FKT-Online-Seminar: Sicherheit braucht ein Gesamtkonzept

Sabotage an technischer Infrastruktur ist ein drastisch unterschätztes Sicherheitsrisiko. Unterschätzt wird sowohl die Kreativität der Täter als auch die Folgen für den Krankenhausbetrieb. Technische Anlagen wie Schaltkästen sind in vielen Kliniken frei zugänglich, die Sicherheitsüberprüfung von Mitarbeitern und Dienstleistern lückenhaft.

Oft fehle eine klare Zonierung: Wo hört die im Krankenhaus erwünschte Öffentlichkeit auf, und wo beginnt Sicherheit? In vielen Kliniken gelange man problemlos in Bereiche, in denen Besucher nichts zu suchen haben. Im FKT-Online-Seminar „Sicherheit braucht ein Gesamtkonzept - physische Gefahrenabwehr und Resilienz in Kliniken“ schilderte der Sicherheitsberater und Leiter des FKT-Projektes Sicherheit im Gesundheitswesen, Gerhard Link, häufige Schwachstellen sowie, darauf aufbauend, den zweifellos mühsamen Weg zu einem tragfähigen Sicherheitsmanagement. 

Krankenhäuser brauchen ein strukturiertes Sicherheitsmanagement

Sicherheit sollte in allen Gesundheitseinrichtungen selbstverständlich sein. Das neue KRITIS-Dachgesetz untermauert diese Forderung mit dem Ziel systematischer Prävention. Die Gesetzesvorlage bezieht sich nicht mehr nur auf die Informationssicherheit, sondern auf die gesamte kritische Infrastruktur Krankenhaus mit seinen komplexen technischen Anlagen. Es enthält explizite Anforderungen an den physischen Schutz, etwa gegen Stromausfälle, Hochwasser, Sabotage oder terroristische Bedrohungen. Ob das KRITIS-Dachgesetz für die eigene Klinik zutrifft, können Verantwortliche anhand eines Kriterienkatalogs mit unterschiedlichen Schwellenwerten prüfen. 30.000 vollstationäre Patienten im Jahr ist einer dieser Schwellenwerte. Die betroffenen Gesundheitseinrichtungen müssen sich beim BSI (Bundesamt für Sicherheit und Informationstechnik) registrieren und eine Kontaktstelle für das BSI einrichten. Risiko- und Resilienzpläne müssen erstellt und regelmäßig aktualisiert werden. Erhebliche Störungen sind dann meldepflichtig. Link betonte jedoch: „Das Thema Sicherheit ist auch ohne Überschreitung eines der vom KRITIS-Dachgesetz genannten Schwellenwerte wichtig.“ Er rät Krankenhausbetreibern, eine Abteilung Sicherheitsmanagement zu etablieren. Diese sollte integraler Bestandteil des Klinikmanagements sein und den dynamischen Gestaltungsprozess eines Klinikums mit dem speziellen Fokus Sicherheit begleiten.

Kreativ, scharfsinnig und lückenlos 

Sicherheit ist ein komplexes Zusammenspiel aus technischen, organisatorischen und personellen Maßnahmen. Die zahlreichen Akteure eines Klinikums müssen dabei lückenlos zusammenarbeiten: Technik, IT, Management sowie letztlich jeder einzelne Mitarbeitende, der mit der nötigen Achtsamkeit beispielweise auf unbekannte Personen reagiert, die an Orte gelangt sind, wo sie nicht sein sollten.

Jeder kennt den Spruch: Eine Sicherheitskette ist nur so stark wie ihr schwächstes Glied. Und doch weist so manches Sicherheitskonzepte Lücken auf, die aufzudecken Kreativität und Schafsinn verlangen. Eine Krankenhausbegehung bei Nacht mit der Sichtweise desjenigen, der sich unerlaubt Zutritt verschaffen möchte, kann Erstaunliches zu Tage fördern: Link entdeckte dabei in einer großen deutschen Universitätsklinik einen Paketbriefkasten durch dessen Öffnung man von innen die Klinke eines Notausgangs erreichen, öffnen und so in den Laborbereich gelangen konnte. In einer anderen Klinik war der Zugang zur Apotheke zwar zutrittsgesichert, die Apotheke selbst aber nicht videoüberwacht oder mit Bewegungsmeldern ausgestattet. Unter einem Vorwand – ein Toilettenbesuch eines vermeintlichen Lieferanten - kurz vor Dienstende in die Apotheke zu gelangen, sich dort bei Dienstende einsperren zu lassen und sich dann frei zu bedienen, erwies sich als denkbar simpel. Gekippte Fenster im Erdgeschoß seien beinahe an der Tagesordnung und in minutenschelle zu öffnen. Diese Beispiele von Link zeigen: Sicherheit muss kriminelle Energie vorwegnehmen und zu Ende gedacht werden. Es muss geklärt werden, wo Alarme auflaufen und wer wie darauf zu reagieren hat. Es reicht nicht, einen Serverraum nur an die Unterbrechungsfreie Stromversorgung anzuschließen– ein in so manchem Klinikum anzutreffender Sicherheitsmangel. Rechenzentren brauchen eine Notstromversorgung.

Von der Bestandsaufnahme zum Sicherheitskonzept

Mit diesen und vielen weiteren Beispielen aus der Praxis erörterte Link die Notwendigkeit einer lückenlosen Bestandsaufnahme als Basis für ein tragfähiges ganzheitliches Sicherheitskonzept. Gefährdungen müssen erkannt und bewertet werden. Dabei kommt klassisch eine Matrix aus Eintrittswahrscheinlichkeit und zu erwartender Schadenshöhe zum Einsatz. Darauf aufbauend kann ein Sicherheitskonzept erarbeitet werden. Sicherheitszonen mit den entsprechenden Zutrittsgenehmigungen, technische Maßnahmen, Zuständigkeiten, Richtlinien und entsprechende Dienstanweisungen, … Sicherheitsmanagement ist keine einmalige Angelegenheit, sondern muss mit dem Fortschritt eines Klinikums einhergehen. Bei alledem gilt der Grundsatz der Verhältnismäßigkeit. Mit sprichwörtlichen Kanonen auf Spatzen zu schießen, macht keinen Sinn. Und doch sollte allen klar sein: Krankenhäuser sind Objekte mit wertvollen Medizingeräten, Medikamenten und Daten, die man für gutes Geld verkaufen oder - im Fall von Medikamenten - vielfältig nutzen kann. Darüber hinaus sind sie Einrichtungen, die für die Verletzlichkeit einer Gesellschaft stehen. All das gilt es aktiv und strukturiert zu schützen.

Maria Thalmayr

> Hier geht es zu Aufzeichnung und Präsentation

Die Präsentation kann auch bei der FKT-Geschäftsstelle angefordert werden: fkt@fkt.de