IT-Sicherheitskonzept Gesundheitswesen – die wichtigsten Infos

Die Digitalisierung im Gesundheitswesen ist in vollem Gange: Krankenhäuser werden „intelligent“ und sind zunehmend vernetzt, die Patientenakte wird digital, Sprechstunden finden online statt und Roboter assistieren bei Operationen. Diese Entwicklungen bieten große Chancen. Gleichzeitig steigt damit aber auch die Gefahr, dass Gesundheitseinrichtungen Opfer von Angriffen durch Cyberkriminelle werden.

Das Thema IT-Sicherheit im Gesundheitswesen rückt deshalb immer mehr ins Rampenlicht. In kaum einer Branche ist es wichtiger, dass digitale Services sicher und zuverlässig betrieben werden. Denn im Ernstfall hängen Menschenleben davon ab, dass kritische Systeme für Verwaltung, Diagnostik und Behandlung verlässlich abgesichert sind. Worauf bei einem IT-Sicherheitskonzept für das Gesundheitswesen zu achten ist, klären wir in diesem Artikel.

Was macht Cybersicherheit im Gesundheitswesen besonders?

Grundsätzlich ist keine Branche immun gegen Cyberattacken. Im Gesundheitswesen nimmt die Bedrohungslage in den letzten Jahren allerdings besonders stark zu. Warum? Weil der Gesundheitssektor mit verschiedensten Herausforderungen konfrontiert ist, die ihn besonders anfällig machen. Dazu gehören:

• Veraltete IT-Infrastrukturen, die mit der Digitalisierung nicht Schritt halten können.
• Große Mengen sensibler und personenbezogener Daten sind attraktiv für potentielle Angreifer und bedeuten hohe Anforderungen an den Datenschutz.
• Eine umfangreiche gesetzliche Regulatorik, bei der oft unklar ist, wer für die Umsetzung verantwortlich ist (z. B. die Klinik oder die Hersteller der Produkte und Lösungen).
• Komplexe IT-Systeme, die sich über lange Zeiträume hinweg entwickelt haben.
• Der IT-Fachkräftemangel
• Neue Arbeitsformen wie Remote Work, die durch ungesicherte Endgeräte und anfällige Zugangsstrukturen zusätzliche Risiken in Health-Unternehmen schaffen.
• Neue Digitallösungen im E-Health, die mit zahlreichen sensiblen Daten (z. B. Diagnosebefunde, Röntgenbilder oder Laborergebnisse) arbeiten.
• Die COVID-19-Pandemie, die das Interesse an Informationen über Patienten und Patientinnen massiv erhöht und die Lage verschärft hat.

Wie ist die IT-Sicherheit im Gesundheitswesen gesetzlich geregelt?

In Deutschland sind drei Behörden für die IT-Sicherheit im Gesundheitswesen zuständig:

• Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Überblick im Bereich IT-Sicherheit und formuliert technische Richtlinien, die konkrete Anforderungen an digitale Gesundheitsanwendungen stellen.
• Die Bundesanstalt für Arzneimittel und Medizintechnik (BfArM) in Bonn reguliert die Zulassung von Medizinprodukten und Geräten.
• Die gematik in Berlin ist für die Aktualisierung der Telematikinfrastruktur (TI) zuständig. Diese wird beispielsweise für die elektronische Gesundheitskarte benötigt.

2022 hat sich im Bereich IT-Sicherheit gesetzlich einiges getan. Wichtig für den Gesundheitssektor sind vor allem das Patientendaten-Schutz-Gesetz (PDSG) und das IT-Sicherheitsgesetz 2.0.

Das IT-Sicherheitsgesetz (IT-SiG) regelt seit 2015 mit dem BSI-Gesetz die Sicherheit kritischer Infrastrukturen. Es verpflichtet Einrichtungen aus dem Gesundheitswesen, die als KRITIS eingestuft sind, zu einem Mindeststandard an IT-Sicherheit: Eine störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit von IT-Systemen, Komponenten und Prozessen muss sichergestellt sein. Schwere IT-Sicherheitsvorfälle müssen gemeldet werden.

