Krankenhaus unter KRITIS: BSI-Grundschutz, physische Sicherheit und Praxis

Ein Krankenhaus unter KRITIS ist kein IT-Projekt mit medizinischer Komponente, sondern ein medizinischer Betrieb, dessen Versorgungsauftrag an digitalen und physischen Abhängigkeiten hängt, die in den meisten Häusern älter sind als die Verordnungen, die sie regeln.

Wer das verstanden hat, liest den BSI-Baustein KRH nicht als Compliance-Pflicht, sondern als Inventur. Die Frage ist nicht, ob ein Audit bestanden wird. Die Frage ist, ob die Notaufnahme um 03:40 Uhr noch funktioniert, wenn das Notstromaggregat startet, der Serverraum die zweite Wärmequelle in derselben Etage hat und der Außenzugang zur Technikzentrale seit fünf Jahren mit demselben Generalschlüssel betrieben wird. Diese Fragen sind nicht theoretisch. Sie werden in jedem dritten Audit zur Schwachstelle, die die übrigen Maßnahmen ihrer Wirkung beraubt.

Boswau + Knauer arbeitet seit Jahren an den physischen Komponenten, die in den IT-zentrierten Sicherheitskonzepten der Kliniken systematisch unterschätzt werden. Die nachfolgenden Abschnitte beschreiben, welche Verschiebungen sich aus dem Baustein KRH ergeben, wo physische Sicherheit ins Klinikmanagement greift und welche Schritte ein Haus gehen kann, ohne sich in einem dreijährigen Beratungsprozess zu verlieren.

Der Baustein KRH im Kontext

Der IT-Grundschutz-Baustein KRH des BSI beschreibt die spezifischen Anforderungen an Krankenhäuser, die als Betreiber kritischer Infrastrukturen eingestuft sind. Er ist kein isoliertes Dokument, sondern verweist auf eine Reihe von Bausteinen, die in ihrer Gesamtheit gelesen werden müssen. INF.1 bis INF.10 für Gebäude, Räume und Versorgungsinfrastruktur. CON.1 bis CON.10 für die organisatorische Verankerung. OPS für den Betrieb. SYS und APP für die technischen Systeme. Wer KRH liest, ohne diese Querbezüge mitzulesen, hat das halbe Bild.

Die spezifische Härte des Bausteins KRH ergibt sich aus dem Umstand, dass ein Krankenhaus weder geschlossen noch evakuiert werden kann, ohne dass die Versorgung Schaden nimmt. Eine Bank kann eine Filiale für 48 Stunden schließen. Ein Energieversorger kann eine Umspannstation für sechs Stunden vom Netz nehmen. Eine Klinik kann keine Notaufnahme für zwei Stunden ausfallen lassen, ohne dass die Folgekette in die regionale Versorgung reicht. Diese Nichtverhandelbarkeit der Verfügbarkeit ist die zentrale Größe, an der jede Sicherheitsmaßnahme gemessen werden muss.

Aus dieser Größe ergeben sich Anforderungen, die sich von denen anderer KRITIS-Sektoren unterscheiden. Die Stromversorgung ist nicht nur redundant, sondern in ihrer Schaltlogik so ausgelegt, dass medizintechnische Geräte ohne Unterbrechung weiterlaufen. Die Datenverarbeitung ist nicht nur gesichert, sondern so verfügbar, dass Patientendaten in der Notfallsituation in Sekunden abrufbar sind. Die Zugangskontrolle ist nicht nur dokumentiert, sondern so organisiert, dass Rettungsdienste, Lieferanten und Reinigungskräfte in unterschiedlichen Berechtigungsstufen sauber getrennt sind, ohne dass der Klinikbetrieb in seinen Tagesabläufen gebremst wird. Diese drei Dimensionen sind die Punkte, an denen physische Sicherheit ins Klinikmanagement greift, und sie sind in den meisten Häusern die Stellen, an denen die größten Lücken sitzen.

