Informationssicherheit im Krankenhaus

Die DKTIG beschäftigt sich unter dem Schlagwort MEIN SICHERES KRANKENHAUS intensiv mit der E-Mail und Dokumentensicherheit im Krankenhaus. Grundlage dafür bilden die gesetzlichen Rahmenbedingungen zur Informationssicherheit im Krankenhaus. In der Unterarbeitsgruppe § 75 c der DKG arbeitet die DKTIG zusammen mit ausgewählten Vertretern der Landeskrankenhausgesellschaften und Krankenhauspraktikern an der Thematik. Für einen Überblick konnten wir Mario Beck, Referent Geschäftsbereich III (Digitalisierung und eHealth) der DKG, gewinnen.

Von Mario Beck

„Insgesamt spitze sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie“, so lautet die Zusammenfassung und Bewertung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2022. „Eine Erhöhung der Resilienz gegenüber Cyber-Angriffen und technischen Störungen ist daher eine Hauptaufgabe für alle beteiligten Akteure in Staat, Wirtschaft und Gesellschaft“, heißt es weiter.

Die allgemeine Bedrohungslage für Krankenhäuser hat sich in Bezug auf das Thema Cybersicherheit verschärft, ohne dass bisher eine überproportionale Zunahme der Angriffe auf Krankenhäuser im Speziellen zu beobachten gewesen wäre. Allgemein haben Qualität und Anzahl von Cyberangriffen in den letzten Jahren stark zugenommen, hiervon sind die Krankenhäuser ebenso betroffen wie andere Bereiche kritischer Infrastrukturen in Deutschland. Der Gesetzgeber hat in den letzten Jahren viele Regelungen zur Erhöhung der IT-Sicherheit geschaffen, wie beispielsweise mit dem IT-Sicherheitsgesetz 2019 oder dem Patientendaten-Schutz-Gesetz aus 2020. Demnach sind alle Krankenhäuser in Deutschland seit dem 1. Januar 2022 verpflichtet, Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme zu treffen.

Bereits seit 2019 existiert für diejenigen Krankenhäuser, die mit mehr als 30.000 vollstationären Fällen jährlich gemäß § 8a BSI-Gesetz zu den kritischen Infrastrukturen zählen, ein sog. „Branchenspezifischer Sicherheitsstandard“ (B3S), der von der Deutschen Krankenhausgesellschaft gemeinsam mit Fachexperten aus dem Umfeld Kritischer Infrastrukturen entwickelt wurde und Anforderungen für die im Krankenhaus eingesetzten Systeme, aber auch Prozessvorgaben und organisatorische Hinweise für die Umsetzung von IT-Sicherheit enthält. Das BSI hatte für diesen B3S die Eignung nach den Vorgaben des BSI-Gesetzes festgestellt. Die Umsetzung dieses konkreten Standards ist nicht verpflichtend, es können auch andere etablierte Standards für IT-Sicherheit herangezogen werden. Jedoch haben Krankenhäuser mit der Umsetzung dieses Sicherheitsstandards die Gewissheit, die gesetzlichen Anforderungen aus dem IT-Sicherheitsgesetz einzuhalten. Aktuell befindet sich die turnusgemäße Überarbeitung des Standards (alle 2 Jahre) in der abschließenden Prüfung des BSI. Anpassungen betreffen u. a. die gesetzlichen Anforderungen zum Einsatz von Systemen zur Angriffserkennung (SzA), die ab 01.05.2023 in KRITIS-Krankenhäusern umzusetzen sind.

Auch für Krankenhäuser, die nicht unter das BSI-Gesetz fallen, jedoch Maßnahmen für IT-Sicherheit nach § 75c SGB V umsetzen müssen, hat die DKG Hinweise und Musterkonzepte im Rahmen eines Dokumentenpaketes erstellt, welches Krankenhäuser bei der konkreten Planung und Umsetzung dieser Maßnahmen unterstützt. Die zur Umsetzung von § 75c SGB V den Krankenhäusern entstehenden Investiv- und Betriebskosten sind derzeit nicht bekannt. Die DKG hat daher eine entsprechende Kostenerhebung im Rahmen einer Umfrage beauftragt. Dabei sollen Aufwände, welche aufgrund des Inkrafttretens des § 75c SGB V zum 01.01.2022 entstanden sind, sowie die kalkulierten jährlichen Kosten für Informationssicherheit für einen Zeitraum von fünf Jahren erfasst werden. Die Teilnahme möglichst vieler Krankenhäuser an der Umfrage ist daher von hoher Bedeutung.

Informationen zur Informationssicherheit im Krankenhaus auf der DKTIG Website >> https://dktig.de/informationssicherheit/

Informationen der DKG zum Branchenstandard B3S sowie zum Dokumentenpaket >> https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/