Mit dem IT-Sicherheitsgesetz 2.0 wurden die Anforderungen an KRITIS-Einrichtungen jetzt noch einmal verschärft – mit mehr Pflichten für die Betreiber, höheren Cybersecurity-Anforderungen und mehr Befugnissen für den Staat und Aufsichtsbehörden. So müssen Krankenhäuser, die mit mehr als 30.000 vollstationären Patienten und Patientinnen pro Jahr unter die KRITIS-Verordnung fallen:

• „kritische Komponenten“ beim BSI melden,
• Systeme zur Angriffserkennung einführen,
• sich unmittelbar nach der KRITIS-Einstufung beim BSI registrieren, und
• dem BSI bei erheblichen Störungen umfangreiche Informationen bereitstellen.

Um sicherzugehen, dass die Vorgaben tatsächlich fristgerecht umgesetzt werden, wurden die Bußgelder erhöht: Wer sich nicht beim BSI registriert, Schutzziele nicht erfüllt, Störungen nicht meldet oder BSI-Anweisungen nicht befolgt, muss mit Geldstrafen von bis zu 20 Millionen Euro rechnen.

Die Deutsche Krankenhausgesellschaft stellt einen branchenspezifischen Sicherheitsstandard (B3S) bereit, der vom BSI offiziell zugelassen ist und bei der Umsetzung der KRITIS-Regularien unterstützt.

Das PDSG regelt zusätzlich die schrittweise Einführung der elektronischen Patientenakte (ePA) und weiterer digitaler Dienste. Außerdem beinhaltet es konkrete gesetzliche Vorschriften für die IT-Sicherheit in Krankenhäusern, die nicht als KRITIS definiert sind: Nach §75c im Sozialgesetzbuch (SGB) Fünftes Buch (V) sind seit Januar 2022 alle deutschen Krankenhäuser verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zu treffen, um die „Verfügbarkeit, Integrität und Vertraulichkeit“ ihrer informationstechnischen Systeme sicherzustellen.

Konkret bedeutet das, dass jetzt auch kleine Krankenhäuser in der Pflicht sind, Maßnahmen für die IT-Sicherheit zu ergreifen. Umsetzen lässt sich das ebenfalls mit Hilfe des branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser.

Zusätzlich müssen sich Einrichtungen und Organisationen im Gesundheitswesen selbstverständlich auch immer an die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und an das neue Bundesdatenschutzgesetz (BDSG) halten. 

Wie lässt sich IT-Sicherheit im Gesundheitswesen umsetzen?

Die gesetzlichen Vorgaben zur IT-Sicherheit im Gesundheitswesen allein liefern noch keine konkreten Handlungsempfehlungen. Orientierung, wie ein IT-Sicherheitskonzept im Gesundheitswesen aussehen kann, bietet aber der bereits angesprochene branchenspezifische Sicherheitsstandard für Krankenhäuser.

Darin werden insgesamt 168 Maßnahmen in drei Kategorien (Muss, Soll und Kann) aufgeführt. Im Kern geht es darum, ein umfassendes Informationssicherheitsmanagementsystem (ISMS) aufzubauen. Das heißt: Alle wichtigen Informationen im Krankenhaus müssen angemessen und wirksam geschützt werden.

Zentral sind die klassischen Schutzziele der Informationssicherheit nach ISO 27001:

• Verfügbarkeit: Autorisierte Personen können auch tatsächlich auf alle Informationen, Dienstleistungen und Systeme zugreifen, wenn sie sie brauchen.
• Integrität: Alle Systeme funktionieren korrekt und die Daten liegen unversehrt (also in der „richtigen“ Version) vor.
• Authentizität: Alle Informationen sind „echt“ und stammen nur von der angegebenen Quelle bzw. berechtigten Personen.
• Vertraulichkeit: Es sind keine wichtigen Informationen versehentlich für unbefugte Personen einsehbar.

