IT-Sicherheit in Kliniken: Wie sind die KRITIS Anforderungen für Krankenhäuser bis Ende 2021 umzusetzen?
von Svenja Koch
Bis Ende 2021 stehen alle Krankenhäuser in der Pflicht, die eigene IT Security aufzurüsten und so die KRITIS Anforderungen des BSI zu erfüllen.
Krankenhäuser und Kliniken sind Teil der kritischen Infrastruktur. Dieser Bereich wird von der Bundesregierung als KRITIS Sektor bezeichnet. Für Krankenhäuser gelten deshalb spezielle Gesetze und Vorschriften, was die IT Security betrifft. Aus diesem Grund müssen sich nun auch Krankenhäuser verstärkt mit diesem Themenbereich auseinandersetzen.
Welche gesetzlichen Regeln gelten für welche Einrichtungen?
Bei den KRITIS Anforderungen gibt es sowohl Abgrenzungen, die sich an der Größe des Krankenhauses orientieren, als auch mehrere relevante Stichtage. Dementsprechend gelten für Einrichtungen aus dem KRITIS Sektor und Krankenhäuser im Allgemeinen unterschiedliche Anforderungen, was die Maßnahmen der IT Security betrifft.
Große Krankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr stehen bereits seit 2019 in der Pflicht. Dies ist im BSI-Gesetz definiert. Sie sind Teil der KRITIS, der kritischen Infrastruktur. Somit müssen diese Einrichtungen entsprechende Gesetzesvorgaben umsetzen, wie etwa die branchenspezifischen Sicherheitsstandards (B3S). Ebenfalls stehen diese Krankenhäuser in der Pflicht, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) das vorgeschriebene Sicherheitsniveau auch nachzuweisen.
Im Oktober 2020 trat das Patientendaten-Schutz-Gesetz (PDSG) in Deutschland in Kraft. Dies betrifft nun alle Krankenhäuser im Bundesgebiet. Im Patientendaten-Schutz-Gesetz findet sich auch ein Hinweis auf die IT-Sicherheit im Krankenhaus. Für die Umsetzung des PDSG gilt der Stichtag 1. Januar 2022.
Dies ist nicht das einzige Gesetz, das eine Änderung für alle Krankenhäuser in Deutschland mit sich bringt. Im Sozialgesetzbuch (SGB V) unter § 75c ist die IT-Sicherheit im Krankenhaus neu geregelt. Hier nimmt das Gesetz Bezug auf das BSI-Gesetz und die branchenspezifischen Sicherheitsstandards für Krankenhäuser. Es legt diese Vorschriften als Standard für alle Krankenhäuser im Bundesgebiet fest. Auch hier ist der Stichtag für die Umsetzung der 1. Januar 2022. Somit gelten ab diesem Datum die strengen KRITIS Anforderungen für die IT Security für alle Krankenhäuser in Deutschland, unabhängig von der Größe.
Warum sind die KRITIS Anforderungen für Krankenhäuser und Kliniken inzwischen so hoch?
Die strengen Regeln bezüglich der IT-Sicherheit im Krankenhaus hängen in erster Linie mit der zunehmenden Digitalisierung in diesem Bereich zusammen. Kritische persönliche Informationen sind inzwischen ausschließlich in digitaler Form gespeichert. Die elektronische Patientenaktie ist eine dieser Neuerungen, die die Digitalisierung mit sich bringt, ebenso wie das E-Rezept. Mit diesen Veränderungen setzt sich das Patientendaten-Schutz-Gesetz auseinander. Hinzu kommt die ständig steigenden Zahl von Cyberangriffen. Immer häufiger ist der KRITIS Sektor das Ziel solcher Cyberangriffe. Hacker und Kriminelle gehen inzwischen mit Plan vor und wählen sich Krankenhäuser oder ähnliche Einrichtungen als Ziel aus. Dies macht die Cyberangriffe noch gefährlicher, denn oft wird mit Ransomware gearbeitet, um möglichst großen Schaden anzurichten. Dies kann einerseits die operative Arbeit in den Krankenhäusern auf dramatische Art unterbrechen, andererseits sind auch die persönlichen Daten von Patienten in akuter Gefahr.
Beide Punkte sind für Patienten, die häufig schnellstmöglich medizinische Hilfe benötigen, vollkommen inakzeptabel - bzw. im schlimmsten Fall lebensbedrohlich. Aus diesem Grund hat die IT-Sicherheit eines Krankenhauses inzwischen absolute Priorität.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Welche konkreten Schritte müssen der KRITIS Sektor und Krankenhäuser nun vornehmen?
Das BSI-Gesetz und auch das Patientendaten-Schutz-Gesetz nennen keine präzisen Schritte, die der KRITIS Sektor umsetzen muss. Vielmehr sprechen die Gesetze von „angemessenen organisatorischen und technischen Vorkehrungen, zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“. Außerdem gilt es, den jeweiligen aktuellen Stand der Technik einzuhalten. Es existieren jedoch die branchenspezifischen Sicherheitsstandards (B3S), die die Deutsche Krankenhausgesellschaft ausgearbeitet hat. Hier finden sich konkrete Hilfestellungen, Best Practices und Orientierungshilfe für die Umsetzung von Mindeststandards in der IT Security.
