Änderungen und Umsetzung Das Wichtigste zu PDSG und KRITIS 2.0

Zugehörige Themenseiten:
Datenschutz & Datensicherheit

Mit Jahresbeginn sind die Anforderungen an die Cybersicherheit in deutschen Krankenhäusern erneut gestiegen. Die KRITIS-Novelle bringt neue Pflichten für große Häuser mit sich, doch erstmals müssen sich auch Kliniken unterhalb des Grenzwerts von 30.000 stationären Fällen mit der Verordnung befassen. Was Betreiber jetzt wissen müssen.

KRITIS
Die KRITIS-Novelle bringt neue Pflichten für große Häuser mit sich. – © Production Perig (stock.adobe.com)

Verschlüsselte Daten, abgewiesene Patientinnen und Patienten und tagelanger Stillstand: Die katastrophalen Folgen von Cyberangriffen auf Krankenhäuser sorgen leider immer öfter für Schlagzeilen. Kein Wunder also, dass die Absicherung der Gesundheitsversorgung und sensibler Patientendaten auch für den Gesetzgeber an Priorität gewinnt. Insbesondere, da trotz der steigenden Gefahr durch Hacks und Ransomware die Digitalisierung von Verwaltungsleistungen durch Bestimmungen wie das Onlinezugangsgesetz vorangetrieben wird.

Zwei wesentliche Änderungen

2022 gibt es hinsichtlich der Informationssicherheit im Gesundheitsbereich zwei wesentliche Änderungen zu beachten: Krankenhäuser, die im Jahr mehr als 30.000 vollstationäre Fälle behandeln und somit zu den kritischen Infrastrukturen zählen, sind von der Anpassung der KRITIS-Verordnung betroffen. Zusätzlich zu den bestehenden Anforderungen müssen sie nun essentielle Komponenten ihrer IT-Infrastruktur mit einer Garantieerklärung des Herstellers beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Zudem macht die Novelle ab 2023 den Einsatz von Systemen zur Angriffserkennung – Security Information & Event Management bzw. SIEM – für KRITIS-Anlagen verpflichtend.

Patientendaten gilt oberste Priorität

Während die Anpassung der KRITIS-Novelle vergleichsweise wenige Krankenhäuser betrifft, nimmt ein anderes Gesetz alle deutschen Kliniken in die Pflicht. Das Patientendaten-Schutz-Gesetz, genauer der dadurch geschaffene §75c SGB V, schreibt seit dem 01.01.2022 allen Krankenhäusern in Deutschland vor, angemessene IT-Sicherheitsmaßnahmen zu treffen, um Patientendaten zu schützen und einen störungsfreien Betrieb zu gewährleisten. Die Schutzziele der KRITIS-Verordnung und der branchenspezifische Sicherheitsstandard für Krankenhäuser (B3S), auf den das Gesetz direkt Bezug nimmt, werden damit für alle Krankenhäuser verbindlich, unabhängig von ihrer Größe.

Einige Unterschiede zur KRITIS-Verordnung selbst gilt es dennoch zu beachten. Verpflichtungen wie das Einrichten einer Kontaktstelle zum BSI, die Registrierung von kritischen Komponenten und externe Zertifizierungen bleiben weiterhin vollwertigen KRITIS-Häusern vorbehalten. Ein Nachweis der IT-Sicherheit ist laut PDSG nicht vorgesehen. Kliniken, die die Vorgaben nicht umsetzen, müssen im Fall einer Störung jedoch mit Bußgeldern oder Klagen rechnen. Nicht zuletzt, da beim unberechtigten Zugriff auf medizinische Daten gleichzeitig auch die DSGVO verletzt wird.

