FKT-Online-Seminar: Informationssicherheit in der stationären medizinischen Versorgung
Vorweg die gute Nachricht: Dass der Nachweis der Informationssicherheit in deutschen Krankenhäusern künftig einer ISO 27001-Zertifizierung bedarf, entstammt der Gerüchteküche. Der neue § 75c im Sozialgesetzbuch (SGB) 5, geboren aus dem Patientendaten-Schutz-Gesetz, verpflichtet ab Januar 2022 jedoch nunmehr alle Krankenhäuser zu einer angemessenen IT-Sicherheit nach dem Stand der Technik.
Alle Kliniken müssen nach dem Inkrafttreten der neuen Gesetzesfassung zum Jahreswechsel angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen. Das übergeordnete Ziel dieser Maßnahmen ist die Aufrechterhaltung des Versorgungsniveaus und die Patientensicherheit. Die Erfüllung dieser Vorgabe hat nach einem branchenspezifischen Sicherheitsstandard (B3S) zu erfolgen, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgestellt und regelmäßig überprüft wird. Für Krankenhäuser wurde der branchenspezifische Sicherheitsstandard der Deutschen Krankenhausgesellschaft1 durch das BSI als geeignet erklärt und entsprechend akkreditiert. Damit gilt dieser als aktueller Stand der Technik für die IT-Sicherheit der Gesundheitsversorgung im Krankenhaus. Mit der Einführung des Patientendaten-Schutz-Gesetzes wird der branchenspezifische Sicherheitsstandard ab 1. Januar 2022 zur Messlatte für alle Krankenhäuser. Weitere Anreize und Vorgaben zur Digitalisierung und für mehr IT-Sicherheit kommen aus dem Krankenhauszukunftsgesetz (KHZG). Über den Krankenhauszukunftsfonds (KHZF) stellen der Bund und die Länder insgesamt bis zu 4,3 Mrd. für die Modernisierung, die Bereitstellung von zukunftsweisenden Notfallkapazitäten und Digitalisierungsprojekten zur Verfügung. Dabei müssen 15% der Fördermittel für die Verbesserung der Informationssicherheit eingesetzt und verwendet werden. Hinzu kommen weitere Regelungen, z.B. aus der EU-Medizinprodukteverordnung oder anderen Industrienormen, aus denen sich Anforderungen an die IT-Sicherheit ableiten lassen.
Bis tief in die Katakomben
Im Online-Seminar „IT-Sicherheit ein gesetzlich verankertes Muss/Patientendaten-Schutz-Gesetz und B3S“ der Fachvereinigung Krankenhaustechnik e.V. (FKT) erörterte Frank Kümpel, Principal Consultant bei der TÜV-Rheinland i-sec GmbH, was damit aktuell auf die Krankenhäuser zukommt: nicht weniger als eine komplette Durchleuchtung und anschließende Ertüchtigung ihrer komplexen IT-Architektur in Puncto Sicherheit bis tief hinein in die technischen Katakomben. Dass die Verfügbarkeit von Technik eine entscheidende Rolle für das Weiterfunktionieren eines Krankenhauses spielt, ist mittlerweile offenbar auch bei der DKG angekommen. Man geht jedoch davon aus, dass die B3S-Anforderungen abgespeckt werden müssen, wenn sie künftig allen Häusern als Vorgabe für ihre IT-Sicherheit dienen sollen. In der gegenwärtigen Fassung wären sie für kleinere Häuser schwer umsetzbar, da die Ausrichtung des derzeitigen Sicherheitsstandards auf die kritischen Infrastrukturen in Deutschland abzielt. Alle zwei Jahre kommen die branchenspezifischen Standards jedoch auf den Prüfstand und werden dem aktuellen Stand der Technik angepasst. Für den B3S für die Gesundheitsversorgung im Krankenhaus ist das nach Auskunft des BSI im August der Fall. „Wir rechnen dann mit Anpassungen, um auch die kleineren Häuser abholen zu können. Ob dies tatsächlich der Fall sein wird, wird sich mit der Veröffentlichung des dann gültigen Sicherheitsstandards zeigen“, sagt Kümpel.
Einer festen Methodik folgend
Die Methodik des Risikomanagements ist mit derzeit 37 Anforderungen fest vorgeschrieben. Sie folgt der bewährten Leitschnur: Ermittlung der Risikoobjekte und Risiko-Eigentümer, Festlegung der Kritikalität nach vorgegebenem Muster, Risikoidentifikation, Risikobewertung, Risikobehandlung sowie Risikokommunikation und -überwachung. Die Anwendung erstreckt sich von KIS bis hinein in die Versorgungstechnik, Logistik oder Spezial-Softwarelösungen, die bisher oft ohne spezielle Prüfungen oder vorgegebene Prozesse beschafft und implementiert werden. Eine Studie2 des BSI ergab, dass Krankenhäuser häufig kaum über Test- und Freigabeprozesse für neue Softwaresysteme und Gerätetechnik verfügen und dass Maßnahmen im Patch- und Änderungsmanagement häufig verzögert erfolgen. Darüber hinaus scheinen Kapazitätsengpässe bei der Speicherung von immer stärker zunehmenden Datenmengen ein allgegenwärtiges Problem darzustellen. Eine virtuelle Netztrennung und Netzsegmentierung in ein Medizintechnik-Netz, Verwaltungsnetz, Applikationsnetz und Patienten-/Gästenetz ist oftmals ebenso nicht vollständig vollzogen. Nun gilt es in vielen Krankenhäusern, längst überfällige Hausaufgaben zu machen und das IT-Sicherheitsmanagement auf das erforderliche Niveau zu heben – nicht zuletzt in der Gebäude- und Medizintechnik mit ihren immer zahlreicher werdenden vernetzten Geräten und Systemen. Im B3S sind die Versorgungs-, Medizin- und Kommunikationstechnik sowie Logistiksysteme mit zahlreichen Subkategorien und entsprechenden Anforderungen versehen.
Ein Informationssicherheits-Managementsystem (ISMS) ist nunmehr für alle Häuser Pflicht und zudem eine zuverlässige Methode, um den gesetzlichen Anforderungen für mehr IT-Sicherheit für die Gesundheitsversorgung im Krankenhaus gerecht zu werden.
Maria Thalmayr, Frank Kümpel
Hier geht es zur Präsentation
Hier geht es zur Aufzeichnung des Webinars