2022: Neue Regeln für IT-Sicherheit im Krankenhaus

Security

Veröffentlicht 10.04.2022 13:00, Dagmar Finlayson

2022 ist das Jahr der großen Novellen im Bereich Informationssicherheit. Der Gesundheitssektor ist mit dem Patientendaten-Schutz-Gesetz und dem IT-Sicherheitsgesetz 2.0 doppelt betroffen: Das PDSG verpflichtet alle Kliniken zur Umsetzung von Sicherheitsmaßnahmen, während das IT-SiG 2.0 strengere Auflagen für KRITIS-Häuser schafft. Einrichtungen, die die Anforderungen nicht rechtzeitig erfüllen, drohen empfindliche Strafen.

PDSG: Digitalisierung mit Kinderkrankheiten

Um den Informationsfluss im Gesundheitswesen zu modernisieren, regelt das Patientendaten-Schutz-Gesetz die schrittweise Einführung der elektronischen Patientenakte (ePA) und weiterer digitaler Dienste. 2022 soll es nach offiziellem Zeitplan unter anderem möglich sein, dort Dokumente wie den Impfpass, den Mutterpass oder das Zahnbonusheft zu speichern. In der Praxis wird die ePA als freiwilliges Angebot bislang kaum genutzt und steht unter Fachleuten immer wieder wegen Sicherheitsbedenken in der Kritik. Auch bei der Einführung neuer Funktionen wie des E-Rezepts oder der elektronischen Krankmeldung kam es zuletzt zu Verzögerungen und einer Verlängerung der Testphase.

Trotz aller Startschwierigkeiten und berechtigter Kritik besteht kein Zweifel, dass der Ausbau digitaler Angebote langfristig notwendig ist, um den sicheren und effizienten Austausch von Patientendaten zu gewährleisten. Auf Seite der Gesundheitseinrichtungen und Kostenträger erfolgt die hierfür notwendige Vernetzung über die „Datenautobahn des Gesundheitswesens“, die Telematikinfrastruktur. Ziel ist es, über dieses Netzwerk sämtliche Akteure im Healthcare-Bereich miteinander zu verbinden. Das damit verbundene Plus an Datenfluss erhöht allerdings auch die Sicherheitsanforderungen. Hier nimmt das Gesetz Einrichtungen daher stärker in die Pflicht.

Verpflichtender Sicherheitsstandard für alle Kliniken

Mit dem Patientendaten-Schutz-Gesetz gehen erstmals konkrete gesetzliche Vorschriften für die IT-Sicherheit in Krankenhäusern aller Größen einher. So müssen künftig nicht mehr nur KRITIS-Kliniken ihre Sicherheitsmaßnahmen an einem spezifischen Sicherheitsstandard ausrichten. Laut §75c des Sozialgesetzbuchs sind seit dem 01.01.2022 alle deutschen Krankenhäuser verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zu treffen, um die „Verfügbarkeit, Integrität und Vertraulichkeit“ ihrer informationstechnischen Systeme zu gewährleisten.

Absatz 2 des neu etablierten Paragraphen verweist als geeignete Grundlage auf den Sicherheitsstandard B3S für die medizinische Versorgung in Krankenhäusern, den die Deutsche Krankenhausgesellschaft im Zusammenhang mit der KRITIS-Verordnung entwickelt hat. Betreibern steht es aber weiterhin frei, sich an einem anderen Standard zu orientieren. In jedem Fall sieht das Gesetz vor, dass die getroffenen Schutzmaßnahmen spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen sind.

Strengere Auflagen für KRITIS-Krankenhäuser

Während das PDSG nun erstmalig konkrete Pflichten für die Informationssicherheit in Krankenhäusern eingeführt hat, die nicht unter die Kritischen Infrastrukturen fallen, wurden die Auflagen für KRITIS-Kliniken 2021 im Zuge des neuen IT-Sicherheitsgesetzes und der darauffolgenden KRITIS-Novelle verschärft.

Krankenhäuser, die aufgrund ihrer Auslastung mit mehr als 30.000 vollstationären Patient:innen im Jahr zu den Kritischen Infrastrukturen zählen, müssen zusätzlich zu ihren bestehenden Pflichten nun auch sog. „kritische Komponenten“ beim BSI melden. Durch die Registrierung samt Garantieerklärung des Herstellers sollen Lieferketten für IT-Produkte und -Anwendungen abgesichert werden. Ab 2023 stehen KRITIS-Kliniken außerdem in der Pflicht, Systeme zur Angriffserkennung einzusetzen. Mithilfe von SIEM-Systemen (Security Information & Event Management) können Bedrohungen im laufenden Betrieb schneller erkannt und beseitigt werden.