So verbessern Einrichtungen ihre IT-Sicherheit

Auch wenn mit dem B3S für Krankenhäuser nun erstmals ein verbindlicher Sicherheitsstandard für alle Betreiber etabliert wird, zählt der Schutz von Patientendaten und IT-Systemen natürlich schon längst zu den Aufgaben von Krankenhäusern. Neu ist, dass der B3S diese Verantwortung klarer regelt: Informationssicherheit ist Chefsache, muss mit den nötigen Ressourcen ausgestattet, laufend kontrolliert und verbessert werden. Den organisatorischen Rahmen für die Implementierung und Überwachung der Schutzziele bildet ein Informationssicherheitsmanagementsystem (ISMS), das Aufgaben und Kontrollorgane innerhalb des Betriebs definiert. Diese zentrale Anforderung baut auf der ISO-Norm 27001 auf.

Hinsichtlich konkreter Sicherheitsmaßnahmen deckt der B3S einen breiten Rahmen an Richtlinien und Best Practices ab. Dazu zählen Grundlagen wie der Einsatz von Antivirus-Programmen oder die Sensibilisierung des Personals für digitale Gefahren und den richtigen Umgang mit Daten, ebenso wie branchenspezifische Empfehlungen zur Absicherung von Medizingeräten und Krankenhaussoftware, bis hin zu Vorgaben für Notfallpläne, Datenbackups und die Betriebsfortführung bei Ausfällen der IT.

In welchen Bereichen Verbesserungen notwendig sind, um die Anforderungen des Dokuments zu erfüllen, verrät nur ein Abgleich der Ausgangslage mit dem Soll-Zustand (GAP-Analyse). Priorität haben dabei Bereiche der IT-Infrastruktur mit besonders hohem Schutzbedarf, sowie Maßnahmen, deren Umsetzung viel Zeit erfordert (etwa bauliche Veränderungen zur Absicherung von Server-Räumen). Je aufwändiger eine Anpassung, desto eher muss diese begonnen werden.

Zur Unterstützung von Betreibern stellt die Deutsche Krankenhausgesellschaft über ihre Website Infomaterial und Umsetzungshinweise zur Verfügung, die die Planung und Priorisierung der notwendigen Maßnahmen erleichtern. Auch Kriterienkataloge zum Abgleich und Vorlagen für Sicherheitsleitlinien sind hier zu finden.

Fundament der Compliance: Identity und Access Management

Eine der wesentlichen Aufgaben rund um den Schutz von Patientendaten und IT-Systemen ist die Einführung eines Identitäts- und Rechtemanagements, wie es der B3S explizit fordert. Um Datenmissbrauch und -diebstahl zu unterbinden, stellt die Berechtigungsverwaltung sicher, dass nur autorisierte Personen auf IT-Ressourcen zugreifen können. Und zwar nur auf jene, die sie tatsächlich für ihre Arbeit benötigen.

Die Einrichtung und laufende Anpassung der Benutzerkonten aller Mitarbeitenden lässt sich angesichts enormer Datenmengen, zahlreicher Anwendungen und komplexer Personalstrukturen nur mit einer automatisierten Lösung effektiv handhaben. Systeme für das Identity und Access Management verhindern nicht nur Fehler bei der händischen Berechtigungsvergabe, die zu Sicherheitslücken und Datenschutz-Verstößen führen können, sondern reduzieren auch den Arbeitsaufwand für IT-Admins. Dadurch kann sich Ihre IT-Abteilung wichtigeren Aufgaben rund um die Verbesserung der Informationssicherheit widmen.

Für die Compliance mit Datenschutz- und Sicherheitsanforderungen ist zudem die Dokumentation von Berechtigungen von zentraler Bedeutung. Eine geeignete Lösung für die Zugriffsverwaltung zeichnet sämtliche Änderungen an IT-Rechten selbstständig und manipulationssicher auf. Somit lässt sich durch Audit-Trails jederzeit nachvollziehen, welche Personen welche Daten zu welchem Zeitpunkt einsehen konnten. Die Vorbereitung auf IT-Zertifizierungen und der Nachweis der ordnungsgemäßen Sicherheitsmaßnahmen ist somit ein Leichtes.

Kontakt zum Autor:

Helmut Semmelmayer, Senior Manager Channel Sales und Mitglied der Geschäftsführung bei tenfold Software, Kontakt: info@tenfold-security.com.