Neues Patientendaten-Schutz-Gesetz: IT-Sicherheit für kleine und große Krankenhäuser

Grafik mit Darstellungen aus dem medizinischen Bereich
22. März 2021

Neues Patientendaten-Schutz-Gesetz: IT-Sicherheit für kleine und große Krankenhäuser

Patienten bekommen ein Recht auf eine moderne Versorgung

Schon jetzt ist klar: Krankenkassen müssen ihren Versicherten ab 2021 eine elektronische Patientenakte anbieten. Damit diese auch befüllt wird, erhalten Patientinnen und Patienten zeitgleich einen Anspruch darauf, dass ihre Ärztin bzw. ihr Arzt, Daten in die ePA einträgt.
Doch wie werden diese digitalen Daten vor allem in den Krankenhäusern geschützt? Und wer ist für diesen Schutz verantwortlich?

Wie ein ISMS vor Sicherheitsvorfällen schützen kann

Bei jedem Sicherheitsvorfall – wie zuletzt durch die große Microsoft Exchange Sicherheitslücke verursacht – stellen wir uns die Frage nach dem Warum. Was ist die Motivation hinter dem Angriff, warum machen „Die“ sowas?
Angreifer, die Sicherheitslücken, wie die bereits Januar 2021 entdeckten Microsoft Exchange Schwachstellen, ausnutzen, haben theoretisch Zugriff auf betroffene Systeme. Sie können Informationen ausspähen um sie für Ihre – meist gewinnbringende – Zwecke zu verwenden. Meist folgt so einem Angriff eine neue Spam- /Phishing-E-Mail-Welle, über die wiederum Schadcode auf die befallenen Systeme installiert wird.
Passiert dies bspw. in einem Krankenhaus, kann das nicht nur wirtschaftlichen Schaden nach sich ziehen, sondern auch Menschenleben kosten. Daher ist es wichtig seine Informationssicherheit in den Griff zu bekommen (das gilt übrigens für ALLE Unternehmen da draußen!). Wir sehen es als selbstverständlich an, dass Patienten gut versorgt und bestens behandelt werden. Doch diese Infrastrukturen funktionieren zunehmend digital oder werden digital unterstützt. Das macht Krankenhäuser effizienter und besser – aber auch angreifbarer. Daher nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Betreiber kritischer Infrastrukturen in die Pflicht, sich bestmöglich abzusichern. Doch was bedeutet das genau?

Gemäß dem IT-Sicherheitsgesetz müssen Betreiber Kritischer Infrastrukturen

  • eine Kontaktstelle melden
  • IT-Störungen melden
  • den „Stand der Technik“ umsetzten und
  • dies alle zwei Jahre dem BSI nachweisen

Die Basis dafür bildet ein Managementsystem für Informationssicherheit (ISMS). Natürlich setzt das ISMS die obigen Punkte nicht um und ist auch keine Software, die man kaufen und installieren kann. Aber, wie sagt man doch so schön „Ordnung ist das halbe Leben“ und so ist auch ein ISMS zu sehen. Ein ISMS definiert Vorgaben und Abläufe, um die Informationssicherheit im Krankenhaus zum einen zu definieren und umzusetzen und sie zum anderen dauerhaft aufrechtzuerhalten und fortlaufend zu verbessern. Dafür ist es notwendig Vorgaben und Abläufe schriftlich zu fixieren, die Umsetzung derer zu überwachen und die Wirksamkeit der umgesetzten Maßnahmen zu messen und zu bewerten. Denn nur so lässt sich das ISMS auch stetig verbessern und an neue Situationen anpassen.

Informationssicherheit betrifft auch kleine Krankenhäuser

Das bisher beschriebene Verfahren zum Aufbau eines ISMS nach B3S galt bisher nur für Krankenhäuser, die zu den kritischen Infrastrukturen (KRITIS) zählen. Das sind alle Krankhäuser, welche mehr als 30.000 stationäre Fälle pro Jahr verzeichnen. Mit dem neuen Patientendaten-Schutz-Gesetz (PDSG) macht der Gesetzgeber IT-Sicherheit jedoch auch für Krankenhäuser zur Pflicht, die keine „Kritische Infrastruktur“ (KRITIS) betreiben.
Laut §75c des Sozialgesetzbuch V (SGB V) müssen alle Krankenhäuser ab dem 01. Januar 2022 „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ treffen. Mit anderen Worten: Es verlangt nach einem ISMS.

Fördermöglichkeiten  – nutzen und richtig einsetzen

Der Entwurf des Krankenhauszukunftsgesetzes (KHZG) sieht unter anderem Fördermöglichkeiten durch den Krankenhauszukunftsfond (KHZF, § 14a KHG) in den Bereichen Digitalisierung und Notfallzentren vor. Dies betrifft auch organisatorische und technische Maßnahmen beim Aufbau eines ISMS. Krankenhausträger sollten diese Fördermöglichkeiten bereits in der Planungsphase ihres ISMS mitberücksichtigen und gegebenenfalls frühzeitig bei den Ländern anmelden.
Weitere Informationen dazu finden sich auf den Websites des Bundesministeriums für Gesundheit und des Bundesministeriums der Justiz und für Verbraucherschutz.

Weitere News

Grafik mit Darstellungen aus dem medizinischen Bereich

Neues Patientendaten-Schutz-Gesetz: IT-Sicherheit für kleine und große Krankenhäuser

Patienten bekommen ein Recht auf eine moderne Versorgung Schon jetzt ist klar: Krankenkassen müssen ihren Versicherten ab 2021 eine elektronische Patientenakte anbieten. Damit diese auch befüllt wird, erhalten Patientinnen und Patienten zeitgleich einen Anspruch darauf, dass ihre Ärztin bzw. ihr Arzt, Daten in die ePA einträgt. Doch wie werden diese digitalen Daten vor allem in […]

Wir sind ISO 9001 zertifiziert

Die Qualität unserer Wahrnehmung und unser Handeln bestimmt den Erfolg unserer Kunden, Mitarbeiter und nicht zuletzt unseren Unternehmenserfolg. Aus diesem Grund haben wir ein Qualitätsmanagementsystem (QMS) nach Standard ISO 9001 eingeführt und erfolgreich zertifiziert. Dank der grandiosen und effektiven Unterstützung unseres Partners msa hoch b GmbH wurde unser QMS ohne Abweichungen zertifiziert. Diesen Vorteil der […]

Wie kann ich meine IT-Sicherheit überprüfen lassen?

Wie wird beim Überprüfen der IT-Sicherheit genau vorgegangen? Wenn wir die IT-Sicherheit kleiner und mittelständischer Unternehmen überprüfen, geschieht das durch unsere erfahrenen Consultants für IT-Sicherheit. Sie überprüfen anhand von Checklisten, geführten Interviews und dem Einsatz sogenannter „Software für Penetrationstests“, ob Prozesse und dazugehörige Maßnahmen bereits eingeführt wurden und wie gut sie umgesetzt sind. Entdecken sie […]

Sie verwenden einen veralteten Browser. Laden Sie sich hier einen neuen herunter!