IT-Sicherheit im Krankenhaus

​veröffentlicht am 31. Januar 2022; Autoren: Jürgen Schwestka, Konrad Klein

Seit 01.01.2022 müssen alle Krankenhäuser, unabhängig von der Anzahl der jährlichen vollstationären Fälle, den aktuellen Stand der Technik zur Sicherstellung der Verfügbarkeit der medizinischen Versorgung umsetzen. Dies stellt insbesondere kleinere Häuser vor große Herausforderungen – denn meist stehen selbst für das Tagesgeschäft nicht ausreichend Mitarbeiter in der IT-Abteilung zur Verfügung.

Im Vergleich zu Universitätskliniken haben die Krankenhäuser in der Regel keine großen IT-Abteilungen, denn sie stehen gleich vor mehreren Problemen: IT-Mitarbeiter sind am Arbeitsmarkt sehr gefragt und haben hervorragende Einstiegschancen in der Industrie – hier werden im Vergleich zu den Tarifen des öffentlichen Dienstes deutlich bessere Gehälter bezahlt. Gleichzeitig muss ein IT-Mitarbeiter im Krankenhaus meist ein Generalist sein und viele Themen abdecken – eine Spezialisierung auf wenige hochkomplexe Themen oder Systeme ist meist aufgrund der Größe der Abteilung nicht möglich. Dies macht für viele IT-Spezialisten die Arbeit weniger attraktiv.

Krankenhäuser stehen nicht zuletzt dadurch vor großen Herausforderungen. Durch die pandemische Lage, die sich besonders auf medizinischen Einrichtungen auswirkte, mussten viele anlassbezogene Projekte initiiert und umgesetzt werden (z.B. Systeme zur Registrierung der Besucher), sodass Alltagsaufgaben liegen blieben. Zugleich erfordern erhöhte regulatorische Anforderungen aus § 75c SGB V (IT-Sicherheit im Krankenhaus) eine Umsetzung von Sicherheitsmaßnahmen. Dies belastet die knappen IT-Ressourcen zusätzlich. Insbesondere der Aufbau eines Informationssicherheitsmanagementsystems zur strukturierten Verwaltung von Risiken im Umgang mit Informationen stellt Krankenhäuser vor große Herausforderungen. Für die Implementierung und Aufrechterhaltung des Managementsystems wird ein Informationssicherheitsbeauftragter (ISB) benötigt – doch auch diese sind nicht leicht zu finden, da das Thema IT-Sicherheit nicht zuletzt aufgrund der immer weiter zunehmenden Anzahl von Cyberangriffen für alle Unternehmen von großer Bedeutung ist. Darüber hinaus muss ein ISB eine ausreichende Sensibilisierung für die Risiken in der Gesundheitswirtschaft haben und etwaige Erfahrung mitbringen – denn Prozesse im Krankenhaus lassen sich nicht mit einem beliebigen Industrieunternehmen vergleichen: im Krankenhaus hängen Menschenleben von der Sicherheit der IT-Systeme ab!

Ein Faktor, der die Situation zum aktuellen Zeitpunkt noch weiter verschärfen kann, ist die Impfpflicht in medizinischen Berufen. Dies kann dazu führen, dass ungeimpfte IT-Mitarbeiter nicht arbeiten dürfen. Der Einsatz von externen IT-Mitarbeitern (z.B. Personalgestellung) ist meist kein adäquater Ersatz, weiterhin muss zunächst eine Einarbeitung in die Abläufe und Systeme erfolgen.

