Georg Thieme Verlag KG
kma Online

IT-Sicherheit 2022Was PDSG und KRITIS 2.0 für Krankenhäuser bedeuten

2022 bringt gleich zwei gesetzliche Änderungen für die Informationssicherheit in Krankenhäusern mit sich: Die Verschärfung der KRITIS-Verordnung und eine neue Richtlinie aus dem Patientendaten-Schutz-Gesetz, die auch kleinere Kliniken zur Absicherung ihrer IT verpflichtet.

 

Datenschutz
Blue Planet Studio/stock.adobe.com

Symbolfoto

Strengere Regeln und ein erweiterter Adressatenkreis, so lassen sich die gesetzlichen Änderungen rund um die Informationssicherheit in Krankenhäusern auf den Punkt bringen. Die verschärften Anforderungen liefert die Novelle der KRITIS-Verordnung, die 2021 im Rahmen des IT-Sicherheitsgesetzes 2.0 verabschiedet wurde: Betreiber kritischer Infrastrukturen müssen essenzielle Komponenten ihrer IT ab sofort beim BSI registrieren und deren Sicherheit mit einer Erklärung des Herstellers belegen. Außerdem erhält das BSI zusätzlichen Freiraum bei der Beseitigung von Störungen.

Auf technischer Ebene macht KRITIS 2.0 zudem den Einsatz von Systemen zur Angriffserkennung verpflichtend, der bislang als freiwillige Empfehlung in vielen Standards enthalten war. Betreibern bleibt hier noch bis Mai 2023 Zeit für die Umsetzung, dennoch sollten betroffene Kliniken die Implementierung nicht zu lange aufschieben: Bei Intrusion Detection Systemen (IDS) und Security Information & Event Management (SIEM) handelt es sich zwar um automatisierte Lösungen, dennoch müssen diese zunächst konfiguriert und später laufend betreut werden. Sie lassen sich also nicht von heute auf morgen in Betrieb nehmen.

KRITIS für alle Krankenhäuser?

Während KRITIS 2.0 zusätzliche Betreiber in Sektoren wie Energie, Transport und Finanz in die Pflicht nimmt, bleibt der Grenzwert für KRITIS-Anlagen in der Gesundheitsversorgung unberührt: 30.000 vollstationäre Fälle pro Jahr. Hier kommt es auf anderem Weg zu einer Ausweitung der gesetzlichen Vorgaben: § 75c SGB V, der durch das Patientendaten-Schutz-Gesetz von 2020 eingeführt wurde, verpflichtet seit dem 01.01.2022 alle Krankenhäuser in Deutschland zur Umsetzung angemessener Sicherheitsmaßnahmen, um den Schutz von Gesundheitsdaten und die Funktionsfähigkeit des Krankenhauses zu gewährleisten. Dabei verweist das Gesetz direkt auf den branchenspezifischen Sicherheitsstandard (B3S) der deutschen Krankenhausgesellschaft als geeignete Grundlage für die Verbesserung der Informationssicherheit.

Das Patientendaten-Schutz-Gesetz macht die Schutzziele der KRITIS-Verordnung und den B3S für Krankenhäuser damit de facto für alle deutschen Krankenhäuser verbindlich. Das bedeutet aber nicht, dass jede Klinik künftig auch als kritische Infrastruktur zählt. Anforderungen, die aus anderen Abschnitten des BSI-Gesetzes hervorgehen, gelten weiterhin nur für jene Krankenhäuser, die den Schwellenwert von 30 000 Patienten im Jahr überschreiten. Dazu gehört die Registrierung beim BSI, das Einrichten einer Kontaktstelle, die Meldung von Störungen, die Registrierung kritischer Komponenten, sowie der unabhängige Audit der IT-Sicherheit alle zwei Jahre.

Kleineren Kliniken schreibt § 75c vor, ihre IT-Sicherheit nach dem gängigen Stand der Technik aufzubauen und spätestens im Abstand von zwei Jahren an neue Entwicklungen anzupassen. Eine Überprüfung der Sicherheitsmaßnahmen ist vom Gesetz nicht vorgesehen. Für Betreiber kann eine freiwillige Zertifizierung dennoch sinnvoll sein, um im Fall einer Störung den angemessenen Schutz nachweisen und Bußgelder vermeiden zu können.

