Patientendatenschutzgesetz – Sind bald alle Krankenhäuser Kritis-Betreiber?

PrintMailRate-it

veröffentlicht am 8. Dezember 2020; Autoren: Jürgen Schwestka, Konrad Klein


Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr gelten gemäß Kritis-Verordnung als Betreiber einer Kritischen Infrastruktur und unterliegen somit einer regelmäßigen Nachweispflicht nach § 8a Abs. 3 BSI-Gesetz.


Entsprechend müssen sie alle 2 Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass sie geeignete technische und organisatorische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik umgesetzt werden.


Was ändert sich durch das Patientendatenschutzgesetz?

Ab dem 1.1.2022 sind alle Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.


Die informationstechnischen Systeme sind spätestens alle 2 Jahre an den aktuellen Stand der Technik anzupassen. Die Krankenhäuser können die Verpflichtungen insbesondere erfüllen, indem sie den branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden und umsetzen. Dieser B3S wurde durch das BSI bereits auf angemessene Maßnahmen überprüft und freigegeben. Im Fokus der Maßnahmen steht ein Managementsystem für Informationssicherheit – das ISMS – und das damit einhergehende Management von Informationssicherheitsrisiken.


Diese Verpflichtungen gelten zukünftig für alle Krankenhäuser, unabhängig von den jährlichen Fallzahlen. Sie müssen allerdings, anders als die Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes, keinen Prüfnachweis beim BSI einreichen.


Welche Verpflichtungen ergeben sich daraus?

Zwar ist die Umsetzung des aktuellen B3S für die Gesundheitsversorgung in Krankenhäusern nicht zwingend vorgeschrieben, da angemessene Informationssicherheit häufig auf unterschiedliche Arten und durch unterschiedliche Maßnahmen erreicht werden kann. Dennoch empfehlen wir die Umsetzung oder zumindest die Orientierung an dem aktuellen B3S. Viele der dort beschriebenen Maßnahmen sind obligatorisch umzusetzen und praxisnah formuliert, schließlich wurde der B3S von Krankenhausbetreibern für Krankenhausbetreiber geschrieben. Den aktuellen Stand des B3S für die Gesundheitsversorgung im Krankenhaus finden Sie auf den Internetseiten der Deutschen Krankenhausgesellschaft.


Alternativ oder auch ergänzend kann eine Orientierung an der bekannten ISO/IEC 27001 Norm oder am BSI Grundschutzkompendium stattfinden. Aus dem B3S ergeben sich rund 200 Anforderungen aus verschiedenen Bereichen. Bei der Priorisierung von Maßnahmen zu diesen Anforderungen ist ein risikoorientierter Ansatz sinnvoll. Wir empfehlen hierbei ein zweistufiges Vorgehen:

  • Absicherung von außen nach innen: Zuerst den Perimeterschutz sicherstellen (z. B. durch Firewalls, VPN Zugänge, USB-Ports) und dann, nachdem man gegen externe Bedrohungen geschützt ist, auch noch die internen Bereiche absichern.
  • Absicherung vom Allgemeinen zum Speziellen: Zunächst sollte eine allgemeine Basis-Absicherung erfolgen, die für alle Bereiche relevant ist, z. B. Virtualisierung und Backup. Anschließend können die einzelnen Systeme je nach Risiko und Priorität gesichert werden, z. B. KIS, Medizingeräte.


Bei der Planung von Maßnahmen und deren Fristen sollten stets die Risiken der Schwachstellen berücksichtigt werden. Auch „interne Schwachstellen” können zu großen Schäden führen. Neben der Stärkung der Strukturen und Verfahren im Risikomanagement geht es bei den Anforderungen aus dem B3S insbesondere um die folgenden Bereiche:

  • Informationssicherheitsmanagementsystem (ISMS)
  • Organisation der Informationssicherheit
  • Meldepflichten nach § 8b Absatz 4 BSI-Gesetz
  • Betriebliches Kontinuitätsmanagement
  • Asset Management
  • Robuste/resiliente Architektur
  • Physische Sicherheit
  • Personelle und organisatorische Sicherheit
  • Vorfallerkennung und Behandlung
  • Überprüfungen im laufenden Betrieb
  • Externe Informationsversorgung und Unterstützung
  • Lieferanten, Dienstleister und Dritte
  • Technische Informationssicherheit


Das Informationssicherheitsmanagementsystem im Fokus

Während die technische Informationssicherheit bei den meisten Häusern im Fokus steht, kommt die Formalisierung des Informationssicherheitsmanagementsystems meistens zu kurz. Hier ist insbesondere hervorzuheben, dass ein Informationssicherheitsbeauftragter (bzw. IT Sicherheitsbeauftragter) benötigt wird, der sich um den Aufbau und die Aufrechterhaltung des ISMS kümmert.


