Grafik mit Darstellungen aus dem medizinischen Bereich
Zurück zur Übersicht

Neues Patientendaten-Schutz-Gesetz: IT-Sicherheit für kleine und große Krankenhäuser

22.03.2021

Patienten bekommen ein Recht auf eine moderne Versorgung

Schon jetzt ist klar: Krankenkassen müssen ihren Versicherten ab 2021 eine elektronische Patientenakte anbieten. Damit diese auch befüllt wird, erhalten Patientinnen und Patienten zeitgleich einen Anspruch darauf, dass ihre Ärztin bzw. ihr Arzt, Daten in die ePA einträgt.
Doch wie werden diese digitalen Daten vor allem in den Krankenhäusern geschützt? Und wer ist für diesen Schutz verantwortlich?

Wie ein ISMS vor Sicherheitsvorfällen schützen kann

Bei jedem Sicherheitsvorfall – wie zuletzt durch die große Microsoft Exchange Sicherheitslücke verursacht – stellen wir uns die Frage nach dem Warum. Was ist die Motivation hinter dem Angriff, warum machen „Die“ sowas?
Angreifer, die Sicherheitslücken, wie die bereits Januar 2021 entdeckten Microsoft Exchange Schwachstellen, ausnutzen, haben theoretisch Zugriff auf betroffene Systeme. Sie können Informationen ausspähen um sie für Ihre – meist gewinnbringende – Zwecke zu verwenden. Meist folgt so einem Angriff eine neue Spam- /Phishing-E-Mail-Welle, über die wiederum Schadcode auf die befallenen Systeme installiert wird.
Passiert dies bspw. in einem Krankenhaus, kann das nicht nur wirtschaftlichen Schaden nach sich ziehen, sondern auch Menschenleben kosten. Daher ist es wichtig seine Informationssicherheit in den Griff zu bekommen (das gilt übrigens für ALLE Unternehmen da draußen!). Wir sehen es als selbstverständlich an, dass Patienten gut versorgt und bestens behandelt werden. Doch diese Infrastrukturen funktionieren zunehmend digital oder werden digital unterstützt. Das macht Krankenhäuser effizienter und besser – aber auch angreifbarer. Daher nimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Betreiber kritischer Infrastrukturen in die Pflicht, sich bestmöglich abzusichern. Doch was bedeutet das genau?

Gemäß dem IT-Sicherheitsgesetz müssen Betreiber Kritischer Infrastrukturen

  • eine Kontaktstelle melden
  • IT-Störungen melden
  • den „Stand der Technik“ umsetzten und
  • dies alle zwei Jahre dem BSI nachweisen

Die Basis dafür bildet ein Managementsystem für Informationssicherheit (ISMS). Natürlich setzt das ISMS die obigen Punkte nicht um und ist auch keine Software, die man kaufen und installieren kann. Aber, wie sagt man doch so schön „Ordnung ist das halbe Leben“ und so ist auch ein ISMS zu sehen. Ein ISMS definiert Vorgaben und Abläufe, um die Informationssicherheit im Krankenhaus zum einen zu definieren und umzusetzen und sie zum anderen dauerhaft aufrechtzuerhalten und fortlaufend zu verbessern. Dafür ist es notwendig Vorgaben und Abläufe schriftlich zu fixieren, die Umsetzung derer zu überwachen und die Wirksamkeit der umgesetzten Maßnahmen zu messen und zu bewerten. Denn nur so lässt sich das ISMS auch stetig verbessern und an neue Situationen anpassen.

Informationssicherheit betrifft auch kleine Krankenhäuser

Das bisher beschriebene Verfahren zum Aufbau eines ISMS nach B3S galt bisher nur für Krankenhäuser, die zu den kritischen Infrastrukturen (KRITIS) zählen. Das sind alle Krankhäuser, welche mehr als 30.000 stationäre Fälle pro Jahr verzeichnen. Mit dem neuen Patientendaten-Schutz-Gesetz (PDSG) macht der Gesetzgeber IT-Sicherheit jedoch auch für Krankenhäuser zur Pflicht, die keine „Kritische Infrastruktur“ (KRITIS) betreiben.
Laut §75c des Sozialgesetzbuch V (SGB V) müssen alle Krankenhäuser ab dem 01. Januar 2022 „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ treffen. Mit anderen Worten: Es verlangt nach einem ISMS.

Fördermöglichkeiten  – nutzen und richtig einsetzen

Der Entwurf des Krankenhauszukunftsgesetzes (KHZG) sieht unter anderem Fördermöglichkeiten durch den Krankenhauszukunftsfond (KHZF, § 14a KHG) in den Bereichen Digitalisierung und Notfallzentren vor. Dies betrifft auch organisatorische und technische Maßnahmen beim Aufbau eines ISMS. Krankenhausträger sollten diese Fördermöglichkeiten bereits in der Planungsphase ihres ISMS mitberücksichtigen und gegebenenfalls frühzeitig bei den Ländern anmelden.
Weitere Informationen dazu finden sich auf den Websites des Bundesministeriums für Gesundheit und des Bundesministeriums der Justiz und für Verbraucherschutz.

Ihre erste Ansprechpartnerin
Rebekka Schwermann
T +49 2581 783463-0
rebekka.schwermann@die-top-berater.de
Sie verwenden einen veralteten Browser. Laden Sie sich hier einen neuen herunter!

ISO 9001 + ISO 27001

In einem Projekt! - Aus einer Hand!

Wir sind Ihr Partner!

We are Hiring!



    Komm in unser Team

    Bist Du auf der Suche nach neuen Herausforderungen? Hast Du keine Lust, viel Zeit in ein aufwändiges Anschreiben zu stecken? Dann lass es bleiben und schicke uns einfach nur deinen Lebenslauf!

    Die Cloud ist für Dich mehr als eine Ansammlung von sehr feinen Wassertröpfchen oder Eiskristallen in der Atmosphäre? Dann komm in unser Team und verstärke uns mit Deinen Talenten!

    Datenschutz Impressum
    Cookie-Einstellungen
    Wir verwenden Cookies, um unsere Webseite für Sie optimal zu gestalten und fortlaufend zu verbessern. Dazu zählen Cookies, die für die Steuerung unserer kommerziellen Unternehmensziele notwendig sind, die ausschließlich zu anonymen Statistikzwecken verwendet werden, für Komforteinstellungen oder für die Darstellung personalisierter Inhalte. Sie entscheiden, für welche Kategorie Sie die Cookies zulassen möchten. Weitere Informationen finden Sie in unseren Datenschutzhinweisen. Datenschutzerklärung
    Impressum
    Details anzeigen
    Notwendige
    Diese Cookies sind für die Webseite unbedingt notwendig. Sie helfen dabei, die Webseite nutzbar zu machen und ermöglichen beispielsweise sicherheitsrelevante Funktionalitäten.
    Statistik
    Wir erfassen anonymisierte Daten für Statistiken und Analysen. Mithilfe dieser Cookies ist es uns beispielsweise möglich, die Anzahl der Besucher oder die Auswirkungen bestimmter Seiten zu verfolgen und dadurch unsere Inhalte für Sie zu optimieren.
    Komfort
    Diese Cookies helfen uns zu verstehen, wie die Besucher mit der Webseite interagieren. So können wir die Nutzung unserer Webseite für Sie noch einfacher und komfortabler gestalten.