Auch Krankenhäuser geraten immer häufiger ins Visier Cyberkrimineller, und zwar unabhängig von ihrer Größe. Ein mit einem solchen Angriff verbundener IT-Ausfall kann gravierende Folgen haben, beispielsweise wenn lebensbedrohlich erkrankte Patienten nicht direkt behandelt werden können. Das bedeutet: IT-Sicherheit ist Patientensicherheit – und die ist jedes Krankenhaus seinen Patienten schuldig.
Ab 1.1.2022 ist jedes Krankenhaus zur IT-Sicherheit verpflichtet
Mit dem neuen Patientendaten-Schutz-Gesetz macht der Gesetzgeber IT-Sicherheit auch für Krankenhäuser zur Pflicht, die keine „Kritische Infrastruktur“ (KRITIS) gemäß § 8a BSI-Gesetz (BSIG) betreiben. Die KRITIS-Verordnung verpflichtet bislang nur Kliniken mit mehr als 30.000 vollstationären Fällen pro Jahr dazu, ihre IT-Sicherheitsmaßnahmen auf den jeweils aktuellen Stand der Technik zu bringen. Im Zuge des Gesetzesbeschlusses vom 18. September 2020 wurde der neue Paragraf 75c in das Sozialgesetzbuch V (SGB V) aufgenommen. Er sieht vor, dass ab dem 1. Januar 2022 alle Krankenhäuser „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ treffen müssen.
B3S: Anforderungen an IT-Sicherheit nachweislich erfüllen
Um diese Anforderungen zu erfüllen, empfiehlt der neu eingeführte Paragraf den Kliniken, sich am branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus zu orientieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat inzwischen die Eignung des B3S der DKG (Deutsche Krankenhausgesellschaft) als maßgeblichen „Stand der Technik“ festgestellt. Der B3S wird alle zwei Jahre revisioniert und soll in seiner nächsten Version spezifische Regelungen für Krankenhäuser über (§ 8a BSIG) und unter (§ 75c SGB V) dem Schwellenwert gemäß KRITIS-VO (Stand November 2020: 30.000 vollstationäre Fälle pro Jahr) enthalten. Das verbessert seine Anwendbarkeit auch für kleinere Kliniken.
Die umgesetzten Maßnahmen müssen alle zwei Jahre auf den aktuellen Stand der Technik geprüft werden. Eine Nachweis- oder Meldepflicht besteht für Nicht-KRITIS-Krankenhäuser nicht. Allerdings empfiehlt sich eine externe Prüfung – beispielsweise durch TÜV SÜD – nach dem B3S: Im Hinblick auf Haftungsrisiken im Schadensfall gilt sie als stichhaltiger Beleg für angemessene IT-Sicherheitsmaßnahmen. Inhaltlich orientiert sich der B3S an der ISO/IEC 27001 für Informationssicherheits-Managementsysteme (ISMS). Für den Nachweis der Maßnahmen im Krankenhaus ist eine Zertifizierung nach ISO/IEC 27001 nicht erforderlich.. Dennoch sollten betroffene Krankenhäuser schnellstmöglich damit beginnen, ihre bestehenden IT-Security-Maßnahmen in ein ISMS umzusetzen, denn die von § 75c SGB V gesetzte Frist bis 1. Januar 2022 ist knapp bemessen. Ein ISMS hat zudem den entscheidenden Vorteil, dass es die kontinuierliche Anpassung der IT-Sicherheitsmaßnahmen an geänderte Rahmenbedingungen erleichtert. Dies reduziert den Aufwand für mögliche Folgeprüfungen und die damit verbundenen Vorbereitungen.
Fördermöglichkeiten – von Anfang an einplanen und frühzeitig beantragen
Der Entwurf des Krankenhauszukunftsgesetzes (KHZG) sieht u. a. Fördermöglichkeiten durch den Krankenhauszukunftsfond (KHZF, § 14a KHG) in den Bereichen Digitalisierung und Notfallzentren vor. Dies betrifft auch organisatorische und technische Maßnahmen im IT-Sicherheitsmanagement. Krankenhausträger sollten diese Fördermöglichkeiten bereits in der Planungsphase ihres ISMS einplanen und gegebenenfalls frühzeitig bei den Ländern anmelden. Die im Zukunftsfonds verfügbaren Mittel werden anteilig zugewiesen, bis sie ausgeschöpft sind. Weitere Informationen dazu finden sich auf den Websites des Bundesministeriums für Gesundheit und des Bundesministeriums der Justiz und für Verbraucherschutz.
Sie benötigen weitere Informationen oder haben Fragen zu diesem Thema? Nehmen Sie Kontakt mit uns auf: [email protected]
(< 30.000 vollstationäre Fälle/Jahr, Stand: November 2020)