Informationssicherheit nachhaltig verankern

Trotz einiger Abschwächungen gegenüber der KRITIS-Verordnung bedeutet § 75c eine erhebliche Umstellung für deutsche Krankenhäuser. Der 1. Januar 2022 als offizieller Stichtag liegt nun bereits einige Monate zurück, dennoch dürften viele Kliniken gegenwärtig noch mit Verbesserungen ihrer IT und der Vorbereitung auf Zertifizierungen beschäftigt sein. Die Deutsche Krankenhausgesellschaft (DKG), die auch den branchenspezifischen Sicherheitsstandard verfasst hat, stellt Betreibern dazu über ihre Website Starthilfen und Infomaterial zur Verfügung.

Hier ist es wichtig zu betonen, dass Häuser, die ihre IT-Sicherheit nicht völlig vernachlässigt haben, schon jetzt viele Anforderungen des B3S erfüllen. Es muss also nicht das Rad neu erfunden werden, um den gesetzlichen Ansprüchen zu genügen. Stattdessen sollten Kliniken mit einer Gap-Analyse starten, bei der erhoben wird, wo welche Verbesserungen und Veränderungen notwendig sind, um die Vorgaben des Standards zu erreichen.

Neben technischen Schutzmaßnahmen streicht die DKG für diese Auswertung zwei Punkte als zentral hervor: Die Einbindung der IT in Notfall- und Betriebsfortführungspläne, sowie die organisatorische Einbettung im laufenden Betrieb. In Anlehnung an die Norm ISO 27001 sieht der B3S für Krankenhäuser den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) vor, durch das Aufgaben und Verantwortlichkeiten klar geregelt werden. Dazu müssen Zielsetzungen festgeschrieben, Geltungsbereiche definiert und Sicherheitsbeauftragte ernannt werden. Immerhin liegt der Schutz sensibler Daten und kritischer Infrastrukturen letztlich in der Verantwortung von Menschen.

Bestmöglicher Schutz in allen Systemen

So wichtig die IT-Sicherheit von Krankenhäusern aufgrund ihrer gesellschaftlichen Bedeutung ist, so herausfordernd gestaltet sich die Einführung eines einheitlichen Sicherheitskonzepts angesichts zahlreicher fachspezifischer Geräten und Anwendungen. Egal, wo sensible Daten und mögliche Angriffsflächen vorliegen, müssen diese abgesichert werden, vom Krankenhausinformationssystem bis hin zur Radiologie- und Labortechnik. Und das, ohne im hektischen Krankenhausalltag Untersuchungen und Behandlungen zu verzögern.

Der beste Weg, um den Aufwand zu kompensieren, der sich durch die Verwaltung von heterogenen Systemlandschaften und branchenspezifischen Anwendungen ergibt, liegt in automatisierten Lösungen. Mithilfe von Identity und Access Management lässt sich der Zugriff auf IT-Ressourcen in allen Systemen über eine zentrale Plattform steuern und nachvollziehen. Die automatische Abwicklung von Standard-Tätigkeiten wie dem Anlegen von Benutzerkonten samt verknüpfter Zugriffsrechte sorgt dafür, dass sich IT-Fachkräfte übergeordneten Aufgaben rund um Compliance und Datenschutz widmen können.

Die Benutzer- und Berechtigungsverwaltung zählt zu den Grundlagen einer sicheren IT-Umgebung und minimiert das Risiko für Datenmissbrauch und Cyberangriffe. Hinsichtlich der Compliance mit gesetzlichen Standards wie PDSG und KRITIS erleichtern IAM-Lösungen zudem den Nachweis angemessener Sicherheitskonzepte, da vollständig und rückwirkend dokumentiert wird, welche Personen Zugriff auf welche Daten und Systeme hatten.

2022. Thieme. All rights reserved.

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!