Informationssicherheit in Krankenhäusern

Orientierung über den Dschungel neuer Regelungen

Veröffentlicht 21.10.2020 12:30

Im Fokus „Informationssicherheit“ in Krankenhäusern stehen Cyberkriminalität, KRITIS und Gesetze zu IT-Sicherheit, Patientendatenschutz sowie Krankenhauszukunft. Orientierung im Dschungel der Regeln für die Digitalisierung der Krankenhäuser bringt Thorsten Schütz, KH-IT-Vorstand, Leiter IT und Betriebsorganisation.

Viele bewegte Monate dieses Jahres liegen hinter uns. Tägliche Schreckensmeldungen, verordnete Abstandsgebote und unkalkulierbar wechselnde Reisebeschränkungen regieren seit Wochen den Alltag. Doch während der erwartete Ansturm von Covid-19-Patienten in den deutschen Krankenhäusern ausbleibt, erleben die Kliniken unerwartet einen beispiellosen Anschub zur Digitalisierung ihrer Prozesse. Telearbeit, Videokonferenzen und Videosprechstunden, pragmatische Umsetzungsanforderungen triumphieren gegenüber Technikvorbehalten und langwierigen Entscheidungsprozessen.

Cyberkriminalität in Zeiten von Corona

Auch Cyberkriminelle nutzen diese Zeit und verknüpfen ihre Malware geschickt mit vermeintlichen Corona-Informations-Webseiten oder verteilen Covid-19-Trojaner. Doch damit nicht genug. Im März 2020 wird das zweitgrößte Universitätsklinikum Tschechiens, zudem Betreiber eines der größten Covid-19-Testlabore im Land, Opfer eines vermuteten Erpressungstrojaners. Im April 2020 verliert ein Krankenhaus in
Colorado nach einer Cyberattacke gleich mehrere Jahrgänge seiner Patientendaten aus dem Zugriff. Auch Gesundheitsminister Spahn wurde Presseberichten zufolge im April gedroht, er möge 25 Millionen Euro in Bitcoin zahlen, um einen Angriff mit Schadsoftware auf deutsche Krankenhäuser abzuwenden. Jüngstes Opfer dieser Serie ist das Uniklinikum Düsseldorf, welches seit Tagen bemüht ist, nach einer Ransomware-Attacke seine Systemlandschaft wiederherzustellen. Das Krankenhaus wurde dabei Opfer einer Sicherheitslücke, die der Hersteller in diesem Falle erst viele Tage nach Bekanntwerden verzögert schließen konnte. Sicherheitslücken wie diese werden fast täglich aufs Neue gefunden und oft zeitnah ausgenutzt.

Neuauflage des IT-Sicherheitsgesetzes

Doch womöglich wird bald alles sicherer, die zweite Neuauflage des IT-Sicherheitsgesetzes aus 2015 steht vor der Tür. Nach dem ersten Neuentwurf aus März 2019, wird aktuell ein Orientierung über den Dschungel neuer Regelungen Informationssicherheit in Krankenhäusern Im Fokus „Informationssicherheit“ in Krankenhäusern stehen Cyberkriminalität, KRITIS und Gesetze zu IT-Sicherheit, Patientendatenschutz sowie Krankenhauszukunft. Orientierung im Dschungel der Regeln für die Digitalisierung der Krankenhäuser bringt Thorsten Schütz, KH-IT-Vorstand, Leiter IT und Betriebsorganisation. überarbeiteter Entwurf vom 07. Mai dieses Jahres diskutiert. Darin enthaltene Änderungen wie die Ausweitung des Geltungsbereiches auf zusätzliche Unternehmen in besonderem öffentlichen Interesse, die deutliche personelle Aufstockung des BSI von bisher 1.300 um weitere 583 Stellen oder der Ausbau der Mobile Incident Response Teams versprechen eine deutliche Stärkung der IT-Sicherheit in Deutschland.
Zudem sollen Betreiber von der Einführung eines IT-Sicherheitskennzeichens profitieren, welches aufbauend auf dem europäischen Cybersecurity Act von Juni 2019 zukünftig vertrauenswürdige Produkte leichter erkennen lässt. Ob hingegen die Ausweitung der Bußgelder von derzeit maximal 100 Tausend Euro auf dann bis zu 20 Millionen Euro in Angleichung an die EU-Datenschutzgrundverordnung tatsächlich den richtigen Weg weist, bleibt abzuwarten. Kritik am Gesetz gibt es zudem hinsichtlich zusätzlicher Betreiberpflichten oder dem Zugriff des BSI auf Protokollierungsdaten. Auch seien Kompetenzen zwischen BSI, BMI und Nationalem Cyberabwehrzentrum nicht klar abgegrenzt. Änderungen am derzeitigen Entwurf sind also nicht ausgeschlossen.

