Krankenhauszukunftsgesetz (KHZG): Aktueller Status und die nächsten wichtigen Schritte
In einem ausführlichen Gespräch unterhalten sich Stefan Rabben, Area Sales Director DACH and Eastern Europe bei der WALLIX Group und Martin Braun, Gründer und Geschäftsführer der IT-Security Beratung Security manufaktur über die nächsten Schritte im Rahmen des Krankenhauszukunftsgesetzes (KHZG).
Stefan Rabben: Ich grüße Dich lieber Martin! Weihnachten und damit auch der Jahreswechsel liegen ja unmittelbar vor uns. Die ersten Vorboten haben sich ja in Form von heftigen Schneefällen bereits angekündigt!
Martin Braun: Das stimmt! Hallo auch an Dich Stefan. Bei uns in den Bergen war der Schneefall in der Tat schon ziemlich stark. Das heißt aber auch, dass wieder ein bewegtes Jahr 2021 bald hinter uns liegen wird.
Stefan Rabben: Ein Jahr, das uns als Gesellschaft vor enorme Herausforderungen gestellt hat. Die Corona-Situation beeinflusst unser Leben auf unterschiedlichste Art und Weise. Aber – und das muss an dieser Stelle auch einmal gesagt sein – sie sorgt auch für neue Erkenntnisse und die Regierung reagiert mit diversen Förderprogrammen.
Martin Braun: Ja, Erkenntnis Nummer eins ist: Das Home Office funktioniert, wenn die entsprechenden Voraussetzungen geschaffen sind. Eine weitere Erkenntnis ist die Systemrelevanz bestimmter Berufsgruppen für uns als Gesellschaft. Denn die Situation in Krankenhäusern und beim Pflegepersonal ist der pure Wahnsinn. Was sich derzeit auf Intensivstationen abspielt ist ein einmaliger Vorgang. Es zeigt, dass wir in Krisenzeiten an systemische Grenzen stoßen – auch als fortschrittlich geprägte Industrienation!
Stefan Rabben: Krankenhäuser sind ganz klar kritische Infrastrukturen. Ohne eine funktionierende Gesundheitsversorgung sind wir substantiell gefährdet. Will heißen, dass diese KRITIS auch eine Sonderbehandlung erfordern – in allen Belangen. Das Krankenhauszukunftsgesetz, dass vom Gesundheitsministerium initiiert wurde, ist doch der richtige Schritt, oder?
Martin Braun: Absolut! Staat und Regierung sind doch in der Pflicht, alles dafür zu tun, dass das Gesundheitssystem bedenkenlos funktioniert. Es ist aber leider überall so, dass erst in Krisenzeiten transparent wird, wo in der Vergangenheit Versäumnisse oder mangelnde Förderungen aufgetaucht sind. Aber lamentieren hilft nichts – jetzt heißt es, alles daran setzen, dass die Maschine läuft.
Stefan Rabben: Interessant ist doch die Tatsache, dass auch das Thema IT-Sicherheit endlich bei den Verantwortlichen angekommen ist.
Martin Braun: So ist es! IT-Sicherheit spielt gerade bei KRITIS Umgebungen eine ganz fundamentale Rolle! Krankenhäuser zählen aufgrund ihrer herausragenden Bedeutung für das Wohlergehen und den Schutz der Bevölkerung zu den Kritischen Infrastrukturen unserer Gesellschaft. Ihr Ausfall oder auch die Beeinträchtigung nachhaltig wirkender Versorgungsengpässe, würde erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen nach sich ziehen. Kliniken haben daher eine besondere Verpflichtung, die Verfügbarkeit ihrer Dienste und der Prozesse, mit denen diese erbracht werden, zu gewährleisten und sicherzustellen.
Stefan Rabben: Und das ist auch gesetzlich geregelt! Der Gesetzgeber verlangt die Einhaltung von regulativen Vorgaben für die Informationssicherheit – insbesondere B3S und ISO 27001. Klinikprozesse sollen somit maximal vor Cyberangriffen und größeren Ausfällen geschützt werden.
