Informationssicherheit im Krankenhaus: Voraussetzungen und Fördermöglichkeiten

Von Dr. Florian Kaiser und Lea Bullenkamp, Oberender AG

Krankenhäuser gelten nicht zuletzt aufgrund ihrer hochsensiblen Patientendaten als beliebtes Ziel für Kriminelle. Ein Cyberangriff kann verheerende Folgen haben und im schlimmsten Fall Menschenleben kosten. Wie im Fall des Lukaskrankenhauses Neuss entstehen zudem häufig Schäden in Millionenhöhe. In den vergangenen Jahren waren immer mehr Kliniken von solchen Angriffen betroffen. Häufig können diese auf unzureichende Informationssicherheit zurückgeführt werden. So ist laut einer aktuellen Studie der BW Universität München die IT-Sicherheit bei mindestens einem Drittel der deutschen Krankenhäuser mangelhaft.

Die Notwendigkeit, Gesundheitsdaten zu schützen, wurde auch vom Gesetzgeber erkannt. Ab dem kommenden Jahr sind alle Krankenhäuser in Deutschland verpflichtet, angemessene Vorkehrungen für mehr Informationssicherheit zu treffen. Einen Ansatzpunkt hierfür liefert das Krankenhauszukunftsgesetz (KHZG), das Krankenhäuser bei Investitionen in Informationssicherheit finanziell unterstützt. Welche Fördermöglichkeiten und Voraussetzung hierbei bestehen, zeigt der nachfolgende Beitrag.

Informationssicherheit ab 2022 für alle Krankenhäuser verpflichtend

Mit dem Patientendatenschutzgesetz ändert sich unter anderem auch § 75c SGB V. Waren es bislang nur KRITIS-Krankenhäuser mit mehr als 30.000 Fällen pro Jahr, sind ab dem 1. Januar 2022 alle Krankenhäuser in Deutschland verpflichtet, organisatorische und technische Maßnahmen zur IT-Sicherheit einzuführen. Auch das KHZG greift diesen Aspekt auf. So müssen laut Förderrichtlinie mindestens 15 Prozent der beantragten Fördermittel im Rahmen des KHZG für Projekte zur Fortentwicklung der Informationssicherheit ausgegeben werden.

Abbildung 1: Verpflichtung zur Verbesserung der Informationssicherheit in Krankenhäusern

Was wird gefördert?

Fördertatbestand 10 des KHZG hat zum Ziel, die IT-Sicherheit in allen deutschen Krankenhäusern zu verbessern. Zuvor hatten nur KRITIS-Einrichtungen Zugriff auf Fördermittel für Maßnahmen zur Fortentwicklung der IT-Sicherheit aus dem Krankenhausstrukturfonds. Es sollen vor allem Störungen der Verfügbarkeit, Integrität sowie Vertraulichkeit informationstechnischer Systeme, die für die Funktionsfähigkeit des Krankenhauses sowie die Sicherheit der verarbeiteten Patienteninformationen entscheidend sind, verhindert werden. Die Einführung eines Informationssicherheits-Managementsystems (ISMS) wird hierfür explizit vorgeschlagen.

Ziele von Informationssicherheits-Managementsystemen

Ein ISMS ist kein einzelnes Software- oder Hardwaresystem. Vielmehr besteht es aus einer Reihe von Verfahren und Regeln, die die Informationssicherheit dauerhaft definieren, steuern und aufrechterhalten sollen. Ein ISMS muss kontinuierlich überarbeitet, verbessert und so an aktuelle Risiken und Bedrohungen angepasst werden. Das externe Potenzial wird determiniert durch die Anzahl an Prozeduren, die für robotische Chirurgie relevant sind und gemäß einer definierten Region, die der Patientenherkunft entspricht, berechnet werden kann.

Branchenstandard B3S ist richtungsweisend

Damit ISMS auf dem aktuellen Stand der Technik sind, wird die Umsetzung eines Branchenspezifischen Sicherheitsstandards (B3S) empfohlen. Dieser wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in § 8a BSI-Gesetz festgehalten.

Der B3S fordert die Implementierung eines ISMS auf Grundlage der ISO 27001. Auch wenn der B3S im Rahmen der Nachweiserbringung für Krankenhäuser nicht verpflichtend ist und die Anforderungen an Informationssicherheit theoretisch auch auf anderem Wege erbracht werden können, vermittelt er Rechtssicherheit darüber, welche Maßnahmen die gesetzlichen Anforderungen erfüllen. Demnach wird der B3S mit dem neuen § 75c SGB V für alle deutschen Krankenhäuser an Relevanz zunehmen.

Einhaltung von Informationssicherheit hat haftungsrechtliche Relevanz

Während KRITIS-Krankenhäuser dem BSI alle zwei Jahre Nachweise über die Einhaltung der Informationssicherheitsstandards übermitteln müssen, gilt eine solche Nachweispflicht für alle anderen Krankenhäuser zunächst nicht. Jedoch könnte die betriebliche Haftpflichtversicherung im Falle einer Cyber-Attacke einen Nachweis über angemessene Vorkehrungen zur Informationssicherheit verlangen. Darüber hinaus könnte das Einhalten des B3S ebenfalls als ein Nachweis des Projekterfolgs für KHZG-Förderprogramme herangezogen werden.

Wie können ISMS in Krankenhäusern erstellt werden?

Die Vorgehensweise bei der Errichtung eines ISMS kann Kapitel 3.3 der B3S entnommen werden. Viele der dort genannten Schritte sind praxisnah beschrieben, von Krankenhausbetreibern für Krankenhausbetreiber.

Hervorzuheben ist insbesondere das hierin enthaltene Risikomanagement für die Informationssicherheit. Auf dieser Basis können Projekte danach priorisiert werden, wie hoch die Risikoreduktion durch die Einführung ist. Auch die zuvor genannten Schutzziele werden bewertet. Mithilfe des risikobasierten Ansatzes können jene Maßnahmen identifiziert werden, die in jedem Fall mit den Mitteln der zuvor genannten 15 Prozent finanziert werden sollten.

Herausforderungen bei der Umsetzung

Ein zentraler Aspekt, der bei der Einführung von ISMS zu beachten ist, sind die damit einhergehenden Kosten. Je nachdem, wie die Kliniken bereits im Bereich IT-Sicherheit aufgestellt sind, werden 15 Prozent der Fördersumme häufig nicht ausreichen, um die genannten Anforderungen zu erfüllen. Darüber hinaus ist zu berücksichtigen, dass die Folgekosten für Betrieb und Weiterentwicklung der Systeme in der Regel nicht förderfähig sind.

Fazit

Informationssicherheit ist eine notwendige Grundlage für die fortschreitende Digitalisierung in Krankenhäusern. Während ISMS nach § 75c SGB V gefordert werden, können sie mit den Mitteln des KHZG gefördert werden. Bei der Einführung eines ISMS wird immer zunächst eine Basis geschaffen, auf der alle weiteren Maßnahmen und Projekte aufbauen. Ziel ist es, das System kontinuierlich weiterzuentwickeln, zu verbessern und an aktuelle Risiken anzupassen, um so die bestmögliche Sicherheit für Patienten sowie die hochsensiblen Gesundheits- und Patientendaten zu gewährleisten. Krankenhäuser müssen allerdings berücksichtigen, dass die Kosten für Implementierung und Betrieb von IT-Sicherheitssystem häufig nicht vollständig durch die Fördermittel gedeckt werden können.

Dr. Florian Kaiser
Oberender AG

E-Mail: florian.kaiser@oberender.com

Lea Bullenkamp
Oberender AG

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.