie als Nachtschicht mit eigenem Personal nutzen dürfte. Allerdings stehen für die eigenen LKWs auch keine Treibstoffvorräte zur Verfügung. Bei einem Blackout funktionieren jedoch auch keine Tankstellen mehr.

Das Beispiel der Wäscherei eines deutschen Universitätsklinikums zeigt das gleiche Bild: Der Wäscheumlauf im Klinikum reicht für aller längstens fünf Tage, die Notfallplanung beschränkt sich auf eine Partnerwäscherei. Für den Fall, dass – wie bei einem Blackout zu erwarten – auch diese nicht betriebsfähig ist, gibt es weder Überlegungen, noch Lösungen.

Beispiel: Krankenhausküche

»

Die Treibstoffbevorratung beschränkt sich auf den Tankinhalt des Aggregats, es gibt keinen zusätzlichen externen Tank.

«

Ein deutsches Universitätsklinikum hat seine Küche outgesourct. Diese befindet sich nicht (mehr) im oder am Klinikum, sondern in einem externen Gewerbegebiet in einiger Entfernung.

Der Verpflichtung, ein Notstromaggregat vorzuhalten, ist der Betreiber der Küche dadurch gerecht geworden, dass er seinerseits einen Dienstleister verpflichtet hat, ein Aggregat vorzuhalten und bei Bedarf anzuliefern. Dieser Dienstleister ist hunderte Kilometer entfernt und jenseits der deutschen Grenze ansässig – ganz abgesehen davon, dass das Aggregat möglicherweise mehrfach zugesagt wurde, wie Beispiele aus Österreich zeigen. Die Treibstoffbevorratung beschränkt sich auf den Tankinhalt des Aggregats, es gibt keinen zusätzlichen externen Tank. Begründung: Die Verpflichtung gegenüber dem Klinikum bezieht sich auf die Absicherung von Minuten, nicht von Stunden.

Im Krisenfall würden die Patienten nur noch kalte Mahlzeiten in sogenannten Doggybags erhalten. Die Lebensmittelvorräte dafür reichen für maximal drei Tage. Für den darüber hinaus gehenden Zeitraum gibt es Absprachen mit Lieferanten, dass diese in ihren eigenen Lagern ausreichende Mengen bevorraten, um einen Engpass auszugleichen. Allerdings handelt es sich dabei nicht um Exklusivmengen für dieses Klinikum, sondern um einen Vorratspool, aus dem im Krisenfall auch alle anderen Kunden versorgt werden würden – vorausgesetzt, der mehr als 150 km entfernt ansässige Lieferant könnte überhaupt noch liefern.

Unzureichende Krisenvorsorge

»

Es gibt keine Überlegungen und auch keine Vorsorge dafür, dass mehrere Einrichtungen gleichzeitig ausfallen.

«

Diese Beispiele machen das Problem deutlich: Die Gedankenansätze beschränken sich auf den isolierten Ausfall einer einzelnen Einrichtung. Es gibt keine Überlegungen und auch keine Vorsorge dafür, dass mehrere Einrichtungen gleichzeitig ausfallen, was bei einem Blackout definitiv zu erwarten ist.

Die Vorsorge beschränkt sich in vielen Bereichen auf eine angenommene Zeitdauer, die der Blackout-Gefahr nicht ansatzweise gerecht wird – das Szenario wird nicht zu Ende gedacht. Es findet aber auch deshalb eine Konzentration auf kürzere Szenarien statt, weil die Herausforderungen langfristiger Szenarien als zu groß (und zu teuer) eingeschätzt werden, um sie überhaupt planen zu können.

Zudem wird außer Acht gelassen, dass die Notfallvorsorge keine rein technische Herausforderung ist, sondern dass auch die Mitarbeiterverfügbarkeit im Krisenfall sichergestellt sein muss. Denn selbst loyale Mitarbeiter, die bis zur eigenen physischen und psychischen Belastungsgrenze ihre Aufgaben erfüllen, realisieren an einem bestimmten Punkt, dass auch ihre Familien zu Hause betroffen sind und ein Problem haben, und werden sich um ihre Angehörigen kümmern wollen. Wenn ein Klinikum, andere kritische Infrastrukturen oder auch Behörden und Organisationen mit Sicherheitsaufgaben (BOS) die Verfügbarkeit ihrer Mitarbeiter im Krisenfall sicherstellen wollen, kommen sie deshalb nicht umhin, diese ausreichend zu sensibilisieren und dabei zu unterstützen, private Vorsorge zu betreiben.

Fehlender Handlungszwang

»

Die Dienstleister tun nur, was das Klinikum als ihr Auftraggeber verlangt, und die Kliniken tun nur, wozu sie verpflichtet sind.

«

In viel zu vielen Fällen wird jedoch nur das getan, was unmittelbar gesetzlich verlangt wird – und abgesehen von der Notstromversorgung fehlen schon rechtliche Vorgaben, wie lange etwa welche Leistungen durch die Betreiber aufrecht erhalten werden müssen.

Der in vielen anderen Bereichen geltende Haftungsausschluss bei höherer Gewalt wird in den Beschaffungsverfahren zwar häufig ausgeschlossen, d. h. bei einer Nichtlieferung im Krisenfall würde den jeweiligen Betreiber nicht nur eine ausbleibende Vergütung, sondern auch eine darüber hinaus gehende Vertragsstrafe treffen. Oft wird dieses Risiko jedoch an eine Versicherung weitergereicht, wodurch die Verantwortlichen nicht mehr haften.

Allerdings wird das Haftungsrisiko der Krankenhäuser auch schon dadurch reduziert, dass Universitätskliniken öffentliche Einrichtungen sind. Im Gegensatz zu privaten Kliniken und großen Betreiberkonzernen würden kleinere Betreiber, so wird argumentiert, einen Blackout wohl ohnehin wirtschaftlich nicht überstehen. Und eine persönliche Haftung Verantwortlicher mit ihrem Privatvermögen würde ausscheiden, sofern nachgewiesen werden könnte, dass es überhaupt adäquate Notfall- und Krisenplanungen gab – selbst wenn diese für einen Blackout völlig unzureichend wären.

In Verbindung mit dem betriebswirtschaftlichen Kosten- und Gewinndruck im Gesundheitswesen wird deshalb in der Regel nur das absolut Notwenige getan, d. h. insbesondere nicht mehr Geld ausgegeben als nötig: Die Dienstleister tun nur, was das Klinikum als ihr Auftraggeber verlangt, und die Kliniken tun nur, wozu sie verpflichtet sind.

Unzureichender Gesetzesdruck

»

Die Vorsorge muss allerdings auch adäquat sein.

«

Wenn staatlicherseits das Blackout-Risiko jedoch so hoch eingeschätzt wird, wie es Äußerungen vom Bundesinnenminister bis zum Präsidenten des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) zum Ausdruck bringen, kommt der Gesetzgeber nicht umhin, die Gesetzeslage so zu verändern, dass alle Infrastrukturbereiche, die als „kritisch“ gelten, zur Vorsorge verpflichtet werden.

Diese Vorsorge muss allerdings auch adäquat sein und sowohl den Zeitfaktor, als auch die Ausbreitung eines „lang andauernden und großflächigen Stromausfalls“ (so die Blackout-Definition) berücksichtigen. Zudem müssen Krisenpläne nicht nur für die Infrastruktureinrichtung selbst, sondern auch für nachgelagerte Subunternehmer ausgearbeitet werden.

Alternativ muss der Stellenwert der Krisenvorsorge verstanden werden, nicht nur als lästiges Übel, gegen das man sich absichern muss, und sei es nur durch den Abschluss einer Versicherung. Vielmehr muss ein Umdenken stattfinden: Die Verantwortlichen müssen informiert und sensibilisiert werden und auch dann Verantwortung für das Notwendige übernehmen, wenn es nicht explizit verlangt wird.

SERIE: Sicherheit Kritischer Infrastrukturen

Unzureichende Krisenvorsorge durch unzureichenden Gesetzesdruck

Zum Blackout-Schutz im Krankenhaus

SERIE: Sicherheit Kritischer Infrastrukturen

Offline statt digital

Vom Ausfall des Internets in einer digitalisierten Welt

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.