Martin Braun: Mit dem Krankenhauszukunftsgesetz und der Einführung der Telematikinfrastruktur gibt es im Jahr 2021 gleich zwei starke Treiber für die digitale Optimierung der Prozesse in den Kliniken. Das KHZG ist dabei eine logische Ergänzung der bereits existierenden Gesetzgebung des Ministeriums für Gesundheit, in der die Digitalisierung vieler Prozesse umfassend geregelt ist. Zwei Dinge sind es vor allem, die der Gesetzgeber im KHZG von allen Krankenhäusern verlangt: Interoperabilität und IT-Sicherheit. Wer sich diesen Zielen nicht nachweislich annimmt, wird keine Förderung bekommen.
Stefan Rabben: Apropos Förderung. Welche Subvention beinhaltet das KHZG eigentlich?
Martin Braun: Die Fördergelder stehen seit dem 1. Januar 2021 zur Verfügung. Die Länder und/oder die Krankenhausträger müssen sich jedoch mit einem Eigenanteil von 30 Prozent der jeweiligen Investitionskosten beteiligen. Für den Fall, dass sich die Länder nicht ausreichend beteiligen, wurde die Möglichkeit geschaffen, ein Sonderkreditprogramm der KfW in Anspruch zu nehmen. Alles in allem stehen dem Krankenhauszukunftsfonds demnach 4,3 Milliarden Euro zur Verfügung. Dabei ist durchaus festgelegt, wofür die Gelder abgerufen werden können. Eine wichtige Vorgabe bezieht sich auf die IT-Sicherheit, denn mindestens 15 Prozent der beantragten Gelder müssen für deren Verbesserung ausgegeben werden.
Stefan Rabben: Das bedeutet ohne die Investition von 15 Prozent in IT-Sicherheit, können die Gelder nicht abgerufen werden?
Martin Braun: Ganz genau! Wie zuvor schon erwähnt, muss ein Teil des bereitgestellten Geldes in sichere IT-Infrastrukturen investiert werden. Oberste Priorität sollten dabei alle Hardware- und Softwarekomponenten haben, die gewährleisten, dass Krankenhäuser in der Lage sind Patienten vollumfänglich zu bedienen. Dazu gehören in erster Linie Portale, die notwendig zur Planung und Durchführung jeglicher Behandlungen, aber auch zur Bestellung von Medikamenten oder auch zur Einsatzplanung des Pflegepersonals, sind. Erfahrungsgemäß ist bei IT-Sicherheitsmaßnahmen in der Medizinbranche, neben der gegebenen Sicherheit an sich, vor allem die Umgänglichkeit der Maßnahmen im alltäglichen Betrieb von entscheidender Bedeutung. Eine IT-Sicherheitsmaßnahme, die vom Personal pro Patient eine erhebliche Wartezeit erfordert, ist kaum umsetzbar.
Stefan Rabben: Also stehen Einsatzbarkeit, Praktikabilität und Usability im Vordergrund?
Martin Braun: Jawoll! Die Überarbeitung der Berechtigungen nach einem übergreifenden Berechtigungskonzept, in allen relevanten Systemen, ist dabei eine Maßnahme, die erfahrungsgemäß einen hohen Einfluss auf die IT-Sicherheit hat, aber kaum negativen Einfluss auf die Arbeit des Personals nimmt. Eine weitere beliebte Maßnahme ist die Einführung von Single-Sign-On. Das Pflegepersonal meldet sich nicht mehr am Stationscomputer mit Usernamen und Passwort an, sondern verwendet beispielsweise eine PKI-Karte mit einem PIN. So wird nicht nur die Anmeldung vereinfacht, sondern auch sichergestellt, dass ein Eindringling nicht nur eine PIN braucht, sondern auch die Karte an sich.
Stefan Rabben: Daher spielt Identity und Access Management eine wichtige Rolle. Gerade in einem so kritischen Umfeld wie dem Gesundheitswesen spielt der Zugangsschutz ja eine erhebliche Rolle. Unsere WALLIX-Lösungen sind bereits im KRITIS Umfeld etabliert, weil die Anforderungen der ISO 27001-Richtlinie bzw. des entsprechenden B3S-Dokuments an die IT-Sicherheit durch den Einsatz dieser Lösungen effektiv erfüllt werden. Hervorzuheben sind insbesondere unsere Compliance-Anforderungen für einen dedizierten Genehmigungsworkflow, die Kontrolle und Nachvollziehbarkeit sämtlicher Aktivitäten von externen Dienstleistern und internen Administratoren auf kritischen Systemen, sowie die revisionssichere Speicherung dieser Daten in verschlüsselter Form. Also alles in allem bieten wir mit unserem Produktangebot eine profunde Lösung für die aktuellen Anforderungen.