Die Verordnung zur Bestimmung Kritischer Infrastrukturen, BSI-Kritisverordnung, legt den Schwellenwert für Krankenhäuser bei 30.000 vollstationären Fällen pro Jahr fest. Wer diesen Schwellenwert überschreitet, ist als KRITIS-Betreiber eingestuft. Wer ihn knapp unterschreitet, ist es formal nicht, betreibt aber in der Regel die gleiche Technik und trägt die gleichen Risiken. Die Trennung zwischen formaler und materieller KRITIS-Eigenschaft ist deshalb für die Sicherheitsplanung weniger relevant, als sie auf den ersten Blick scheint.

Patientendaten und ihre physische Hülle

Patientendaten werden in der Diskussion um Klinik-IT fast ausschließlich als Datenschutzthema verhandelt. Die DSGVO, die Schweigepflicht, die Anforderungen an Pseudonymisierung und Verschlüsselung. Diese Diskussion ist berechtigt, aber sie ist unvollständig. Patientendaten existieren in einer physischen Hülle. Sie liegen auf Servern, die in Räumen stehen, die in Gebäuden sind. Wer den Raum betritt, hat unter Umständen Zugriff auf die Daten, der sich durch keine Verschlüsselung mehr abfangen lässt, weil die Verschlüsselung an der Hardware vorbeigeht, sobald die Hardware physisch verfügbar ist.

Der Baustein INF.5 des Grundschutzes beschreibt die Anforderungen an Serverräume. Zutrittskontrolle, Brandschutz, Klimatisierung, Stromversorgung, Schutz vor Wassereintritt, Überwachung. Jede dieser Anforderungen ist in einem mittleren Krankenhaus an mindestens einer Stelle verletzt. Der Serverraum, der ursprünglich als Lagerraum geplant war und im Zuge der Digitalisierung umgewidmet wurde, hat selten eine vollwertige Zutrittsdokumentation. Der Generalschlüssel, der seit Jahren bei der Haustechnik liegt, öffnet ihn ebenso wie das Lager für Verbrauchsmaterial. Die Klimatisierung läuft, ist aber nicht überwacht, sodass ein Ausfall erst entdeckt wird, wenn die Geräte abschalten. Diese Lücken sind nicht spektakulär. Sie sind die Normalität, an die sich die Häuser gewöhnt haben.

Die physische Hülle der Patientendaten beginnt nicht erst am Serverraum. Sie beginnt an der Außenhaut des Gebäudes. Eine offene Anlieferzone, an der nachts der Sattelzug der Wäscherei steht, ist ein Eintrittspunkt. Eine Tiefgarage, deren Tor seit Monaten nicht mehr richtig schließt, ist ein Eintrittspunkt. Ein Flachdach, das über die angrenzende Tiefgarage erreichbar ist, ist ein Eintrittspunkt. Wer eine Klinik aus der Perspektive eines Angreifers prüft, findet diese Punkte in jeder ersten Begehung. Wer sie aus der Perspektive des Betreibers prüft, sieht sie nach Jahren nicht mehr.

Die Verbindung zwischen physischer Sicherheit und Datenschutz wird in den Audits, die wir begleiten, regelmäßig dort sichtbar, wo Dokumentation und Realität auseinanderfallen. Die Dokumentation beschreibt eine Zutrittskontrolle, die im Plan funktioniert. Die Realität zeigt eine Tür, die seit Jahren mit einem Türstopper offen gehalten wird, weil die Pflegekräfte sonst nicht durchkommen. Dieser Widerspruch ist nicht durch eine weitere Richtlinie zu lösen. Er ist durch eine technische Lösung zu lösen, die den Arbeitsablauf nicht stört und gleichzeitig die Dokumentation automatisch erzeugt. Genau an dieser Stelle setzen die Plattformen an, die in unserem Hause entwickelt werden und im Buch BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie als Linie beschrieben sind.

