05.04.2022
Neue IT-Sicherheitsanforderungen im Gesundheitswesen
Die Digitalisierung hat auch das Gesundheitswesen erreicht. Was sind demnach die neuen Anforderungen an die IT-Sicherheit? Jetzt lesen!
Dr. Jan Scharfenberg
Director Informationssicherheit
Der Einsatz von Informationssicherheitstechnologien ist auch im Gesundheitswesen nicht mehr wegzudenken. Die Digitalisierung erleichtert die Patientenversorgung und damit einhergehend die Behandlungsqualität ungemein. Die zunehmende Einbindung und Vernetzung von IT-Infrastrukturen kommt jedoch nicht ausschließlich den Patienten zugute, sie erleichtert auch Cyberkriminellen den Zugriff auf die besonders sensiblen personenbezogenen Daten. Um das Risiko vor Cyberangriffen zu reduzieren, ist die Umsetzung von technischen und organisatorischen Maßnahmen unbedingt erforderlich, welche die Informationssicherheit und damit die Verfügbarkeit, Integrität und Vertraulichkeit von Daten schützen.
Mit Einführung des sogenannten Patientendatenschutzgesetzes bestehen seit Beginn dieses Jahres neue gesetzliche Anforderungen an die Informationssicherheit in Krankenhäusern, MVZ und Arztpraxen.
Hintergrund
Der Gesetzgeber hat im Rahmen des § 75c SGB V für Krankenhäuser jeder Größe die Pflicht zur Umsetzung eines „branchenspezifischen Sicherheitsstandards“ (B3S) vorgeschrieben, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen angemessene technische Vorkehrungen zu treffen haben. MVZ und Arztpraxen müssen nach § 75b SGB V die Vorgaben aus der „Richtlinie über die Anforderungen zur Gewährleistung der IT-Sicherheit“ der Kassenärztlichen Bundesvereinigung beachten. Auch IT-Dienstleister werden mit diesen Anforderungen an die IT-Sicherheit konfrontiert, wenn sie im Rahmen ihrer Tätigkeit mit der IT-Infrastruktur der genannten Einrichtungen in Berührung kommen. Die zur Umsetzung erforderlichen Maßnahmen können nach dem Krankenhauszukunftsgesetz gefördert werden.
Die neuen gesetzlichen Anforderungen an die IT-Sicherheit sind dabei nicht gänzlich neu, vielmehr konkretisieren sie die ohnehin bestehenden Regelungen zum Schutz von personenbezogenen Daten.
Lernen Sie unsere Expertise in der Informationssicherheit kennen
Schützen Sie mit unserer Expertise Ihre digitalen Vermögenswerte mit maßgeschneiderten IT-Sicherheitslösungen.
Warum bestand Handlungsbedarf?
Die Vorschriften aus der Datenschutz-Grundverordnung (DSGVO) waren bis dato sehr allgemein und wenig passgenau in Hinblick auf die besondere Schutzwürdigkeit von Daten aus dem Gesundheitswesen. So schreibt die DSGVO zwar vor, dass der für die Datenverarbeitung Verantwortliche angemessene Schutzmaßnahmen für die Sicherheit von personenbezogenen Daten treffen muss, konkretisiert wird dies jedoch nicht. Bislang fehlte es gerade aufgrund mangelnder konkreter Vorschriften an einer IT-spezifischen Sicherheitskultur im Gesundheitswesen. Zur DSGVO treten nunmehr die Vorschriften aus dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz und das Sozialgesetzbuch fünftes Buch zur IT-Sicherheit in vertragsärztlichen Praxen und in Krankenhäuser hinzu.
Datenschutz und IT-Sicherheit im Verhältnis
Fraglich ist, wie diese sich einerseits ergänzenden, andererseits überlappenden Regelungen im Verhältnis zueinanderstehen. Quasi als eine Art Grundnorm schreibt die DSGVO vor, dass vom Verantwortlichen oder Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen werden müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Die datenschutzrechtlichen Bestimmungen der DSGVO gelten dabei ausschließlich für personenbezogene Daten. IT-Sicherheit geht weiter. Sie beschränkt sich nicht auf personenbezogene Daten, sondern schützt Informationen generell, sodass sich die Schutzrichtung hier nicht auf die individuell betroffenen Personen beschränkt, sondern die Organisationen, welche die Daten verarbeiten, in den Blick nimmt. Gleichwohl sind die vom Anwendungsbereich der §§ 75b, 75c SGB V erfassten Informationen in der Praxis personenbezogene Gesundheitsdaten.
Bei den Regelungen zur Informationssicherheit wird im Rahmen der dargestellten Gesetze noch einmal unterschieden zwischen IT-Sicherheit in vertragsärztlichen Praxen und Krankenhäusern. Die Anforderungen an die Praxen ergeben sich aus § 75 b SGB V in Verbindung mit der neuen IT-Sicherheitsrichtlinie, während sich die Anforderungen an Krankenhäuser schon vor Inkrafttreten des Patientendatenschutzgesetzes aus § 8a ab BSIG, § 6 BSI-Gesetz und (als Auffangtatbestand) und nach dem Inkrafttreten zusätzlich aus § 75 c SGB V ergeben. Die Unterscheidung spielt in der Praxis jedoch lediglich eine geringe Rolle, da die Verantwortlichen in allen Konstellationen technische und organisatorische Maßnahmen treffen müssen. Die § 8a BSI-Gesetz, § 6 KritisVO und § 75c SGB V führen zu einer defacto-Pflicht zur Umsetzung eines branchenspezifischen Sicherheitsstandards für die medizinische Versorgung in Krankenhäusern (B3S). Die IT-Sicherheitsrichtlinie, welche aufgrund des § 75 b SGB V erlassen wurde schreibt ebenfalls Sicherheitsstandards in Konkretisierung der DSGVO vor.
