Was passiert, wenn in einer Pflegeeinrichtung plötzlich kein System mehr funktioniert? Dr. Matthias Sonk vom GKV-Spitzenverband spricht im Interview über reale Cyberangriffe, fehlende Sicherheitskultur und darüber, warum gerade kleine Maßnahmen große Wirkung entfalten können. Ein Gespräch über digitale Verwundbarkeit – und praktische Wege, sich besser zu schützen.
Herr Dr. Sonk, welche konkreten Risiken sehen Sie aktuell im Bereich der Cybersicherheit für Pflegeeinrichtungen – und warum wird das Thema immer wichtiger?
Dr. Sonk: Die Risiken sind groß und betreffen längst nicht mehr nur die IT-Abteilungen, sondern den gesamten Pflegealltag. Wir haben es in unseren Modellprogrammen schon erlebt: Wenn eine Einrichtung Opfer eines Cyberangriffs wird, kommt der gesamte Betrieb zum Erliegen – keine Dokumentation, keine Abrechnung, keine Pflegeprozessplanung. Viele Einrichtungen sind inzwischen digital gut aufgestellt, was prinzipiell positiv ist. Aber wenn Systeme plötzlich verschlüsselt sind, muss man im besten Fall auf Stift und Papier zurückgreifen. Wenn dann auch noch keine Notfallpläne vorhanden sind, wird es kritisch. Pflegeeinrichtungen sind heute auf digitale Infrastruktur angewiesen – und entsprechend verletzlich. Deshalb ist das Thema dringlich.
Was sind aus Ihrer Sicht die zentralen Stellschrauben, an denen Pflegeeinrichtungen ansetzen können, um ihre IT-Sicherheit effektiv zu verbessern?
Ein ganz zentraler Punkt ist die Sensibilisierung – bei Leitungskräften wie Mitarbeitenden. Viele Angriffe beginnen mit scheinbar harmlosen E-Mails, sogenannten Phishing-Mails, und ein unbedachter Klick genügt oft schon, um Schadsoftware ins System zu schleusen. Diese alltäglichen Risiken sind vielen nicht ausreichend bewusst. Daher ist es wichtig, eine Sicherheitskultur zu etablieren, die von oben getragen wird. Dazu gehören Gespräche, Weiterbildungen und Informationsangebote. Der nächste Schritt ist dann die Entwicklung von Notfall- und Weiterführungskonzepten – individuell zugeschnitten auf die jeweilige Einrichtung. Und ganz wichtig: Diese Pläne müssen auch analog verfügbar sein. Ein Notfallplan nützt wenig, wenn er auf einem verschlüsselten Server liegt.
Das Kompetenzzentrum Digitalisierung und Pflege entwickelt gerade praxisnahe Handlungsempfehlungen. Worauf achten Sie bei der Erstellung besonders, und für wen sind sie gedacht?
Wir wollen das Thema zielgruppengerecht und praxisnah aufbereiten – speziell für den Pflegesektor. Es gibt bereits gute Angebote, etwa vom Bundesamt für Sicherheit in der Informationstechnik oder den Landespolizeien. Aber viele dieser Informationen sind zu abstrakt oder zu technisch. Pflegeeinrichtungen finden sich dort oft nicht wieder. Unsere Handlungsempfehlungen sollen die Brücke schlagen. Mit verständlicher Theorie, konkreten Praxisbeispielen aus Einrichtungen, die bereits betroffen waren und anwendbaren Tools, wie Checklisten und Vorlagen. Das Prinzip lautet: Die Praxis lernt von der Praxis. Die Empfehlungen richten sich an Leitungskräfte, aber auch an IT-Verantwortliche, QM-Beauftragte oder Pflegefachpersonen, die Digitalisierung im Alltag mittragen.
Was würden Sie Einrichtungen raten, die bisher noch wenig Erfahrung mit strukturiertem Cybersicherheitsmanagement haben – wie gelingt ein guter Einstieg?
Zunächst einmal: Es gibt bereits viele hilfreiche Materialien. Der wichtigste Schritt ist, sich einen Überblick zu verschaffen – und anzufangen. Seit dem 30. Juni stellt das Kompetenzzentrum für Digitalisierung und Pflege eine eigene Webseite bereit, auf der wir neben vielen anderen Materialien zur Telematikinfrastruktur und Digitalisierung in der Pflege auch erste Informationen und Materialien zum Thema Cybersicherheit bündeln. Unser Ziel ist es, den Einstieg möglichst niedrigschwellig zu gestalten – mit kurzen, verständlichen Texten und konkreten Handlungsvorschlägen. Darüber hinaus gibt es gute Angebote etwa von den Landeskriminalämtern. Entscheidend ist, das Thema nicht länger zu verdrängen. Wie bei einem Brandfall braucht es Pläne – bevor es brennt.