Die einheitliche EU-weite Notrufnummer 112 hat seit ihrer Etablierung einen hohen Bekanntheitsgrad erreicht. Damit sie im Ernstfall Leben retten kann, muss die Rufnummer erreichbar bleiben.
IT, mehr als eine Rufnummer
Auch der Rettungsdienst wird heute in vielen Bereichen durch moderne IT unterstützt, abhängig vom jeweiligen Bundesland und den einzelnen Standorten und Betreibern mehr oder weniger. Dazu zählen mitunter und keinesfalls abschließend:
- Automatisiertes Routen der Anrufe zum nächsten freien Disponenten
- Leitstellensoftware mit Einsatzerfassung, Einsatzsteuerung, Dokumentation, Lagekarte
- Digitaler Fahrzeugstatus, Alarmierung und Kommunikation
- Positionsgestützte Disposition der Fahrzeuge
- Bedarfsanalyse aufgrund von Leitstellendaten
- Digitaler Bettennachweis, Belegung der Krankenhäuser
- Digitale Dokumentation, elektronische Patientenakte (ePA)
- Telemetrie der Patientendaten
- Telemedizin mit Telenotarzt
- Digitalfunk
Damit der Rettungsdienst funktioniert, muss also viel mehr als nur die Rufnummer erreichbar sein. Dass auch dies nicht immer gelingt, zeigten in der Vergangenheit Routingausfälle bei einzelnen Providern; die 112 war nicht mehr erreichbar. Zwar gibt es verschiedene Notfallszenarien über Ausweichnummern bis hin zu Leuchtturmstellen bzw. Anlaufstellen für Betroffene und patrouillierende Einsatzfahrzeuge; dennoch sollte ein solcher Ausfall vermieden werden.
Bei bereichsübergreifenden Einsätzen ist die Kommunikation und Zusammenarbeit bis hin zu den einzelnen IT-Komponenten zu proben. Schlimmstenfalls können bereichsübergreifende Einsatzkräfte bei großen Schadenlagen nicht miteinander arbeiten. Auch der Ausfall der Leitstellenrechner führt zu erheblichem Verdruss in der Leitstelle. Der Ausfall erschwert nicht nur die Disposition. Sie führt auch im Nachgang zu einem erheblichen Mehraufwand, allein für die nachzuerfassende Dokumentation.
Rechtlich Planung schützt vor Angriffen
Die Szenarien bei Angriffen auf die Infrastrukturen im Rettungsdienst sind vielfältig. Manipulierte Patientendaten können zu medizinischen Fehlentscheidungen bei der Behandlung verleiten. Hacks auf Herzschrittmacher haben bereits gezeigt, welches Gefahrenpotential einfache Angriffe haben, wenn die dahinter liegenden Systeme nicht adäquat gesichert sind. Sie können einzelne Patienten betreffen, gleichsam konkrete Patientengruppen.
Langfristig geplant führen Eingriffe in den Datenbestand im Rahmen der Bedarfsplanung zu einem schwer auszugleichenden Fehlbestand an Kapazitäten. Es sind dann schlicht zu wenige Einsatzmittel verfügbar. Durch die Manipulation des Funkverkehrs ist das Routing der Fahrzeuge an falsche Einsatzstellen ein nicht nur für Patienten, sondern möglicherweise auch für die Einsatzkräfte höchst gefährliches Risiko, beispielsweise bei Terroranschlägen. Das Hosting der Patientendaten an zentralen Stellen lockt weitere Interessenten an. Die Erpressung von Lösegeld gegen Patientendaten ist nur eines von verschiedenen Szenarien.
Zusammenfassend ist Cybersicherheit im Rettungsdienst ein wichtiger Aspekt, der nicht vernachlässigt werden darf. Um die Sicherheit von Notrufenden, Patienten und Mitarbeitern zu gewährleisten, müssen geeignete Maßnahmen getroffen werden, wie zum Beispiel die Absicherung der IT-Infrastruktur in alle Richtungen, ausgehend von einem All-Gefahren-Ansatz, die Verschlüsselung von Daten und die Schulung der Mitarbeiter.
Die rechtliche Planung fängt dabei bereits bei der Bedarfsplanung und Konzeption an. Sie umfasst neben der Verteilung der Zuständigkeiten und der Rechtsgrundlagen den Datenschutz, IT-Verträge einschließlich Kauf, Wartung und Fortentwicklung bis hin zur Vergabe der IT- und Hardwareleistung sowie spezialrechtlicher Fragestellungen im Arbeitsrecht, Datenschutzrecht, IT-, Medizinprodukte- und TK-Recht bis hin zu den zahlreichen Gesetzen für Rettungsdienst, Katastrophenschutz und Feuerwehr bzw. Hilfeleistung und Brandschutz.