Martin Braun: Das denke ich auch! Der Zugangsschutz zu sensiblen Patientendaten gehört zu den wichtigsten Punkten in einem IT-Security-Konzept für KRITIS.
Stefan Rabben: Welche Ziele werden eigentlich mit dem KHZG verfolgt?
Martin Braun: Das Ziel ist, dass bis zum Jahr 2025 alle Krankenhäuser den digitalen Verordnungen des Krankenhaus-Strukturfonds entsprechend ausgerüstet sind. Werden diese Anforderungen nicht erfüllt, droht eine Senkung der Diagnosis Related Group Erlöse – kurz: DRG-Erlöse. Und zwar in der Höhe von zwei Prozent, was einen signifikanten Budgetposten darstellt. Für viele Kliniken hat es sich deshalb gelohnt, die Förderung durch das Krankenhauszukunftsgesetz zu beantragen.
Stefan Rabben: Der Antragstellungsprozess der Förderung liegt ja mittlerweile hinter uns. Was steht als nächstes an?
Martin Braun: Die Anträge für die Fördertöpfe wurden im Laufe des Jahres 2021 eingereicht. Zum Teil wurden sie auch schon genehmigt. Der Rest der Anträge befindet sich derzeit bei den offiziellen Behörden im Freigabeprozess. Der alles entscheidende Teil beginnt also genau JETZT. Im nächsten Schritt wird nämlich darüber entschieden wie die Fördermittel von den jeweiligen Krankenhäusern eingesetzt werden – sprich wie genau werden die Gelder individuell aufgeteilt. An diesem Punkt ist guter Rat teuer, denn die Entscheidungen hinsichtlich der Infrastruktur im Rahmen der organisatorischen und legalen Vorgaben haben eine große Auswirkung auf den Gesamtprozess der Klinikabläufe!
Stefan Rabben: Und die Budgetverantwortlichen müssen jetzt ja insbesondere die Themenpunkte Rechtskonformität zu den KHZG Anforderungen sowie Einhaltung des B3S IT‐ Sicherheitsstandards beachten. Der Schritt ist also von außerordentlicher Bedeutung. Professionelle Beratung hinzuziehen heißt zum einen sich absichern und zum anderen richtige Entscheidungen zu treffen, die wegweisend für zukünftigen Erfolg und Risikokontrolle sind.
Martin Braun: Und hier kommen wir ins Spiel. Als auf IT-Security im Klinikumfeld spezialisierter Dienstleister unterstützen wir die Kliniken und Krankenhäuser mit unserer langjährigen Erfahrung bei der Umsetzung der KHZG Anforderungen in den einzelnen Fördertatbeständen. Angefangen mit der Analyse Ihres IT-Security-Levels über ein Reifegradmodell über die Definition der notwendigen Maßnahmen zur Umsetzung der MUSS-Kriterien der IT-Sicherheitsprojekte der einzelnen Fördertatbestände bis hin zur Auswahl der geeigneten IT-Sicherheitsanbieter und -lösungen begleiten wir ab dem Förderbescheid bis zur Implementierung. Der komplette Service aus einer Hand sozusagen.
Stefan Rabben: Und anlässlich des KHZG, weise ich noch einmal explizit auf unser vergünstigtes Produktangebot mit einem Rabatt von bis zu 40% auf unsere Produkte hin!
Martin Braun: Wir haben das KHZG ebenfalls zum Anlass genommen und ein Spezial-Beratungstarif angeboten. Interessierte können sich gern über die auf dieser Landing Page angezeigten Kontaktdaten melden.
Stefan Rabben: Vielen Dank für diese Einsichten, Martin. Und jetzt wünsche ich Dir nicht ganz so viel Arbeit mit dem Schneeschaufeln!
Martin Braun: Danke Dir Stefan. Bleib gesund und bis bald!
Wenn Sie mehr über das Krankenhauszukunftsgesetz erfahren möchten: Hier erhalten Sie weitere Informationen!