Neues Patientendaten-Schutz-Gesetz: IT-Sicherheit für kleine und große Krankenhäuser

Grafik mit Darstellungen aus dem medizinischen Bereich
22. März 2021

Neues Patientendaten-Schutz-Gesetz: IT-Sicherheit für kleine und große Krankenhäuser

Patienten bekommen ein Recht auf eine moderne Versorgung

Schon jetzt ist klar: Krankenkassen müssen ihren Versicherten ab 2021 eine elektronische Patientenakte anbieten. Damit diese auch befüllt wird, erhalten Patientinnen und Patienten zeitgleich einen Anspruch darauf, dass ihre Ärztin bzw. ihr Arzt, Daten in die ePA einträgt.
Doch wie werden diese digitalen Daten vor allem in den Krankenhäusern geschützt? Und wer ist für diesen Schutz verantwortlich?

Wie ein ISMS vor Sicherheitsvorfällen schützen kann

Bei jedem Sicherheitsvorfall – wie zuletzt durch die große Microsoft Exchange Sicherheitslücke verursacht – stellen wir uns die Frage nach dem Warum. Was ist die Motivation hinter dem Angriff, warum machen „Die“ sowas?
Angreifer, die Sicherheitslücken, wie die bereits Januar 2021 entdeckten Microsoft Exchange Schwachstellen, ausnutzen, haben theoretisch Zugriff auf betroffene Systeme. Sie können Informationen ausspähen um sie für Ihre – meist gewinnbringende – Zwecke zu verwenden. Meist folgt so einem Angriff eine neue Spam- /Phishing-E-Mail-Welle, über die wiederum Schadcode auf die befallenen Systeme installiert wird.
Passiert dies bspw. in einem Krankenhaus, kann das nicht nur wirtschaftlichen Schaden nach sich ziehen, sondern auch Menschenleben kosten. Daher ist es wichtig seine Informationssicherheit in den Griff zu bekommen (das gilt übrigens für ALLE Unternehmen da draußen!). Wir sehen es als selbstverständlich an, dass Patienten gut versorgt und bestens behandelt werden. Doch diese Infrastrukturen funktionieren zunehmend digital oder werden digital unterstützt. Das macht Krankenhäuser effizienter und besser – aber auch angreifbarer. Daher nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Betreiber kritischer Infrastrukturen in die Pflicht, sich bestmöglich abzusichern. Doch was bedeutet das genau?

Gemäß dem IT-Sicherheitsgesetz müssen Betreiber Kritischer Infrastrukturen

  • eine Kontaktstelle melden
  • IT-Störungen melden
  • den „Stand der Technik“ umsetzten und
  • dies alle zwei Jahre dem BSI nachweisen

Die Basis dafür bildet ein Managementsystem für Informationssicherheit (ISMS). Natürlich setzt das ISMS die obigen Punkte nicht um und ist auch keine Software, die man kaufen und installieren kann. Aber, wie sagt man doch so schön „Ordnung ist das halbe Leben“ und so ist auch ein ISMS zu sehen. Ein ISMS definiert Vorgaben und Abläufe, um die Informationssicherheit im Krankenhaus zum einen zu definieren und umzusetzen und sie zum anderen dauerhaft aufrechtzuerhalten und fortlaufend zu verbessern. Dafür ist es notwendig Vorgaben und Abläufe schriftlich zu fixieren, die Umsetzung derer zu überwachen und die Wirksamkeit der umgesetzten Maßnahmen zu messen und zu bewerten. Denn nur so lässt sich das ISMS auch stetig verbessern und an neue Situationen anpassen.

Informationssicherheit betrifft auch kleine Krankenhäuser

Das bisher beschriebene Verfahren zum Aufbau eines ISMS nach B3S galt bisher nur für Krankenhäuser, die zu den kritischen Infrastrukturen (KRITIS) zählen. Das sind alle Krankhäuser, welche mehr als 30.000 stationäre Fälle pro Jahr verzeichnen. Mit dem neuen Patientendaten-Schutz-Gesetz (PDSG) macht der Gesetzgeber IT-Sicherheit jedoch auch für Krankenhäuser zur Pflicht, die keine „Kritische Infrastruktur“ (KRITIS) betreiben.
Laut §75c des Sozialgesetzbuch V (SGB V) müssen alle Krankenhäuser ab dem 01. Januar 2022 „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ treffen. Mit anderen Worten: Es verlangt nach einem ISMS.

Fördermöglichkeiten  – nutzen und richtig einsetzen

Der Entwurf des Krankenhauszukunftsgesetzes (KHZG) sieht unter anderem Fördermöglichkeiten durch den Krankenhauszukunftsfond (KHZF, § 14a KHG) in den Bereichen Digitalisierung und Notfallzentren vor. Dies betrifft auch organisatorische und technische Maßnahmen beim Aufbau eines ISMS. Krankenhausträger sollten diese Fördermöglichkeiten bereits in der Planungsphase ihres ISMS mitberücksichtigen und gegebenenfalls frühzeitig bei den Ländern anmelden.
Weitere Informationen dazu finden sich auf den Websites des Bundesministeriums für Gesundheit und des Bundesministeriums der Justiz und für Verbraucherschutz.

Weitere News

ACM übernimmt Sponsoring bei Gütersloher Baseballcamp

Ende Juli fand zum ersten Mal das Gütersloher Baseballcamp für Kinder und Jugendliche statt. Wir und die msa-b GmbH waren als Sponsoren mit dabei und freuen uns über die Begeisterung der Teilnehmenden und insgesamt den Erfolg dieses Events. Nächstes Jahr sind wir gerne wieder mit dabei!   Das erste Gütersloher Baseballcamp endet mit einem Turnier […]

ACM Consultants GmbH und Lenus GmbH schließen Kooperation

Die ACM Consultants GmbH (Warendorf) und die Lenus GmbH (Frankfurt) haben eine Kooperation geschlossen. Gegenstand ist die Betreuung von Organisationen im Gesundheitswesen zu den Themen: Informationssicherheitsmanagement (ISMS) Datenschutzmanagement (DSMS) Business Continuity Management (BSMS) Compliance Management (CMS) vor dem Hintergrund aktueller rechtlicher Anforderungen. Die Leistungen der ACM Consultants GmbH ergänzen das bestehende Portfolio der Lenus GmbH […]

ACM Consultants erhält TOP CONSULTANT Siegel

Ausgezeichnete Beratungsqualität: Die ACM Consultants GmbH hat das TOP CONSULTANT-Siegel 2022 verliehen bekommen Auf der Preisverleihung im Rahmen des Deutschen Mittelstands-Summit am Freitag, 24. Juni, in Frankfurt am Main gratulierte Bundespräsident a. D. Christian Wulff den Geschäftsführern Patrick Andreas und Andreas Nöh zu diesem Erfolg. Wulff begleitet den Beraterwettbewerb als Mentor. TOP CONSULTANT ermittelte zum […]

Sie verwenden einen veralteten Browser. Laden Sie sich hier einen neuen herunter!