Neues Patientendaten-Schutz-Gesetz: IT-Sicherheit für kleine und große Krankenhäuser
22.03.2021
Patienten bekommen ein Recht auf eine moderne Versorgung
Schon jetzt ist klar: Krankenkassen müssen ihren Versicherten ab 2021 eine elektronische Patientenakte anbieten. Damit diese auch befüllt wird, erhalten Patientinnen und Patienten zeitgleich einen Anspruch darauf, dass ihre Ärztin bzw. ihr Arzt, Daten in die ePA einträgt.
Doch wie werden diese digitalen Daten vor allem in den Krankenhäusern geschützt? Und wer ist für diesen Schutz verantwortlich?
Wie ein ISMS vor Sicherheitsvorfällen schützen kann
Bei jedem Sicherheitsvorfall – wie zuletzt durch die große Microsoft Exchange Sicherheitslücke verursacht – stellen wir uns die Frage nach dem Warum. Was ist die Motivation hinter dem Angriff, warum machen „Die“ sowas?
Angreifer, die Sicherheitslücken, wie die bereits Januar 2021 entdeckten Microsoft Exchange Schwachstellen, ausnutzen, haben theoretisch Zugriff auf betroffene Systeme. Sie können Informationen ausspähen um sie für Ihre – meist gewinnbringende – Zwecke zu verwenden. Meist folgt so einem Angriff eine neue Spam- /Phishing-E-Mail-Welle, über die wiederum Schadcode auf die befallenen Systeme installiert wird.
Passiert dies bspw. in einem Krankenhaus, kann das nicht nur wirtschaftlichen Schaden nach sich ziehen, sondern auch Menschenleben kosten. Daher ist es wichtig seine Informationssicherheit in den Griff zu bekommen (das gilt übrigens für ALLE Unternehmen da draußen!). Wir sehen es als selbstverständlich an, dass Patienten gut versorgt und bestens behandelt werden. Doch diese Infrastrukturen funktionieren zunehmend digital oder werden digital unterstützt. Das macht Krankenhäuser effizienter und besser – aber auch angreifbarer. Daher nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Betreiber kritischer Infrastrukturen in die Pflicht, sich bestmöglich abzusichern. Doch was bedeutet das genau?
Gemäß dem IT-Sicherheitsgesetz müssen Betreiber Kritischer Infrastrukturen
- eine Kontaktstelle melden
- IT-Störungen melden
- den „Stand der Technik“ umsetzten und
- dies alle zwei Jahre dem BSI nachweisen
Die Basis dafür bildet ein Managementsystem für Informationssicherheit (ISMS). Natürlich setzt das ISMS die obigen Punkte nicht um und ist auch keine Software, die man kaufen und installieren kann. Aber, wie sagt man doch so schön „Ordnung ist das halbe Leben“ und so ist auch ein ISMS zu sehen. Ein ISMS definiert Vorgaben und Abläufe, um die Informationssicherheit im Krankenhaus zum einen zu definieren und umzusetzen und sie zum anderen dauerhaft aufrechtzuerhalten und fortlaufend zu verbessern. Dafür ist es notwendig Vorgaben und Abläufe schriftlich zu fixieren, die Umsetzung derer zu überwachen und die Wirksamkeit der umgesetzten Maßnahmen zu messen und zu bewerten. Denn nur so lässt sich das ISMS auch stetig verbessern und an neue Situationen anpassen.
Informationssicherheit betrifft auch kleine Krankenhäuser
Das bisher beschriebene Verfahren zum Aufbau eines ISMS nach B3S galt bisher nur für Krankenhäuser, die zu den kritischen Infrastrukturen (KRITIS) zählen. Das sind alle Krankhäuser, welche mehr als 30.000 stationäre Fälle pro Jahr verzeichnen. Mit dem neuen Patientendaten-Schutz-Gesetz (PDSG) macht der Gesetzgeber IT-Sicherheit jedoch auch für Krankenhäuser zur Pflicht, die keine „Kritische Infrastruktur“ (KRITIS) betreiben.
Laut §75c des Sozialgesetzbuch V (SGB V) müssen alle Krankenhäuser ab dem 01. Januar 2022 „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ treffen. Mit anderen Worten: Es verlangt nach einem ISMS.
Fördermöglichkeiten – nutzen und richtig einsetzen
Der Entwurf des Krankenhauszukunftsgesetzes (KHZG) sieht unter anderem Fördermöglichkeiten durch den Krankenhauszukunftsfond (KHZF, § 14a KHG) in den Bereichen Digitalisierung und Notfallzentren vor. Dies betrifft auch organisatorische und technische Maßnahmen beim Aufbau eines ISMS. Krankenhausträger sollten diese Fördermöglichkeiten bereits in der Planungsphase ihres ISMS mitberücksichtigen und gegebenenfalls frühzeitig bei den Ländern anmelden.
Weitere Informationen dazu finden sich auf den Websites des Bundesministeriums für Gesundheit und des Bundesministeriums der Justiz und für Verbraucherschutz.