Stromversorgung als unterschätzte Größe

Die Stromversorgung eines Krankenhauses ist redundant. Diesen Satz hört man in jedem Vorgespräch. Er ist in der Regel auch zutreffend, in dem Sinne, dass eine zweite Einspeisung vorhanden ist, ein Notstromaggregat installiert ist und eine unterbrechungsfreie Stromversorgung für die kritischen Bereiche vorgehalten wird. Die Frage ist nicht, ob diese Komponenten existieren. Die Frage ist, ob ihre Schaltlogik unter realen Bedingungen funktioniert und ob ihre physische Sicherheit dem Schutzniveau entspricht, das die Klinik insgesamt beansprucht.

Notstromaggregate stehen in der Regel in eigenen Räumen, die aus brandschutztechnischen Gründen vom Hauptgebäude getrennt sind. Diese Trennung ist sinnvoll, sie erzeugt aber gleichzeitig einen Punkt erhöhter Verletzlichkeit. Der Raum ist von außen zugänglich, häufig über eine Anlieferzufahrt, die nicht permanent überwacht ist. Der Tankraum für den Diesel ist in einigen Häusern noch immer nicht gegen Zugriff geschützt, sondern lediglich gegen Witterung. Wer die Notstromversorgung außer Gefecht setzen will, muss nicht in den Operationssaal eindringen. Er muss in den Tank eindringen oder die Kraftstoffleitung manipulieren. Der Schaden tritt erst Stunden später ein, wenn der reguläre Strom ausfällt und das Aggregat keinen Brennstoff mehr fördert.

Die unterbrechungsfreie Stromversorgung deckt typischerweise eine Überbrückungszeit von zehn bis fünfzehn Minuten ab, in der die Aggregate hochfahren. Wenn die Aggregate nicht hochfahren, weil sie nicht regelmäßig getestet wurden, weil der Brennstoff alt ist oder weil die Schaltautomatik versagt, entsteht eine Versorgungslücke, die in der Notaufnahme und in den Intensivbereichen unmittelbare Folgen hat. Die Bundesnetzagentur und die Berufsgenossenschaft haben in ihren Empfehlungen mehrfach darauf hingewiesen, dass die regelmäßige Lasttestung der Notstromsysteme der Punkt ist, an dem die Krankenhäuser am häufigsten zurückbleiben. Die Tests werden dokumentiert, aber sie werden oft als Leerlauftest gefahren, der die reale Lastsituation nicht abbildet.

Aus der Perspektive der physischen Sicherheit ergeben sich aus dieser Lage drei Konsequenzen. Erstens muss der Zugang zu den Energieanlagen, einschließlich Tankräumen und Mittelspannungsverteilern, mit demselben Schutzniveau ausgelegt sein wie die Patientendaten, weil ihre Manipulation ähnliche Folgen hat. Zweitens muss die Überwachung der Anlagen rund um die Uhr funktionieren, was in der Regel nicht durch Personal, sondern durch sensorische Erfassung in Kombination mit Videoanalyse erreicht wird. Drittens muss die Reaktionszeit auf erkannte Auffälligkeiten in einer Größenordnung liegen, die unterhalb der Zeit für eine erfolgreiche Manipulation bleibt. Diese drei Anforderungen lassen sich nicht durch klassische Wachdienste in Vollabdeckung erreichen, weil die Personalkosten die wirtschaftliche Grundlage des Hauses übersteigen würden. Sie lassen sich durch eine Kombination aus Technologie und reaktionsfähigem Personal erreichen, die den Aufmerksamkeitsradius einer einzelnen Person auf mehrere Standorte gleichzeitig erweitert.

