DKI-Konferenz: Die Investitionen in IT-Sicherheit zahlen sich aus

Vorschau

Veröffentlicht 13.04.2021 22:00, Dagmar Finlayson

Die DKI-Konferenz zur IT-Sicherheit im Krankenhaus- und Gesundheitswesen am 25.06.2021 in Düsseldorf hat als Schwerpunkte IT-Sicherheit für alle Kliniken. Im Fokus stehen verpflichtende Maßnahmen, die sichere Anbindung an die Telematikinfrastruktur sowie die neuen Finanzierungsmöglichkeiten von Investitionen in IT- und Cybersicherheit nach dem Krankenhauszukunftsgesetz (KHZG). Referent Lars Forchheim wird die Umsetzung der verpflichtenden Maßnahmen zur Erhöhung der IT-Sicherheit praxisbezogen erörtern. Der CIO bei ANregiomed gKU, Ansbach, und Leiter des Branchenarbeitskreises „medizinische Versorgung“ im UP KRITIS sowie KH-IT Vorstand markiert im Interview mit dem Krankenhaus IT Journal wichtige Aspekte.

Welches sind die wichtigsten Kernpunkte der gesetzliche Anforderungen zur Erhöhung der IT-Sicherheit für Kliniken ?

Lars Forchheim:  Im Gesetz werden folgende Anforderungen gestellt: § 75c SGB V IT-Sicherheit in Krankenhäusern

(1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

(2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

Damit geht es im Kern in der kontinuierlichen Verbesserung der Informationssicherheit in allen Krankenhäusern. Dieser orientiert sich am Stand der Technik. Dieser Stand wurde durch den Branchenarbeitskreis medizinische Versorgung und der DKG für die KRITIS Häuser als branchenspezifischer Sicherheitsstandard „B3S“ erarbeitet. Dieser Stand der Technik ist spätestens aller 2 Jahre für alle Krankenhäuser zu erreichen. Jedoch stellt der B3S in diesen Fall die höchste Stufe für NICHT KRITIS-Häuser.

 Welche Handlungsempfehlungen können Sie geben für die Konformität mit den gesetzlichen Anforderungen, für Konzeption und der Umsetzung?

Lars Forchheim:  Die beste Empfehlung ist in den kontinuierlichen Verbesserungsprozess einzusteigen, in dem man eine IST-Aufnahme macht. Sicherlich ist im ersten Schritt ein Selbst-Assessment eine Möglichkeit. Auf der anderen Seite ist ein Audit durch einen Informationsspezialisten sicherlich auch eine gute Wahl. Dieser startet meistens mit einen Penetrationstest der Umgebung von innen wie außen.

Das Ergebnis sollte gerade von der Geschäftsleitung zusammen mit allen Beteiligten betrachtet werden und danach Maßnahmen ableiten. Zur Umsetzung empfiehlt sich ein Informationssicherheitsteam zu bilden. Den Vorsitz sollte von der Geschäftsleitung erfolgen und Teilnehmer sind Informationssicherheitsbeauftragter, Datenschützer, Leiter IT, Leiter Haustechnik und Leiter Medizintechnik.

Je nach Organisation empfiehlt sich Leiter QM, Innen Revision etc. Es gibt zwar keine Audit-Pflicht, jedoch sollte man spätestens aller 2 Jahre wieder einen Blick von außen auf diese Organisation werfen.

Aus meiner Sicht werden spätestens die Wirtschaftsprüfer die Organisation und Maßnahmen sich immer wieder anschauen.

Was wollen Sie als Referent den Verantwortlichen aus Krankenhäusern auf der DKI-Veranstaltung vor allem mitgeben?

Lars Forchheim:  Die Teilnehmer werden mitnehmen, dass B3S eine gute Richtschnur ist. Ich sehe es wie die Verkehrsregelung. Auf der Autobahn ist auch die Richtgeschwindigkeit für Auto und LKW unterschiedlich, aber die Grundregelung zur Sicherheit gleich.

Weiterhin nehmen die Teilnehmer mit, dass sich die Investitionen in Informationssicherheit auszahlen. Ein Ausfall des Primärprozesses kostet mehr als die Investition ins Thema Informationssicherheit.

Spätestens mit dem KHZG zeigen auch der Bund und die Länder, dass sich mindestens 15% der Förderung in Informationssicherheit lohnt. Am Ende werden die Teilnehmer auch einen Einblick aus über 9 Jahren Informationssicherheitserfahrung in der Branche „medizinische Versorgung“ mitnehmen.

 

Foto: Referent Lars Forchheim, CIO bei ANregiomed gKU, Ansbach, und Leiter des Branchenarbeitskreises „medizinische Versorgung“ im UP KRITIS
sowie KH-IT Vorstand: Umsetzung der verpflichtenden Maßnahmen zur Erhöhung der IT-Sicherheit nach § 75c SGB V ab 1.1.2022 - Good Practice-Empfehlungen


Die  Agenda

Begrüßung, Moderation
René Salamon Referat CK 34, zuständig für das Management des KRITIS-Sektors "Gesundheit" und die KRITIS-Branche „Medizinische Versorgung“, Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn

Aktuelle rechtliche Anforderungen an die IT-Sicherheit im Krankenhaus- und Gesundheitswesen und neue Finanzierungsmöglichkeiten nach dem KHZG  
Markus Holzbrecher-Morys, Geschäftsführer, Dezernat III / IT, Datenaustausch und eHealth, Deutsche Krankenhausgesellschaft e.V., Berlin

Umsetzung der verpflichtenden Maßnahmen zur Erhöhung der IT-Sicherheit nach § 75c SGB V ab 1.1.2022 - Good Practice-Empfehlungen
Lars Forchheim, CIO, ANregiomed gKU, Ansbach, Leiter des Branchenarbeitskreises medizinische Versorgung im UP KRITIS

Die IT-Sicherheitslage im Krankenhaus - Besondere Anforderun-gen durch die Corona-Pandemie
Dr. med. Klaus Rummel, Informationstechnologie, Medizinisches Prozessmanagement, Klinikum Ingolstadt GmbH

IT-Notfallplanung am Beispiel des Emotet-Vorfalls am Klinikum Fürth
Herbert Motzel, Leiter, Stabsstelle IT-Sicherheitssysteme und IT-Strategie, Klinikum Fürth

Roadmap zur Telematikinfrastruktur 2.0 aus der Sicherheitsperspektive
Holm Diening, Leiter, Sicherheit, gematik GmbH, Berlin

Good Practice-Empfehlungen zur Umsetzung der Telematikinfrastruktur
Dr. med. Silke Haferkamp, Leiterin, Geschäftsbereich IT, Uniklinik RWTH Aachen

www.dki.de


Quelle Text: Wolf-Dietrich Lorenz

Bild: Pixabay/TheDigitalArtist


Lesen Sie mehr zum Thema "IT-Sicherheit"

Der blinde Fleck in puncto Sicherheit
IT-Sicherheit
OT-Systeme
Bewerbungsphase für UP21@it-sa hat begonnen!
IT-Sicherheit
it-sa Security News
it-sa 365 IT Security Talks
IT-Sicherheit
itsa
Backup bremst Ransomware-Welle
IT-Sicherheit
Cyber-Sicherheitslösung

Lesen Sie hier die neuesten Beiträge