DKI-Konferenz: IT-Sicherheit für hochsichere Patientenversorgung

Vorschau

Veröffentlicht 23.03.2021 02:00, Dagmar Finlayson

Die DKI-Konferenz zur IT-Sicherheit im Krankenhaus- und Gesundheitswesen am 25.06.2021 in Düsseldorf hat als Schwerpunkte IT-Sicherheit für alle Kliniken. Im Fokus stehen die Umsetzung verpflichtender Maßnahmen zur Erhöhung der IT-Sicherheit, die sichere Anbindung an die Telematikinfrastruktur sowie die neuen Finanzierungsmöglichkeiten von Investitionen in IT- und Cybersicherheit nach dem Krankenhauszukunftsgesetz (KHZG).

Referent Markus Holzbrecher-Morys erörtert praxisbezogen aktuelle rechtliche Anforderungen an die IT-Sicherheit im Krankenhaus- und Gesundheitswesen und neue Finanzierungsmöglichkeiten nach dem KHZG.  Der Geschäftsführer, Dezernat III / IT, Datenaustausch und eHealth, Deutsche Krankenhausgesellschaft e.V., Berlin, gibt im Interview mit dem Krankenhaus IT Journal Tipps zum Vorgehen.

Welches sind die wichtigsten Herausforderungen für Krankenhäuser im Kontext von IT-Sicherheit, besonders bei branchenspezifischen Sicherheitsstandards?
 
Markus Holzbrecher-Morys: Die IT-Sicherheit der für die Patientenversorgung wichtigen Systeme und Prozesse zu gewährleisten, stellt neben dem Investitionsbedarf insgesamt hohe Anforderungen an den Betrieb und das dafür zuständige Personal in den Krankenhäusern. Die Anforderungen wachsen dabei mit dem zunehmenden Grad an Digitalisierung stetig an. Dabei geht es um mehr als die Umsetzung konkreter technischer Sicherheitsmaßnahmen – Informations¬sicherheit, die neben der IT-Sicherheit auch Datenschutzanforderungen berücksichtigt, muss auf allen Ebenen wahrgenommen, umgesetzt und in den Prozessen gelebt werden. Dafür müssen die notwendigen Ressourcen, insbesondere die personellen und finanziellen Mittel für die Umsetzung entsprechender Sicherheitsmaßnahmen, bereitstehen. Mit dem Krankenhaus¬zukunftsgesetz werden hier wichtige Impulse gesetzt. Eine dauerhafte Finanzierung von IT-Sicherheit im Krankenhaus ist damit aber keinesfalls gewährleistet. Besondere Sorge bereitet zudem die Fachkräftesituation, denn es bedarf eben vor allem der entsprechend geschulten Mitarbeiter, um IT-Sicherheit im Krankenhaus umzusetzen. Aber auch konkrete Anforderungen des Gesetzgebers, wie beispielsweise die erwartete Verpflichtung für die Umsetzung von Einbruchserkennungssystemen (Intrusion Detection) im IT-Sicherheitsgesetz 2.0, erhöhen die Herausforderung an die Umsetzung. Dafür bedarf es einer entsprechenden Umsetzungszeit, die nicht kürzer sein kann, als der Gesetzgebungsprozess selbst.
 
Welche hauptsächlichen Handlungsempfehlungen zur Vorbereitung und Umsetzung können Sie geben?
 
Markus Holzbrecher-Morys: Zunächst ist es wichtig, das Thema „IT-Sicherheit“ nicht als Aufgabe der IT-Abteilung zu verstehen. Informationssicherheit liegt im Verantwortungsbereich der Geschäftsführung, wir empfehlen daher im branchenspezifischen Sicherheitsstandard (B3S) die Benennung eines Informationssicherheitsbeauftragten, welcher direkt der Geschäftsführung unterstellt ist. Seine Aufgabe besteht ja gerade auch in der Überprüfung der Aufgabenerfüllung der Informationstechnik, er sollte in alle relevanten Prozesse, welche die Informationssicherheit betreffen, eingebunden sein - beispielsweise auch in Beschaffungsprozesse, um auf wesentliche Merkmale, wie „security by design“ oder „privacy by design“ hinweisen zu können.
 