Zusätzlich sind im B3S Krankenhaus zwei branchenspezifische Schutzziele festgehalten:

• Patientensicherheit: Patienten und Patientinnen bleiben frei von unvertretbaren Risiken einer physischen Verletzung oder eines Schadens an der Gesundheit (inkl. Vermeidung einer nachhaltigen psychischen Belastung).
• Behandlungseffektivität: Die wirksame Behandlung von Patienten und Patientinnen unter Benutzung von Informationen und wirksamen Therapiemaßnahmen, ggf. auf Basis eines Informationsaustausches zwischen unterschiedlichen verantwortlichen Organisationseinheiten, ist sichergestellt.

Oberstes Ziel des Branchenstandards ist eine gesicherte medizinische Versorgung der Patienten und Patientinnen – egal unter welchen Umständen. Die technischen Aspekte der IT-Security sind dabei nur ein Puzzleteil. Auch organisatorische, strukturelle und prozessuale Themen spielen eine Rolle. Die Verantwortung dafür liegt beim Management.

Die ersten Schritte für die Umsetzung

Bevor Krankenhäuser nun direkt anfangen, ihre gesamte IT-Infrastruktur umzukrempeln, sollten sie ihren aktuellen Status quo mit dem Soll-Zustand laut B3S abgleichen (Gap-Analyse). So gewinnen sie Klarheit über folgende Fragen:

• Wo stehen wir derzeit?
• Was ist noch zu tun, um den aktuellen Stand der Technik zu erreichen?

Anschließend gilt es, einen individuellen Maßnahmenplan zu erstellen und zu kalkulieren, wie viel Zeit und Kosten voraussichtlich investiert werden müssen, um die Lücken zu schließen. Einige grundlegende Maßnahmen, die im Sicherheitsstandard enthalten sind, werden vermutlich bereits jetzt abgedeckt. Es muss also nicht zwangsläufig die komplette IT neu aufgebaut werden.

Übrigens: Auf unserem Blog finden Sie ergänzend einige Empfehlungen zur Cyberabwehr, die Organisationen und Unternehmen der kritischen Infrastruktur grundsätzlich beachten sollten.

KHZG als Chance für die IT-Sicherheit

Um Krankenhäusern finanziell unter die Arme zu greifen, fördern Bund und Länder die Digitalisierung aktuell mit dem Krankenhauszukunftsgesetz (KHZG).

Das Ziel: den Gesundheitssektor modernisieren – und dabei auch die IT-Sicherheit verbessern. Denn 15 Prozent der bereitgestellten Mittel müssen in die Verbesserung der IT-Sicherheit im Gesundheitswesen fließen. Im Fokus stehen Hochschulkliniken und (kleinere) Krankenhäuser, die nicht zu den kritischen Infrastrukturen gehören.

Lesen Sie auch unsere anderen Artikel über Cybersicherheit in anderen Branchen: 

• Cybersicherheit im Rechtswesen
• IT-Sicherheitsgesetz 2.0 – Regelungen für Unternehmen
• Wie können sich Behörden gegen Cyberangriffe schützen?

IT-Sicherheitsanforderungen mit DriveLock erfüllen

DriveLock unterstützt Gesundheitseinrichtungen ebenfalls dabei, die Informationssicherheit zu gewährleisten und Gefahren effektiv vorzubeugen.

Die Lösungen DriveLock Application Control und DriveLock Device Control sind nach Common Criteria EAL 3+ zertifiziert und schützen Systeme zuverlässig vor Schadsoftware. Nicht autorisierte Anwendungen und Geräte werden zuverlässig erkannt und blockiert. Daten sind kryptographisch abgesichert, sodass ihre Vertraulichkeit, Authentizität und Integrität sichergestellt ist. Außerdem bietet DriveLock sichere Authentifizierung und Intrusion Detection.

DriveLock bietet zudem kostengünstige und flexible Security Awareness Trainings, in denen die Mitarbeitenden anlassbezogen und kontinuierlich sensibilisiert werden. So wird auch die menschliche Firewall gestärkt.

Mehr Infos darüber, wie Sie Gesundheits- und Patientendaten effektiv und sicher schützen, erhalten Sie im Whitepaper „IT-Sicherheit im Gesundheitswesen“.

Benjamin Brumaire, Senior Consultant beim DriveLock Partner UBM, verrät Ihnen außerdem, wie sichere Digitalisierung in der Klinikumgebung mit DriveLock funktioniert.