KRITIS-Verordnung und Patientendatenschutzgesetz

Die konkrete Ausgestaltung des IT-Sicherheitsgesetzes erfolgt ohnehin durch eine ergänzende Verordnung, die BSI Kritis Verordnung (BIS KritisV) vom 03.05.2016 bzw. die erste Änderungsverordnung dazu vom 30.06.2017. Eine Evaluierung und Überarbeitung dieser Verordnung ist ebenfalls vorgesehen. Erwartet wird, dass der Schwellenwert von aktuell 30 Tausend stationären Fällen im Jahr weiter abgesenkt wird und damit zukünftig mehr als die bisher rund 120 Krankenhäuser als Kritische Infrastruktur (KRITIS)
Doch selbst ohne Absenkung des Schwellenwertes werden in Folge des neuen Patientendatenschutzgesetzes (PDSG) zukünftig mehr Krankenhäuser von gesetzlichen Regelungen zur IT-Sicherheit erfasst werden. Das PDSG adressiert jetzt auch die bisherigen Nicht-KRITIS-Häuser. Ab dem 1.1.2022 werden alle deutschen Krankenhäuser verpflichtet sein, gemäß dem Stand der Technik angemessene Vorkehrungen zur Störungsvermeidung ihrer informationstechnischen Systeme zu treffen und regelmäßig anzupassen. Der Bezug zum Branchenspezifischen Sicherheitsstandard (B3S), der bislang nur auf KRITIS-Häuser Anwendung fand, wird in dem Gesetzestext explizit für alle Krankenhäuser genannt.

Krankenhauszukunftsgesetz und neue Fördermöglichkeiten

Bleibt wie immer am Schluss die Frage nach der Finanzierung. Eine erfreuliche Antwort darauf ist bereits in Sicht. Neue Fördermöglichkeiten für Investitionen in Digitalisierung und IT-Sicherheit verspricht das vom Bundestag in 3. Lesung am 18. September beschlossene Krankenhauszukunftsgesetz (KHZG). Neben der darin zugesagten Verlängerung des Krankenhausstrukturfonds bis 2024 werden über einen neu vorgesehenen Krankenhauszukunftsfonds ergänzt um Investitionszuschüsse von Ländern und/oder Krankenhausträgern insgesamt 4,3 Milliarden Euro frische Fördergelder bereitgestellt. Eine Quote von mindestens 15 Prozent dieser Mittel ist explizit für Maßnahmen zur Verbesserung der Informationssicherheit vorgesehen. Es bleibt damit festzuhalten: Die Entwicklung der IT-Sicherheit in deutschen Krankenhäusern befindet sich auf einem vielversprechenden Weg.



Autor: Thorsten Schütz, KH-IT-Vorstand. Leiter IT und Betriebsorganisation im Klinikum Itzehoe
Quelle: Krankenhaus-IT Journal, Oktober 2020, Summary Referat KH-IT Herbsttagung


Lesen Sie mehr zum Thema "BvKHIT"

Telematik-Infrastruktur: Anwendungen in der Umsetzung
BvKHIT
Akzeptanz der TI-Anwendungen sicherstellen - Summary Referat
Innovation und Technologie im Krankenhaus
BvKHIT
Perspektiven für den CIO - Summary Referat
Von Megatrends und Projekten – Was ist heute schon Realität!
BvKHIT
Summary Referat KH-IT Herbsttagung
Impulse, Anforderungen und Perspektiven
BvKHIT
beleuchtet von Horst-Dieter Beha, Vorsitzender KH-IT e.V.
Kooperation zwischen KH IT e.V. und GMDS e.V.
BvKHIT
Gemeinsame Einflussnahme

Lesen Sie hier die neuesten Beiträge