Weiter ist es erforderlich, die relevanten Prozesse und Systeme einmal vollständig zu erfassen und zu hinterfragen, ob diese im Einzelnen sinnvoll ausgestaltet sind. Dies kann schnell aufwendig werden und „den Berg an Arbeit“ zu groß erscheinen lassen. Hier sollte man im Zweifel iterativ vorgehen und dabei mit den wichtigsten Prozessen zuerst anfangen. Dafür bedarf es jedoch einer Einschätzung dieser Prozesse – hier ist klassisches Risikomanagement gefragt. Der B3S schlägt hier einen Standardrisikomanagementprozess vor.
 
Ist Informationssicherheit erst einmal als Querschnittsaufgabe auf allen Ebenen „angekommen“, bedarf es auch regelmäßiger Awareness- und Schulungsmaßnahmen, um die Mitarbeitenden in den Krankenhäusern in der täglichen Arbeit regelmäßig zu sensibilisieren.
 
Was wollen Sie als Referent den Verantwortlichen aus Krankenhäusern auf der DKI-Veranstaltung vor allem mitgeben?
 
Markus Holzbrecher-Morys: Verstehen Sie Informationssicherheit als wesentliche Voraussetzung für die Digitalisierung im Krankenhaus. Begreifen Sie dies als Querschnittsaufgabe, welche die Unterstützung von der Geschäftsführung des Klinikverbundes bis zur Pflegekraft auf Station benötigt, um die tägliche Patientenversorgung so sicher wie möglich zu machen.


Die  Agenda

Begrüßung, Moderation
René Salamon Referat CK 34, zuständig für das Management des KRITIS-Sektors "Gesundheit" und die KRITIS-Branche „Medizinische Versorgung“, Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn

Aktuelle rechtliche Anforderungen an die IT-Sicherheit im Krankenhaus- und Gesundheitswesen und neue Finanzierungsmöglichkeiten nach dem KHZG  
Markus Holzbrecher-Morys, Geschäftsführer, Dezernat III / IT, Datenaustausch und eHealth, Deutsche Krankenhausgesellschaft e.V., Berlin

Umsetzung der verpflichtenden Maßnahmen zur Erhöhung der IT-Sicherheit nach § 75c SGB V ab 1.1.2022 - Good Practice-Empfehlungen
Lars Forchheim, CIO, ANregiomed gKU, Ansbach, Leiter des Branchenarbeitskreises medizinische Versorgung im UP KRITIS

Die IT-Sicherheitslage im Krankenhaus - Besondere Anforderun-gen durch die Corona-Pandemie
Dr. med. Klaus Rummel, Informationstechnologie, Medizinisches Prozessmanagement, Klinikum Ingolstadt GmbH

IT-Notfallplanung am Beispiel des Emotet-Vorfalls am Klinikum Fürth
Herbert Motzel, Leiter, Stabsstelle IT-Sicherheitssysteme und IT-Strategie, Klinikum Fürth

Roadmap zur Telematikinfrastruktur 2.0 aus der Sicherheitsperspektive
Holm Diening, Leiter, Sicherheit, gematik GmbH, Berlin

Good Practice-Empfehlungen zur Umsetzung der Telematikinfrastruktur
Dr. med. Silke Haferkamp, Leiterin, Geschäftsbereich IT, Uniklinik RWTH Aachen

www.dki.de




Lesen Sie mehr zum Thema "IT-Sicherheit"

it-sa 365 IT Security Talks
IT-Sicherheit
itsa
Backup bremst Ransomware-Welle
IT-Sicherheit
Cyber-Sicherheitslösung

Lesen Sie hier die neuesten Beiträge