Gerade für Krankenhäuser ist die IT-Sicherheit von enormer Bedeutung. Mit Gesundheitsdaten verarbeiten Krankenhäuser die denkbar sensibelsten personenbezogenen Daten und sind im Rahmen der Digitalisierung und steigender Informationsintensität mehr denn je auf eine verlässliche IT-Sicherheit angewiesen.
Gestiegene Anforderungen durch das Patientendaten-Schutz-Gesetz
Mit der zunehmenden Digitalisierung und kontinuierlich steigenden Vernetzung in der Gesundheitswirtschaft, nicht zuletzt durch das Krankenhauszukunftsgesetz (KHZG), steigt auch das Schadens- und Ausfallrisiko für Krankenhäuser unter dem KRITIS-Schwellenwert (Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr). Im Oktober 2020 wurden daraufhin mit dem Patientendaten-Schutz-Gesetz erneut Anpassungen in Bezug auf die IT-Sicherheit vorgenommen, die im § 75c SGB V konkretisiert wurden. In der Folge stiegen zum 1. Januar 2022 die Anforderungen an die IT-Sicherheit in deutschen Krankenhäusern und diese sind nunmehr verpflichtet, die IT-Sicherheit nach dem Stand der Technik zu gewährleisten.
Stand der Technik
Der „Stand der Technik“ wurde mit dem „Branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus“ im Sinne des BSI-Gesetzes erstmals im Oktober 2019 freigegeben und dient seitdem allen Krankenhäusern als anerkannte Leitlinie zur Erhöhung ihrer IT-Sicherheit. Dieser von der Deutschen Krankenhausgesellschaft (DKG) in Arbeitsgruppen erarbeitete Katalog definiert eine Aufstellung an Anforderungen, welche entsprechend umzusetzen sind, um dem „Stand der Technik“ zu genügen und der Pflicht im Sinne des § 75c SGB V nachzukommen. Als Grundlage orientiert sich der B3S am internationalen Standard ISO 27001.
Der B3S zielt dabei darauf ab, die vier Schutzziele
- Verfügbarkeit (Bereitstehen von Systemen im benötigten Maß)
- Integrität (Verhinderung unautorisierter Modifikation von Informationen)
- Authentizität (Verlässlichkeit von Informationen, insbesondere bezüglich deren Autorenschaft)
- Vertraulichkeit (Schutz vor unbefugter Preisgabe von Informationen)
zu gewährleisten.
Aktuell befindet sich der B3S in der Überarbeitung und wird nach seiner erneuten Eignungsfeststellung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im zweiten Quartal 2022 auf der Homepage der DKG veröffentlicht.
Für Krankenhäuser, die sich unter dem KRITIS-Schwellenwert befinden und sich nun erstmalig intensiver dem Thema IT-Sicherheit zuwenden, ist es hilfreich, sich zunächst einen Überblick über den aktuellen Status quo der IT-Sicherheit in ihrem Haus zu verschaffen. Hierbei können IT-Sicherheitsanalysen auf Basis des B3S helfen. Im Rahmen derartiger IT-Sicherheitsanalysen wird die bestehende Informationssicherheit anhand von einer Dokumentenanalyse und Interviews erhoben. Ergänzt werden kann eine Analyse zusätzlich durch einen Penetrationstest. Dieser technische Scan der bestehenden IT-Landschaft zeigt offene Schwachstellen auf und ermöglicht es, direkt umsetzbare Maßnahmen zu generieren. Mit Hilfe derartiger IT-Sicherheitsanalysen lässt sich eine priorisierte Maßnahmenlisten zur Gewährleistung der IT-Sicherheit erarbeiten.
Sollten Sie und Ihr Unternehmen Hilfe bei der Erfüllung der Anforderungen zur IT-Sicherheit benötigen, kontaktieren Sie uns gerne. Wir unterstützen Sie ganzheitlich unter Berücksichtigung relevanter Informationssicherheitsaspekte. Jetzt Kontakt aufnehmen!