Informationssicherheits-Management im Krankenhaus

Krankenhäuser verarbeiten täglich hochsensible Daten ihrer Patienten. Damit geht eine große Verantwortung einher, diese Informationen vor Cyberangriffen zu schützen und die eigene Informationstechnik nach den gesetzlichen Vorgaben auszurichten.

Gleichzeitig müssen Sie als Einrichtung wirtschaftlich arbeiten, die digitale Transformation vorantreiben und eine Wertschöpfung aus den erfassten Informationen generieren. Als Experten für die IT-Sicherheit bieten wir Ihnen branchenspezifische Lösungen an, mit denen Sie entsprechende Schutzmaßnahmen ergreifen und Ihre IT-Infrastruktur zuverlässig absichern können.

• Krankenhäuser sind besonders häufig von Cyberangriffen betroffen
• Sie stehen unter dem hohen Druck, Digitalisierung, Kostendruck und Sicherheit miteinander zu vereinbaren
• Angriffe durch Sicherheitslücken können nicht nur finanzielle, sondern auch lebensbedrohliche Konsequenzen haben
• Laut BSI-Empfehlung sollten Krankenhäuser 20 % ihres Budgets in die IT-Sicherheit investieren
• Es gibt dafür strenge gesetzliche Grundlagen wie das Patientendaten-Schutz-Gesetz und den branchenspezifischen Sicherheitsstandard B3S
• keepbit IT-SOLUTIONS bietet eine softwarebasierte Lösung für die IT-Sicherheit in medizinischen Einrichtungen an

In der Theorie ist der Anspruch an den Sicherheitsstandard eines Krankenhauses klar: Sensible Patienteninformationen müssen geschützt und die Einhaltung der gesetzlichen Sicherheitslinien kompromisslos sichergestellt werden. In der Praxis stellt dies die meisten Krankenhäuser aber vor Herausforderungen. Auf der einen Seite steht die Forderung nach Digitalisierung und dem Vorantreiben der digitalen Transformation, um noch effektiver und wirtschaftlicher arbeiten zu können. Auf der anderen Seite herrscht fast überall im Gesundheitswesen ein akuter Personalmangel. Die Abhängigkeit von externen Anbietern steigt. Hohe Personalkosten und regulierte Einnahmen erhöhen den Innovationsdruck. Oftmals geht diese Situation nicht nur zulasten der Gesundheitsversorgung, sondern schadet auch der IT-Sicherheit in Krankenhäusern.

Laut einer qualitativen Studie des BSI werden Kliniken und Krankenhäuser zunehmend zur Zielscheibe für Hackerangriffe. Die Cyberkriminellen nutzen Schwachstellen und Sicherheitslücken im Netzwerk, um sich Zugang zu den kritischen Informationen zu verschaffen. Oftmals gelingt der Zugriff über E-Mails, die an Mitarbeiter versendet werden. Ein arglos geöffneter Mailanhang kann schwere Schäden verursachen. Es werden beispielsweise Programmcodes in den Systemen hinterlegt, die den Angreifern eine vollständige Zugriffskontrolle der Technik erlauben. Damit fällt der Zugriff auf die Patientenakten weg und die Kriminellen haben ein großes Druckmittel für die Lösegeldforderung. Kliniken sind als Zielscheibe deshalb so beliebt, weil gerade hier ein Ausfall der Systeme lebensbedrohliche Konsequenzen für die Patienten haben kann. Laut Empfehlungen des BSI sollten Krankenhäuser etwa 20 % ihres Budgets in das Risikomanagement und die IT-Sicherheit investieren – in der Praxis sind die meisten Einrichtungen aber meilenweit davon entfernt. Sollte es zu einem Angriff kommen, braucht es schon im Vorfeld Notfallsysteme, die in diesem Fall greifen.