Um sicherzustellen, dass alle Anlagen die Vorgaben der KRITIS-Verordnung 2.0 fristgerecht umsetzen, erhöht diese zuletzt auch die Bußgelder für Verstöße. Betreiber, die sich nicht beim BSI registrieren, Schutzziele nicht erfüllen, Störungen nicht melden oder Anweisungen des BSI nicht Folge leisten, müssen als Sanktion mit Geldstrafen von bis zu 20 Millionen Euro rechnen.

Keine Entwarnung für kleine Kliniken

Krankenhäuser, die als nicht-kritisch gelten, sind durch das PDSG aktuell „nur“ gefordert, ihre IT-Sicherheit an das Niveau von KRITIS-Einrichtungen anzugleichen. Sie müssen ihre Sicherheitsmaßnahmen aber weder extern zertifizieren lassen, noch die übrigen Auflagen der KRITIS-Verordnung erfüllen (z.B. die Registrierung beim BSI oder Meldung kritischer Komponenten).

In Anbetracht der steigenden Zahl von Cyberattacken auf Krankenhäuser ist allerdings anzunehmen, dass der Bund die Auflagen im Gesundheitsbereich in den kommenden Jahren weiter verschärfen wird. Neben strengen Regeln für Kritische Infrastrukturen werden dabei auch die Anforderungen für Krankenhäuser unterhalb des KRITIS-Grenzwerts steigen. Denkbar ist auch hier die Einführung verpflichtender Audits der IT-Sicherheit. Anders lässt sich die Digitalisierung des Gesundheitswesens nicht mit dem Schutz von Patientendaten und der Absicherung des laufenden Krankenhausbetriebs unter einen Hut bringen.

Was Krankenhäuser jetzt tun sollten

Der erste Schritt zur Erfüllung der gesetzlichen Auflagen liegt in einem Vergleich des Soll- und Ist-Zustands. Denn auch wenn das PDSG nun viele Betreiber erstmals zur Einhaltung eines konkreten Sicherheitsstandards verpflichtet, bedeutet das nicht, dass betroffene Kliniken ihre IT komplett neu aufbauen müssen. Als umfassender Sicherheitsstandard enthält der B3S für Krankenhäuser auch viele grundlegende Maßnahmen, die mit hoher Wahrscheinlichkeit schon jetzt abgedeckt sind.

Wo genau Technik und Prozesse angepasst werden müssen, verrät nur ein Abgleich mit dem Standard. Neben den einzelnen Schutzmaßnahmen stehen dabei auch organisatorische Fragen im Vordergrund, die die Einbettung der Informationssicherheit in den laufenden Betrieb gewährleisten sollen. Es gilt etwa Sicherheitsverantwortliche zu benennen, die die Umsetzung der Schutzziele kontrollieren. Zudem muss der angemessene Schutz von Daten und IT-Infrastruktur dokumentiert werden.

Identitäts- und Rechtemanagement

Die Telematikinfrastruktur ermöglicht Krankenhäusern den sicheren Datenaustausch mit anderen Akteuren des Gesundheitswesens über ein geschlossenes Netzwerk. Wichtig ist allerdings, dass der Zugriff auf sensible Daten im Informationsverbund des Krankenhauses selbst zuverlässig geregelt ist. Angesichts der stetig wachsenden Datenmenge sind automatisierte Lösungen hier der einzig praktikable Weg.

Automatisierte Lösungen für die Berechtigungsverwaltung sind einerseits notwendig, um den personellen Mehraufwand aufzufangen, der durch die laufende Verschärfung von Sicherheitsanforderungen entsteht. Andererseits versetzen sie das Krankenhaus aber auch in die Lage, menschliche Fehlerquellen im Umgang mit sensiblen Daten weitgehend zu eliminieren.

Mithilfe von Identity- und Access Management (IAM) können Betreiber den Zugriff auf Daten effektiv verwalten, Sicherheitslücken schließen und gleichzeitig weitere Lösungen integrieren, z.B. Krankenhausinformationssysteme oder Software für das Endgeräte-Management. Auf diese Weise ist sichergestellt, dass alle Mitarbeitenden auf jedem im Netzwerk befindlichen Gerät ausschließlich jene Daten abrufen können, die für sie freigegeben sind.

Im Nachgang an die KRITIS-Novelle erarbeitet das BSI derzeit konkrete Empfehlungen für die Sicherheit von Verfahren zur Implementierung von IAM-Lösungen. Auch der Sicherheitsstandard B3S für Krankenhäuser wird derzeit überprüft und für 2022 überarbeitet. Konkrete Fragen zur Auswahl und Inbetriebnahme von geeigneten Anwendungen lassen sich am besten durch eine qualifizierte Software-Berater:in beantworten.

 

Autor:


Als Senior Manager Channel Sales bei dem IAM-Entwickler tenfold hilft der IT-Sicherheitsexperte Helmut Semmelmayer Firmen dabei, Zugriffsrechte sicher und effizient zu verwalten.

Symbolbild: Pixabay/TheDigitalArtist


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Lesen Sie hier die neuesten Beiträge