Zugangskontrolle ohne Betriebsstörung

Ein Krankenhaus ist ein öffentliches Gebäude. Besucher, Patienten, Rettungsdienste, Lieferanten, Wartungspersonal, Reinigungskräfte, externe Ärzte, Studierende, Praktikanten, Forschungspersonal. Jede dieser Gruppen hat einen legitimen Anspruch auf Zugang zu bestimmten Bereichen, und keine dieser Gruppen ist eindeutig identifizierbar, ohne dass an irgendeiner Stelle ein Identifikationsschritt stattfindet. Wer eine Klinik nach den Anforderungen des Bausteins KRH absichert, steht vor der Aufgabe, diese Vielfalt zu strukturieren, ohne den Betrieb zu lähmen.

Die klassische Antwort auf diese Aufgabe besteht aus einer Pforte, einem Besucherausweis und einer Liste der berechtigten Lieferanten. Diese Antwort funktioniert in den Tageszeiten, in denen die Pforte besetzt ist. Sie funktioniert nicht in den Nachtstunden, in denen die Pforte unbesetzt ist oder mit einer einzelnen Person besetzt ist, die die Lage am Bildschirm nicht vollständig überblicken kann. Sie funktioniert nicht an Nebeneingängen, an denen die Pflegekräfte ein und aus gehen, ohne ihre Karte zu nutzen, weil das Lesegerät schon dreimal in der Woche ausgefallen ist. Sie funktioniert nicht an der Anlieferzone, an der die Rampe für Wäsche, Essen, Apotheke und Müll gleichzeitig genutzt wird, weil die räumliche Trennung in der Planung des Hauses vor vierzig Jahren nicht vorgesehen war.

Die Antwort auf diese Lage liegt nicht in mehr Personal, sondern in einer Architektur, die die Identifikation an die Bewegung des Menschen koppelt und nicht an seinen Willen, sich zu identifizieren. Eine berührungslose Erfassung, die im Hintergrund läuft, eine Videoanalyse, die das Verhalten gegen typische Muster prüft, eine sensorische Erfassung, die abweichende Bewegungen registriert, und eine zentrale Auswertung, die diese Informationen zu einem Lagebild verdichtet. Die Mitarbeiter müssen sich nicht ständig ausweisen. Sie werden erkannt, weil sie sich bewegen wie Mitarbeiter. Wer sich anders bewegt, fällt auf, und die Person, die das Lagebild führt, kann reagieren, bevor der Vorgang aus der Hand läuft.

Diese Architektur ist anspruchsvoll, weil sie datenschutzrechtlich saubere Grenzen einhalten muss. Sie ist mit Betriebsrat, Datenschutzbeauftragtem und gegebenenfalls Aufsichtsbehörden abzustimmen. Sie funktioniert nicht, wenn diese Abstimmung nachträglich gesucht wird. Sie funktioniert, wenn die Architektur von Beginn an mit den datenschutzrechtlichen Grenzen mitgedacht ist und wenn die Auswertung nicht auf Identifikation einzelner Personen zielt, sondern auf Erkennung abweichender Muster. Der Unterschied zwischen Überwachung und Lagebild ist nicht akademisch. Er entscheidet darüber, ob eine Maßnahme rechtlich tragfähig ist.

Die BG BAU hat in ihren Empfehlungen für die Sicherheit von Liegenschaften wiederholt darauf hingewiesen, dass die Zugangskontrolle nicht an der Person hängen darf, weil Personen krank werden, kündigen oder die Aufmerksamkeit verlieren. Sie muss an der Struktur hängen, die Personen unterstützt. Diese Sichtweise gilt für die Baustelle ebenso wie für das Krankenhaus, und sie ist in beiden Bereichen die Grundlage einer skalierbaren Sicherheitsarchitektur.

Audit, Dokumentation und die Frage der Verteidigungsfähigkeit

Ein KRITIS-Audit nach Paragraph 8a BSIG fordert vom Betreiber den Nachweis, dass angemessene organisatorische und technische Vorkehrungen getroffen sind, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu vermeiden. Dieser Nachweis muss alle zwei Jahre erbracht werden. Er wird durch unabhängige Prüfer erbracht, die ihrerseits vom BSI registriert sind. TÜV, VdS und weitere Stellen bieten diese Prüfungen an, und ihre Berichte gehen an das BSI, das im Ernstfall Maßnahmen anordnen kann.