Darüber hinaus muss der ISB durch Prüfungen sicherstellen, dass die Vorgaben zur Informationssicherheit eingehalten werden. Er entlastet und berät die Geschäftsleitung durch seine Tätigkeit hinsichtlich des Umsetzungsstandes zur Informationssicherheit. Den IT Leiter gleichzeitig als ISB zu benennen ist nicht zielführend, weil entsprechend eine Selbstprüfung vorgenommen würde – darüber hinaus betreffen die Aufgaben des ISB nicht nur die Informationssicherheit in IT-gestützten Prozessen, sondern genauso auch papiergebundene Prozesse und Informationen.


Die aktuelle Corona-Krise macht uns zudem deutlich, dass Krankenhäuser stärker im Fokus von Cyber-Attacken bei gleichzeitig noch höherer Bedeutung der Gesundheitsversorgung stehen. Daher ist es umso wichtiger, das schwächste Glied in der Kette zu stärken: den Menschen. Man kann durch IT-Systeme einen hohen Grad von technischer Sicherheit erreichen, am Ende reicht jedoch ein Klick eines Mitarbeitenden in einer E-Mail und das Risiko ist auf den Systemen. Daher ist es umso wichtiger, ein Konzept zur  Sensibilisierung der Mitarbeiter zu haben und laufend Maßnahmen zu ergreifen.


Um Informationssicherheit zu schaffen, sind technische Maßnahmen genauso wichtig wie organisatorische und strukturelle Maßnahmen sowie ein Bewusstsein der Mitarbeiter für Risiken.


Keine Prüfpflicht, also kein Problem?

Eine Prüfpflicht besteht nicht, allerdings müssen sich die Krankenhäuser fragen, in welcher Form sie nachweisen können, dass sie den aktuellen Stand der Technik umgesetzt haben. Diese Frage wird insbesondere relevant, falls es doch mal zu einem Zwischenfall kommen sollte – wie man der Presse Entnehmen kann, werden Krankenhäuser immer häufiger Ziel von Cyber-Attacken. Es ist dann, ähnlich wie im Bereich Tax-Compliance, hilfreich, wenn man gegenüber den Aufsichtsbehörden nachweisen kann, dass notwendige Maßnahmen ergriffen wurden, um sich bestmöglich zu schützen.


Es empfiehlt sich daher aus unserer Sicht, die Durchführung eines simulierten Prüfverfahrens nach § 8a BSIG. Für das Nachweisverfahren von Kritis-Betreibern gibt es einen Prüfnachweisplaner, der im Branchenarbeitskreis Medizinische Versorgung erstellt wurde.


Dieser enthält Empfehlungen für die Anzahl von Prüftagen, in Abhängigkeit von der Größe des Hauses. Da bei der simulierten Prüfung das Ergebnis nicht beim BSI eingereicht werden muss, kann der Prüfungsumfang theoretisch auch reduziert werden. Vorab empfiehlt sich eine kursorische Prüfung, die sogenannte GAP-Analyse, um strukturelle Schwachstellen zu identifizieren und die geplanten oder bereits initiierten Maßnahmen zu bestärken.

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW

Partner

+49 911 9193 3508

Anfrage senden

Contact Person Picture

Jonas Buckel

B.A. Wirtschaftsinformatik, Zert. ITSiBe / CISO, IT-Auditor IDW

Manager

+49 911 9193 3627

Anfrage senden

 Wir beraten Sie gern!

 

Laden Sie sich in unserem Downloadcenter kostenfrei das Whitepaper „KRITIS 2021 – Effiziente Vorbereitung auf die nächste Runde” herunter »

Deutschland Weltweit Search Menu