IT- und Informationssicherheit in Krankenhäusern

8 Mrz

Das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (PDSG) verpflichtet Krankenhäuser ab dem 1. Januar 2022, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen für die Funktionsfähigkeit des Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen zu treffen. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse sollen dadurch vermieden werden. Das gilt auch für Krankenhäuser, die nicht alle zwei Jahre die Erfüllung der Anforderungen an die Betreiber Kritischer Infrastrukturen (KRITIS) aus dem IT-Sicherheitsgesetz nachweisen müssen.
Spätestens jetzt sollten sich Krankenhäuser mit der Frage beschäftigen, wie Prozesse zur Informationssicherheit in die Organisation eingebunden werden können.

Die Umsetzung des Branchenspezifischen Sicherheitsstandards (B3S) ist eine Möglichkeit, um der Verpflichtung nachzukommen. Dessen Eignung ist vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes bestätigt. Obligatorisch ist die Umsetzung allerdings nicht. Der B3S ist noch bis August 2021 gültig. Er wurde von der Deutschen Krankenhausgesellschaft e.V. (DKG) herausgegeben.

Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus

Eine IT-Sicherheits-Checkliste Bayrischen Landesdatenschutzbeauftragten vom 27.05.2020 fünfseitige Checkliste zur „Cybersicherheit für medizinische Einrichtungen“ kann Hinweise geben. Es handelt sich um eine übersichtliche Zusammenstellung geeigneter Schutzmaßnahmen mit zahlreichen Verweisen auf das IT-Grundschutz Kompendium, die allerdings nicht alle wesentlichen Anforderungen abdeckt.

Cybersicherheit für medizinische Einrichtungen

Eine 98 Seiten umfassende Zusammenstellung geeigneter technisch-organisatorischer Maßnahmen (TOMs) enthält die vom TeleTrusT Bundesverband IT-Sicherheit e. V. im Februar 2021 in erweiterter Fassung (v1.8) veröffentlichte Handreichung zum „Stand der Technik in der IT-Sicherheit“. Eine englische Sprachfassung ist in Kooperation mit der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) erarbeitet worden. ENISA Executive Director Dr. Udo Helmbrecht: “Die Mitwirkung an diesem Handbuch ist Teil der Unterstützung, die ENISA für die EU-Mitgliedsstaaten leistet. Die Inhalte bieten konkrete Informationen und Empfehlungen, wie die IT-Sicherheit verbessert werden kann. Für IT-Experten ist die Handreichung eine nützliche Leitlinie, um in der Praxis den rechtlichen Anforderungen technisch gerecht zu werden.”

Stand der Technik in der IT-Sicherheit Deutsche Version 

Die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen fordert die Orientierung der IT-Sicherheit am “Stand der Technik”, lässt aber unbeantwortet, was im Detail darunter zu verstehen ist.

Durch die Verordnung zur Verwaltung des Strukturfonds im Krankenhausbereich (Krankenhausstrukturfonds-Verordnung – KHSFV) kann eine Förderung umzusetzender Maßnahmen sowie erforderlicher Beratungsleistungen möglich sein. Die Fördermittelrichtlinie kann beim Bundesamt für Soziale Sicherung abgerufen werden.