Die Verteidigungsfähigkeit eines Hauses gegenüber dem Auditor hängt nicht primär davon ab, ob jede einzelne Maßnahme implementiert ist. Sie hängt davon ab, ob das Haus eine konsistente Risikoanalyse hat, ob die getroffenen Maßnahmen aus dieser Analyse abgeleitet sind und ob die Lücken dokumentiert und mit einem Umsetzungsplan versehen sind. Ein Haus, das jede Anforderung erfüllt, aber keine Risikoanalyse vorweisen kann, fällt im Audit auf. Ein Haus, das einige Anforderungen nicht erfüllt, aber die Lücken benennt, priorisiert und mit Zeitplänen unterlegt, besteht.

Diese Logik ist die gleiche, die in der Sicherheitsdiagnose des Buches BOSWAU + KNAUER beschrieben ist. Die zwölf Fragen, die in zwanzig Minuten beantwortet werden können, ersetzen kein Audit. Sie ersetzen die Entschuldigung, kein Audit beauftragt zu haben, weil die Lage zu vage eingeschätzt wurde. Nach zwanzig Minuten ist die Vagheit weg, und das Haus hat eine Liste, die es vorher in dieser Form nicht hatte. Die Liste ist der Anfangspunkt jedes weiteren Schrittes.

Die Dokumentation ist in dieser Logik kein bürokratischer Selbstzweck, sondern das Werkzeug, mit dem das Haus seine Entscheidungen rechtfertigt. Wer eine Maßnahme nicht trifft, kann das tun, wenn er die Begründung dokumentiert. Wer eine Maßnahme trifft, muss ihre Wirksamkeit messbar machen, damit die Investition gerechtfertigt ist. Diese Disziplin trennt eine professionelle Sicherheitsorganisation von einer reaktiven. Sie ist nicht angenehm, sie ist nicht schnell aufgebaut, und sie ist die Grundlage dafür, dass das Haus im Auditzyklus nicht in Aktionismus verfällt.

Der Gesamtverband der Versicherer hat in seinen Statistiken über die letzten Jahre wiederholt darauf hingewiesen, dass die Versicherbarkeit kritischer Infrastrukturen zunehmend an die Qualität der Dokumentation gekoppelt ist. Wer dokumentiert, verhandelt anders. Wer nicht dokumentiert, zahlt höhere Prämien, wenn er überhaupt noch versichert wird. Diese Verschiebung ist nicht abgeschlossen, sie wird in den nächsten Jahren weitergehen, und die Krankenhäuser sind in dieser Verschiebung weniger weit als andere KRITIS-Sektoren.

Was bleibt

Der Baustein KRH ist kein Dokument, das in einer Schublade Platz findet. Er ist die Beschreibung einer Verantwortung, die das Krankenhaus gegenüber seinen Patienten und gegenüber dem Versorgungsauftrag trägt. Die Frage, ob diese Verantwortung wahrgenommen wird, entscheidet sich nicht in der Geschäftsführung allein, sondern an der Schnittstelle zwischen Geschäftsführung, IT, Haustechnik, ärztlicher Leitung und Pflege. Wer eine dieser Schnittstellen unterschätzt, baut eine Sicherheit, die im Audit zerfällt.

Die physische Sicherheit ist in dieser Architektur der Teil, der am häufigsten zuletzt gedacht wird, und derjenige, der die meisten der IT-zentrierten Maßnahmen ihrer Wirkung beraubt, wenn er nicht stimmt. Die Investitionen, die in die Datensicherheit fließen, rechnen sich erst dann vollständig, wenn die physische Hülle der Daten denselben Standard erfüllt. Diese Verbindung ist nicht teuer, wenn sie früh gedacht wird. Sie ist teuer, wenn sie nachträglich repariert werden muss, weil ein Vorfall die Lücken sichtbar gemacht hat.