Auch die Tagesschau berichtet am 29.1.2024 von einer Zunahme an Hackerangriffen auf Krankenhäuser. In diesem Zusammenhang verweist das Magazin auf einen schweren Hackerangriff auf das Lukaskrankenhaus in Neuss aus dem Jahr 2016. Der Angriff begann im Labor und legte später die gesamte Klinik lahm. Die behandelnden Ärzte kamen weder an Befunde noch an Medikamenten-Informationen heran. Der Gesamtschaden belief sich auf 1 Million Euro. Beim Expertenforum in Berlin äußerte sich auch der für die IT zuständige Geschäftsführer der Deutschen Krankenhausgesellschaft (DKG) Jan Neuhaus zu dem Vorfall: „Die Gefahren sind real. Selbst zufällige Angriffe, wie der in Neuss, können Schäden verursachen.“

Um die Patienten zu schützen und Bedrohungen auf die Verfügbarkeit medizinischer Dienstleistungen zu reduzieren, gibt es mittlerweile strenge gesetzliche Auflagen zur Erhöhung der IT-Sicherheit in Krankenhäusern.

Das im Oktober 2020 in Kraft getretene Patientendaten-Schutz-Gesetz hat zwei Hauptziele im Blick: Es soll einerseits die Digitalisierung im deutschen Gesundheitswesen vorantreiben und andererseits den Schutz vertraulicher Daten stärken. Ein Beispiel dafür ist die Festlegung von Rahmenbedingungen für die Einführung und Nutzung einer elektronischen Patientenakte sowie für digitale Überweisungen und elektronische Rezepte. Als Schwellenwert gelten 30.000 vollstationäre Fälle, die das Krankenhaus pro Jahr verwaltet. Auch Krankenhäuser, die nicht als KRITIS-Betreiber gelten, müssen fast dieselben Auflagen erfüllen wie die als KRITIS eingestuften Gesundheitseinrichtungen. Kommt es zu einer Panne und die Klinik hat nicht die gesetzlich vorgeschrieben Maßnahmen getroffen, dann drohen hohe Bußgelder.

Dieser Paragraf verpflichtet Krankenhäuser ab dem 1. Januar 2022 explizit dazu,

„nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.“

Um den Anforderungen gemäß § 75c SGB V nachzukommen, sollten sich Krankenhäuser am branchenspezifischen Sicherheitsstandard B3S für die Gesundheitsversorgung orientieren. Dieser Standard wird im Gesetz explizit erwähnt und nimmt daher eine zentrale Stellung bei der Umsetzung ein. Obwohl es andere Möglichkeiten gibt, müssen Verantwortliche im Zweifelsfall erklären können, warum sie von B3S abweichen. Die grundlegenden Rahmenbedingungen des B3S werden von jedem Krankenhaus umgesetzt werden müssen. Angesichts zunehmender Risiken durch Datenschutzverletzungen und Hackerangriffe ist ein Informationssicherheitsmanagementsystem (ISMS) für Krankenhäuser unverzichtbar geworden.

Das bayrische Landesamt für Datenschutzaufsicht hat eine mehrseitige Checkliste herausgegeben, nach der medizinische Einrichtungen den Stand ihrer Cybersicherheit oberflächlich selbst überprüfen können. Zu den wichtigsten Punkten auf der Liste gehören:

• Gibt es eine regelmäßige Auswertung der für die Erkennung von Sicherheitslücken eingesetzten Software
• Existiert ein Prozess zum regelmäßigen Aufspielen von Sicherheitsupdates
• Gibt es einen Ablaufplan der IT-Administratoren bei einem Malware-Befall
• Gibt es eine Zwei-Faktor-Absicherung für Administratorzugänge
• Existiert ein Passwortschutz
• Sind ein professioneller Virenschutz bzw. eine Firewall im Einsatz
• Wurden Beschäftige ausreichend geschult, um gefälschte E-Mails zu erkennen
• Erfolgt eine Verschlüsselung von Informationen bei der Übertragung

Die Checkliste gibt nur einen ersten Hinweis darauf, ob die branchenspezifischen Sicherheitsstandards eingehalten wurden. Zur verbindlichen Einhaltung des IT-Sicherheitsgesetzes ist es aber unverzichtbar, sich kompetenten Expertenrat einzuholen.