In diesem Spannungsumfeld gilt es daher umso mehr, die Umsetzung der Anforderungen aus § 75c SGB V möglichst effizient und ressourcenschonend anzugehen. Auf dem Markt gibt es hierfür viele Beratungshäuser, die Unterstützung anbieten. Das Feedback aus der Branche zeigt aber, dass oft fertige Schablonen übergestülpt werden sollen und die Ausgangssituation sowie Besonderheiten nur unzureichend berücksichtigt werden. Dies kann nicht funktionieren, da beispielsweise bei einem Regelversorger nicht die gleichen Maßnahmen wie in einem Universitätsklinikum umgesetzt werden können. Auch wenn die Grundanforderungen ähnlich sind, gilt es doch im jeweiligen Fall eine passgenaue Lösung zu suchen. Hierbei spielen Faktoren wie die Risikobewertung, personelle Ressourcen oder finanzielle Mittel eine Rolle. Es muss auch stets eine Abwägung erfolgen: was kann von den Mitarbeitern in der IT selbst durchgeführt werden und wo wird Unterstützung benötigt?

Im Gespräch mit IT-Leitern zeigen sich vor allem zwei Bereiche, bei denen eine externe Unterstützung besonders hilfreich ist:

1. Definition der Aufgaben

Durch eine Risikoermittlung wird der aktuelle Umsetzungsstand hinsichtlich der Verfahren für Informationssicherheit ermittelt. Daraus werden Aufgaben abgeleitet, die in der Regel durch die IT-Abteilung umgesetzt werden. Beispielhafte Fragestellungen im Rahmen der Bestandsaufnahme sind:

• Wie laufen die Prozesse der medizinischen Versorgung ab und welche IT-Systeme werden dafür aktuell verwendet?
• Sind alle medizinischen Verfahren und genutzten IT-Systeme bekannt und deren Verwaltung geregelt? Sind Verantwortlichkeiten zentralisiert?
• Was sind die kritischen IT-Systeme und welchen Schutzbedarf haben Sie derzeit?
• Werden Risiken aus der Nutzung von IT strukturiert erkannt und nachverfolgt?
• Sind aktuelle Risiken aus der Nutzung von IT ausreichend bekannt und bewertet? Werden diese ausreichend überwacht?
• Welche Maßnahmen müssen ergriffen werden, um einen ausreichenden Schutz zu gewährleisten?

 

Die Themen zur Berücksichtigung und Schaffung von Informationssicherheit sind vielfältig. Eine Stützhilfe kann der von der Deutschen Krankenhausgesellschaft erstellte Branchenspezifische Sicherheitsstandard (B3S) sein, der durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der jeweils gültigen Fassung abgenommen wurde. Der Branchenstandard für die medizinische Versorgung im Krankenhaus enthält die folgenden Bereiche:

• Informationssicherheitsmanagementsystem (ISMS)
• Organisation der Informationssicherheit
• Meldepflichten nach § 8b Absatz 4 BSI-Gesetz
• Betriebliches Kontinuitätsmanagement
• Asset Management
• Robuste/resiliente Architektur
• Physische Sicherheit
• Personelle und organisatorische Sicherheit
• Vorfallerkennung und Behandlung
• Überprüfungen im laufenden Betrieb
• Externe Informationsversorgung und Unterstützung
• Lieferanten, Dienstleister und Dritte
• Technische Informationssicherheit

 

Aufgrund der begrenzten Ressourcen sollte die Umsetzung immer unter folgendem Aspekt geplant werden: Soviel wie nötig und so wenig wie möglich!
 

2. Erhebung der Umsetzung

Nachdem Verantwortlichkeiten und Verfahren umgesetzt wurden, um Risiken im Bereich Informationssicherheit angemessen zu verwalten, empfiehlt es sich die implementierten Sicherheitsmaßnahmen zu bewerten und diese zukünftig transparent darzustellen. Dies kann in Form von Workshops oder durch eine Prüfung von Externen erfolgen, auch wenn die Ergebnisse einer Überprüfung im Vergleich zu Betreibern kritischer Infrastruktur nicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eingereicht werden muss. Wenngleich viel für die IT-Sicherheit im Krankenhaus getan wird, eine vollständige Sicherheit kann es nie geben. In einem solchen Fall ist es immer gut nachweisen zu können, dass notwendige und zielführende Maßnahmen ergriffen wurden, um die Sicherheit bestmöglich sicherzustellen.