Wer als Klinikmanager oder Verantwortlicher für Sicherheit in einer KRITIS-Klinik den nächsten Schritt sucht, findet ihn in einem Gespräch von sechzig Minuten, in dem die Lage des eigenen Hauses gezeichnet wird und Boswau + Knauer zeichnet, was an Ihrer Stelle gesehen würde. Das ist Weg I aus der oben beschriebenen Struktur. Wer tiefer einsteigen will, geht in das Audit über drei bis fünf Tage, in dem die Standorte, Prozesse und die Wirksamkeit der bestehenden Maßnahmen geprüft werden und ein schriftlicher Bericht entsteht, der ohne weitere Beratung verwertbar ist. Beide Wege sind so angelegt, dass das Haus am Ende mehr weiß als am Anfang, ohne in eine Abhängigkeit zu geraten, die es nicht gewählt hat.

Häufige Fragen

Welche Kliniken sind betroffen?

Betroffen im formalen Sinne sind Krankenhäuser, die nach der BSI-Kritisverordnung den Schwellenwert von 30.000 vollstationären Fällen pro Jahr überschreiten. Diese Häuser sind zur Umsetzung des Standes der Technik nach Paragraph 8a BSIG verpflichtet und müssen alle zwei Jahre einen Nachweis gegenüber dem BSI erbringen. Im materiellen Sinne betroffen sind darüber hinaus alle Kliniken, deren Versorgungsauftrag regional kritisch ist und deren Ausfall die Versorgung in der Umgebung beeinträchtigen würde. Für diese Häuser empfiehlt sich eine Orientierung am Baustein KRH auch ohne formale Verpflichtung.

Welche Grundschutz-Bausteine sind relevant?

Im Zentrum steht der Baustein KRH des IT-Grundschutz-Kompendiums. Er verweist auf eine Reihe weiterer Bausteine, die in ihrer Gesamtheit gelesen werden müssen. Dazu zählen die INF-Bausteine für Gebäude, Räume und Versorgungsinfrastruktur, insbesondere INF.1, INF.2 und INF.5. Weiter die ORP-Bausteine für die organisatorische Verankerung, die CON-Bausteine für Konzepte, die OPS-Bausteine für den Betrieb sowie die SYS- und APP-Bausteine für die technischen Systeme. Die physische Sicherheit ist in den INF-Bausteinen und in Teilen der ORP-Bausteine konzentriert.

Wer trägt die Verantwortung?

Die Verantwortung trägt formal die Geschäftsführung des Krankenhauses als Betreiber der kritischen Infrastruktur. Sie kann diese Verantwortung nicht delegieren, aber sie kann Aufgaben verteilen. In der Praxis liegen die operativen Verantwortungen beim IT-Sicherheitsbeauftragten, beim Datenschutzbeauftragten, beim Leiter Haustechnik und beim Leiter Sicherheit. Die Koordination dieser Rollen ist die zentrale Managementaufgabe, weil die Risiken zwischen den Zuständigkeiten liegen. Wer die Koordination nicht organisiert, hat Verantwortliche für jede Einzelfunktion und niemanden für das Gesamtbild.

Welche Frist gilt?

Die Nachweispflicht nach Paragraph 8a Absatz 3 BSIG ist alle zwei Jahre zu erfüllen. Der Stand der Technik ist fortlaufend einzuhalten, das heißt, das Haus muss zwischen den Audits die Maßnahmen aktualisieren, wenn sich der anerkannte Stand der Technik weiterentwickelt. Für Neueinstufungen als KRITIS-Betreiber gelten Übergangsfristen, die in der Regel sechs bis zwölf Monate nach Feststellung der Eigenschaft umfassen. Wer die Frist verpasst, riskiert Bußgelder und im Wiederholungsfall Maßnahmen des BSI, die bis zur Anordnung konkreter Schutzmaßnahmen reichen.