Sowohl die IT-Richtlinie als auch der B3S orientieren sich mit Ihren Vorgaben an den bekannten Sicherheitsstandards ISO 27001, ISO 27799 (Krankenhaus-spezifische Maßnahmen der Informationssicherheit) sowie DIN EN 80001-1 (Sicherheit von Medizingeräten in IT-Netzwerken). Ziel all dieser Vorgaben ist es, das Gefahrenpotential von Informationssicherheitsrisiken zu minimieren.
Umsetzung der gesetzlich vorgeschriebenen IT-Sicherheit
Für die Umsetzung der gesetzlichen Vorgaben bedarf es einer Menge an Organisation und Dokumentation. In der Praxis heißt das vor allem, dass die Umsetzung mit einem hohen Aufwand an niedergeschriebenen und daraufhin gelebten Prozessen einhergeht, um den Rechenschaftspflichten nachzukommen.
In den Geltungsbereich des B3S fallen dabei alle Informationen, die der kritischen Dienstleistung der stationären medizinischen Versorgung dienen.
Teil der IT-Sicherheitsanforderungen ist die Umsetzung eines Informationssicherheitsmanagementsystem (ISMS).
Einer der wichtigsten Punkte im Rahmen der Umsetzung eines ISMS ist dabei die Sensibilisierung und Schulung von Mitarbeitern vor allem im Hinblick auf Informationssicherheitsvorfälle. Informationssicherheitsvorfälle müssen gegebenenfalls gemeldet werden. Die Frage, ob ein Informationssicherheitsvorfall meldepflichtig ist, muss im Rahmen einer dokumentierten Risikobewertung beantwortet werden, welche bestenfalls ein benannter Informationssicherheitsbeauftragter durchführt. Für Betreiber kritischer Infrastrukturen nach dem BSI-Gesetz ist das BSI die zentrale Meldestelle. Sind personenbezogene Daten betroffen, ist der Vorfall zusätzlich als Datenschutzvorfall bei den zuständigen Aufsichtsbehörden für den Datenschutz zu melden. Zu beachten ist, dass jeder Datenschutzvorfall zwangsweise auch einen Informationssicherheitsvorfall darstellt, nicht jeder Informationssicherheitsvorfall aber einen Datenschutzvorfall.
Gerade, wenn ein meldepflichtiger Vorfall vorliegt, ist es wichtig, dass die verantwortliche Stelle ihr ISMS und ihre grundsätzlich getroffenen Maßnahmen nachweisen kann. Dementsprechend kommen zu den oben genannten Punkten die Pflicht zur Dokumentation aller Prozesse, die die Informationssicherheit sicherstellen, sowie etablierte Rechte und Rollenkonzepte hinzu.
Probleme in der Umsetzung
Zusätzlich muss auch die technische Umsetzung von Informationssicherheit gewährleistet werden. Probleme dahingehend bestehen nach einer Betreiberbefragung des BSI verbreitet immer noch in den Bereichen Verschlüsselung mobiler Speichermedien und E-Mails, (virtuelle) Netztrennung und Netzsegmentierung, Medizintechnik-Netz, Verwaltungsnetz, Applikationsnetz und Patienten-/Gästenetz, Test- und Freigabeprozessen für neue Softwaresysteme sowie dem Patch- und Änderungsmanagement.
Sollten die Vorschriften nicht eingehalten werden, drohen bekannter Maßen hohe Bußgelder, welche von den Datenschutzaufsichtsbehörden verhängt werden können. Um einen reibungslosen Aufbau eines auf das Gesundheitswesen spezialisierten ISMS zu gewährleisten, empfiehlt es sich daher, die Implementierung eines solchen zu akribisch zu planen und sich gegebenenfalls externe Hilfe zu holen.
Fazit
Die Digitalisierung und alle mit ihr einhergehenden Vor- und Nachteile hat nun also auch das Gesundheitswesen erreicht. Praxis- und Krankenhausbetreiber sind hier gut beraten, in geeignete Maßnahmen, Einrichtungen und gegebenenfalls externe Dienstleister zu investieren, um den gesetzlichen Anforderungen an die IT-Sicherheit gerecht zu werden. Dabei sollte die IT-Compliance nicht nur als pflichtgesteuerte Erfüllung gesetzlicher Pflichten angesehen werden. Es lohnt sich vielmehr, sich ernsthaft mit der Thematik der Cybersicherheit auseinanderzusetzen, um für den Ernstfall gewappnet zu sein. Kontaktieren Sie uns, falls Sie tiefergehenden Beratungsbedarf zum Thema Cyber- und IT-Sicherheit haben!
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern