Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen des Projekts “eMergent – Digitalisierung im Rettungsdienst” eine zweite Studie von drei Studien veröffentlicht, die sich mit der fortschreitenden Digitalisierung im Rettungswesen befasst. Ziel des Projekts ist es, die IT-Sicherheit der im Rettungsdienst eingesetzten digitalen Geräte und Systeme zu analysieren und zu verbessern. Die Ergebnisse der insgesamt drei Studien sollen dazu beitragen, die Digitalisierung im Rettungsdienst sicherer zu gestalten und somit die Effizienz und Sicherheit bei Notfalleinsätzen zu erhöhen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Sicherheitsbehörde des Bundes. Das BSI gehört zum Geschäftsbereich des Bundesministeriums des Innern und für Heimat angesiedelt.

Hintergrund der Studien

Der Markt verlangt zunehmend eine Vernetzung jeglicher Produkte. Unternehmen folgen den Forderungen, um neue Geschäftsmodelle zu erschließen, Dienste anzubieten bzw. diese zu verbessern. Die Anbindung an das Internet soll den Austausch von Daten vereinfachen. Die Vorteile bieten aber auch Risiken insbesondere im Bereich der IT-Sicherheit. Dritte könnten unberechtigt diese Daten einsehen, sie manipulieren, löschen oder weiteren Personen zugänglich machen.

Mit rund 5,5 Mio. Rettungseinsätzen mit ca. 22.000 Rettungsmitteln und 2.000 Rettungswachen ist der Markt nicht zu unterschätzen. Dabei entfällt ein Großteil der Leistung auf wenige Leistungserbringer. Neben dem Arbeiter-Samariter-Bund, dem Malteser Hilfsdienst, der Johanniter Unfall-Hilfe, dem Deutschen bzw. Bayerischen Roten Kreuz und den Berufsfeuerwehren besteht eine überschaubare Anzahl weiterer Anbieter. Dabei erweist sich der Rettungsdienst als Türöffner für zahlreiche weitere, potentielle Ziele von Kriminellen: Krankenhäuser, staatliche und kommunale Einrichtungen, Unternehmen, Private. Die Vernetzung wächst zunehmend und dient zunehmend einer „medienbruchfreien Interoperabilität entlang der Rettungskette“ (Meldesysteme, Rettungsleitstellen, Rettungsmittel und Krankenhäufer). Dies umfasst die Auskunfts-, Dispositions- und Informationsweitergabemöglichkeiten der Leitstelle, die Fahrzeugnavigation, die Erfassung der Patientendaten bis hin zur Übermittlung der Daten an Patienten, Krankenhäuder und weitere Beteiligte. Dabei ist der Rettungsdienst in Deutschland ausgesprochen heterogen und dezentral organisiert. Auswahl und Beschaffung der Geräte werden dadurch sehr unterschiedlich umgesetzt. Gleiches gilt für Ausbildung, Einweisungen und Schulungen.

Studien zur IT-Sicherheit im Rettungsdienst

Bei der ersten Studie handelt es sich um eine Orientierungsstudie über den organisatorischen und rechtlichen Rahmen im deutschen Rettungswesens und einem Überblick über die im Rettungsdienst eingesetzten Produkte.

Die zweite Studie, “Befragung und Studie zum Stand der Digitalisierung – BSI-Projekt 453: eMergent – Digitalisierung im Rettungsdienst – Teilstudie I”, konzentriert sich auf die Perspektiven von Rettungsdienstpersonal, Führungskräften und Verantwortlichen für Medizintechnik. Sie untersucht den aktuellen Stand der Digitalisierung, identifiziert bestehende Herausforderungen und gibt einen Ausblick auf zukünftige Entwicklungen im Rettungsdienst. Die Studie ergab, dass die Digitalisierung im Rettungsdienst von Befragten grundsätzlich positiv wahrgenommen wird, sofern Verfügbarkeit und Interoperabilität gegeben sind. Dabei stand die Nutzbarkeit der Geräte im Vordergrund, bei gleichzeitig ausgeprägtem Sicherheitsbewusstsein der Befragten. Leicht überwiegend fühlten diese sich jedoch „nicht ausreichend auf den Umgang mit vernetzten Geräten und IT-Sicherheitsthemen vorbereitet“. Weitgehend unbekannt schienen Systeme zum Management der Informationssicherheit (ISMS) bei Einsatz- und Führungskräften.

Die dritte Studie, „Ergebnisse der Sicherheitsuntersuchungen BSI-Projekt 453: eMergent – Digitalisierung im Rettungsdienst Teilstudie II„, beinhaltet eine Sicherheitsanalyse ausgewählter vernetzter Produkte, die im Rettungsdienst verwendet werden. Dabei wurden verschiedene Geräte auf potenzielle Schwachstellen untersucht, um deren IT-Sicherheit zu bewerten und gegebenenfalls zu verbessern. Das BSI machte dabei Schwachstellen vor allem im Spannungsfeld zwischen Usability (und damit lebenswichtiger Verfügbarkeit) und IT-Sicherheit aus. Mehrere Sicherheitslücken im Systemdesign oder in der Implementierung wurden systematisch identifiziert.

Als Hilfestellung weist das BSI auf die BSI-TR-03161 Anforderungen an Anwendungen im Gesundheitswesen für die sichere Entwicklung von Produkten im Gesundheitswesen sowie eine Möglichkeit zur Zertifizierung hin.

Die Studien beinhalteten nicht die Tätigkeit der Leitstellen, obwohl diese „eine Vielzahl rettungsdienstlicher Informationen, beispielsweise durch Alarmierung und Einsatzorganisation“, bündeln. Die IT-Sicherheit dieser komplexen Systeme der Leitstellen sei nach Auffassung des BSI noch wenig untersucht oder standardisiert.

Quelle: BSI

Weiterführende Informationen des BSI

Das BSI weist auf weiterführende Informationen im Rettungsdienst hin:

Rechtshandbuch Cybersicherheit im Gesundheitswesen

Wir haben im Rechtshandbuch Cybersicherheit im Gesundheitswesen einen Beitrag zur Cybersicherheit im Rettungsdienst veröffentlicht. Es ist das erste Buch, dass das komplette Gesundheitswesen durchleuchtet im Hinblick auf die bestehenden und künftigen Regelungen zur Cybersicherheit.

Rechtsgrundlagen: Gesetzen im Rettungsdienst

Bildquellen