Die keepbit IT-SOLUTIONS bringt Sie mithilfe der Software INDITOR® B3S unseres Partners CONTECHNET auf Kurs und unterstützt Sie bei allen Themen rund um die Einhaltung Ihrer Sicherheitsrichtlinien. Das System begleitet Krankenhäuser bei einem effektiven Aufbau eines ISMS im Gesundheitswesen.
Zu den wesentlichen Vorteilen gehören:

• Vorlagen für Prozesse und Services werden mit der Softwarelösung ausgeliefert und beschleunigen die Umsetzung
• Automatisierte Importe aus vorhandenen Softwarelösungen im Krankenhaus lassen den Aufwand bei der Pflege der Daten drastisch sinken
• Jederzeit auskunftsfähig bei Auditoren, Wirtschaftsprüfern, B3S-Audits
• KRITIS Projekte werden auf diese Weise nachweislich schneller und dauerhaft kostengünstiger –> Einsparung liegt bei ca. 40 %
B3S verfolgt einen risikobasierten Ansatz. Die Implementierung neuer Sicherheitsstandards kann schrittweise erfolgen und dann kontinuierlich erweitert werden. So werden wichtige Maßnahmen priorisiert und die entsprechenden Schutzziele schnell erreicht.
Wir helfen Ihnen dabei, innerhalb kurzer Zeit Ihre Sicherheitsrisiken zu erkennen und mit Unterstützung einer innovativen Software das Patientendatenschutzgesetz und andere Anforderungen an die IT-Sicherheit im Krankenhaus zuverlässig umzusetzen.

Die keepbit IT-SOLUTIONS bringt Sie mithilfe der Software INDITOR® B3S unseres Partners CONTECHNET auf Kurs und unterstützt Sie bei allen Themen rund um die Einhaltung Ihrer Sicherheitsrichtlinien. Das System begleitet Krankenhäuser bei einem effektiven Aufbau eines ISMS im Gesundheitswesen.
Zu den wesentlichen Vorteilen gehören:

• Vorlagen für Prozesse und Services werden mit der Softwarelösung ausgeliefert und beschleunigen die Umsetzung
• Automatisierte Importe aus vorhandenen Softwarelösungen im Krankenhaus lassen den Aufwand bei der Pflege der Daten drastisch sinken
• Jederzeit auskunftsfähig bei Auditoren, Wirtschaftsprüfern, B3S-Audits
• KRITIS Projekte werden auf diese Weise nachweislich schneller und dauerhaft kostengünstiger –> Einsparung liegt bei ca. 40 %
B3S verfolgt einen risikobasierten Ansatz. Die Implementierung neuer Sicherheitsstandards kann schrittweise erfolgen und dann kontinuierlich erweitert werden. So werden wichtige Maßnahmen priorisiert und die entsprechenden Schutzziele schnell erreicht.
Wir helfen Ihnen dabei, innerhalb kurzer Zeit Ihre Sicherheitsrisiken zu erkennen und mit Unterstützung einer innovativen Software das Patientendatenschutzgesetz und andere Anforderungen an die IT-Sicherheit im Krankenhaus zuverlässig umzusetzen.

Die Nichteinhaltung von IT-Sicherheitsstandards im Krankenhaus kann zu schwerwiegenden Konsequenzen führen. Dazu gehören vor allem Bußgelder und rechtliche Haftungen sowie und Schäden für das Ansehen des Krankenhauses. Sehr häufig kommt es durch den Ausfall der IT zu Betriebsunterbrechungen und einer Beeinträchtigung der Patientenversorgung.

Ein Informationssicherheitsmanagementsystem (ISMS) spielt im Krankenhaus eine entscheidende Rolle, da es dabei hilft, die Sicherheit von IT-Systemen und Daten kontinuierlich zu überwachen, zu bewerten und zu verbessern. Es unterstützt die Einhaltung von IT-Sicherheitsstandards und trägt zur Risikominimierung bei.

Zu den kritischen medizinischen Einrichtungen zählen Krankenhäuser, medizinische Zentren, Kliniken, Hospitäler und andere medizinische Versorgungseinrichtungen, die eine entscheidende Rolle bei der Behandlung von Patienten spielen und bei denen ein Ausfall oder eine Beeinträchtigung der IT-Systeme schwerwiegende Auswirkungen auf die Patientenversorgung haben würde. Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) definiert im Hinblick auf die Sicherheit in der Informationstechnik Krankenhäuser mit mehr als 30.000 vollstationären Behandlungsfällen pro Jahr als kritische Anlagen im Bereich der stationären Versorgung.