Ab 1. Januar 2022 gilt auf Basis des Patientendaten-Schutz-Gesetzes, dass alle Krankenhäuser, egal welcher Größe, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ treffen müssen.
Krankenhäuser geraten immer häufiger ins Visier von Cyberkriminellen. Ein damit verbundener IT-Ausfall kann gravierende Folgen haben, beispielsweise wenn lebensbedrohlich erkrankte Patienten erst später behandelt werden können oder Neuaufnahmen von Patienten nicht möglich sind. Sind die IT-Sicherheitsmaßnahmen immer auf dem neuesten Stand, können solche Risiken minimiert werden.
Im Rahmen des Konjunkturpakets zur Bewältigung der Corona-Pandemie stellt die Bundesregierung mit dem Krankenhauszukunftsgesetz 3 Milliarden Euro bereit, um digitale Technologien an Krankenhäusern zu fördern – weitere 1,3 Milliarden Euro schießen die Länder und Klinikträger zu. Ein idealer Zeitpunkt, um die IT-Sicherheit in Krankenhäusern zu verbessern.
Branchenspezifischer Sicherheitsstandard (B3S) für alle Kliniken
Bisher sind nur Kliniken mit mehr als 30.000 vollstationären Fällen pro Jahr dazu verpflichtet, geeignete IT-Sicherheitsmaßnahmen zu treffen, die § 8a des Gesetzes des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechen. Diese Kliniken gehören zur „Kritischen Infrastruktur“ (KRITIS).
Durch Gesetzesbeschluss von September 2020 müssen künftig auch kleinere Kliniken dem Stand der Technik angemessene, organisatorische und technische Vorkehrungen zur IT-Sicherheit treffen – dies regelt der neue Paragraf 75c Sozialgesetzbuch V (SGB V).
Der Paragraf empfiehlt ausdrücklich den branchenspezifischen Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft (DKG), der alle zwei Jahre revisioniert wird. In seiner nächsten Version soll er spezielle Regelungen für all jene Krankenhäuser enthalten, die unter dem Schwellenwert gemäß KRITIS-Verordnung liegen. Dies soll kleineren Kliniken helfen, die Maßnahmen zur Verbesserung ihrer IT-Sicherheit nach anerkanntem Standard umsetzen zu können.
Krankenhäuser sollten jetzt ihre IT-Sicherheitsmaßnahmen überprüfen
„Krankenhäuser sollten schnellstmöglich damit beginnen, angemessene IT-Security-Maßnahmen zu treffen oder diese zu aktualisieren, denn die gesetzte Frist bis zum 1. Januar 2022 klingt fern, ist aber knapp. Wir empfehlen dringend, sich am B3S zu orientieren“, sagt German Franke, Managing Partner bei der Infraforce GmbH.
Haben sie Maßnahmen zur IT-Sicherheit ergriffen, müssen Krankenhäuser diese spätestens alle zwei Jahre auf den aktuellen Stand der Technik prüfen. Zwar besteht für Nicht-KRITIS-Krankenhäuser keine Nachweis- oder Meldepflicht, trotzdem rät der Experte zu einer externen Prüfung, zum Beispiel durch Infraforce: Im Schadensfall gilt sie als stichhaltiger Beleg für angemessene IT-Sicherheitsmaßnahmen und kann dadurch Haftungsrisiken für die Klinik minimieren.
„Nach erfolgreicher Prüfung durch unsere Experten erhalten unsere Kunden das Siegel INFRA®ZERT, mit dem wir Unternehmen auszeichnen, die sich in Sachen Cybersicherheit professionell aufgestellt haben. Wir beachten hierbei auch die Besonderheiten Ihrer IT-Infrastruktur." resümiert German Franke.