Alle Krankenhäuser aus dem KRITIS Sektor, die unter das BSI-Gesetz fallen, sind zusätzlich gesetzlich dazu verpflichtet, Sicherheitsaudits, Prüfungen oder Zertifizierungen durchzuführen, die die Umsetzung der genannten Sicherheitsstandards nachweisen. Bestätigungen über die Durchführung dieser Maßnahmen sind an das BSI zu übermitteln. Große Krankenhäuser, die nach dem BSI-Gesetz dem KRITIS Sektor zugeordnet sind, müssen ab dem 1. Mai 2023 zusätzlich Systeme für die aktive Erkennung von Cyberangriffen einsetzen.
Für kleinere Krankenhäuser, die nicht unter die Definition der KRITIS Anforderungen fallen, ist der 1. Januar 2022 ein wichtiger Stichtag. Bis zu diesem Zeitpunkt muss die IT Security dem Stand der Technik entsprechen. Es gelten im Grundsatz somit dieselben technischen Ansprüche an die IT-Sicherheit im Krankenhaus, wie sie bereits für die größeren Kliniken aus dem KRITIS Sektor über das BSI-Gesetz festgelegt sind. Der einzige Unterschied ist, dass ein regelmäßiger Nachweis über die Umsetzung der KRITIS Anforderungen über ein Audit oder ähnliche Maßnahmen nicht verpflichtend ist. Kleine Krankenhäuser müssen ab Januar 2022 daher unter anderem die elektronische Patientenakte (ePA) einführen. Auch digitale Überweisungen und das E-Rezept gehören ab dem 1. Januar 2022 zum Pflichtprogramm. Dies alles bringt vor allem Herausforderungen für die Speicherung und Verwaltung von persönlichen Daten von Patienten mit sich. Gerade diese Informationen sind häufig das Ziel von Cyberangriffen. Hier stehen die Krankenhäuser in der Pflicht, einerseits die entsprechenden Systeme für die Datenverarbeitung bereitzustellen, und andererseits die Datenschutzrichtlinien präzise umzusetzen.
Für die einzelnen Leistungen gibt es darüber hinaus zentrale Lösungen. Die elektronische Patientenakte beispielsweise wird zentral über die Telematikinfrastruktur (TI) verwaltet. Das E-Rezept wird über Schnittstellen zwischen den Krankenkassen und Apotheken über ein zentrales System verwaltet, das ebenfalls bereits existiert. Die Krankenhäuser müssen sich also um einen Anschluss an diese Dienste kümmern und dies technisch umsetzen.
Welche Rollen spielen ISO 27001 und ein ISMS?
Auf dem Weg zur Umsetzung der KRITIS Anforderungen spielen auch die ISO-Norm 27001 sowie ein Informationssicherheits-Managementsystem (ISMS) wichtige Rollen. Dies sind internationale Standards für die Informationssicherheit. Krankenhäuser bauen ein System nach ISO 27001 auf und verbessern so die IT Security sowie erfüllen die gesetzlichen Vorgaben auf diesem Weg.
Das ISMS ist nach den vier Grundsätzen planen, umsetzen, kontrollieren und optimieren aufgebaut. Es beinhaltet den Aufbau einer Organisationsstruktur, die entsprechend selbstständig an der Verbesserung der IT-Sicherheit arbeitet. Dies beinhaltet die Besetzung von zentralen Positionen, wie dem des IT-Sicherheitsbeauftragten, sowie dem Mittel der Risikoanalyse als Weg zur Suche nach Schwachstellen. Durch den Aufbau entsprechender Strukturen arbeiten Krankenhäuser an den zentralen Herausforderungen der IT-Sicherheitslage. Dies beinhaltet auch die Sensibilisierung der Mitarbeiter, die dann mit eigenen Mitteln umgesetzt wird.
Auch der branchenspezifische Sicherheitsstandard für Krankenhäuser empfiehlt die Umsetzung der Norm ISO 27001. Dementsprechend sind die jetzt kommenden gesetzlichen Vorgaben im Kern keine wirklichen Neuerungen. Vielmehr handelt es sich um die Ausweitung von bekannten Techniken und Maßnahmen auf eine größere Zielgruppe. Dies macht die Umsetzung der KRITIS Anforderungen in der Praxis grundsätzlich leichter. Die Methoden sind bereits bekannt und es gibt Fachpersonal, das sich mit den Techniken auskennt, sowie über praktische Erfahrung in der Anwendung verfügt. Darüber hinaus lassen sich viele der gesetzlichen Vorgaben auch mithilfe von externen Dienstleistern umsetzen. Dies betrifft insbesondere die ab 2023 notwendige aktive Erkennung von Cyberangriffen. Zwar sind diese noch nicht für kleine Krankenhäuser verpflichtend, jedoch lassen sich entsprechende Methoden bereits heute mit relativ geringen Mitteln über externe Dienstleister implementieren. Auf diese Weise sind Gesundheitseinrichtungen auf der sicheren Seite und leisten mehr, als was der gesetzliche Mindeststandard vorschreibt. Im Endeffekt ist es wichtig, Cyberangriffe zu verhindern beziehungsweise einzudämmen, bevor diese Auswirkungen auf den operativen Alltag im Krankenhaus haben.
Bund fördert die Verbesserung der IT Security im KRITIS Sektor
Die Bundesregierung hat den KRITIS Sektor als empfindlichen Bereich identifiziert. Die kritische Infrastruktur ist essenziell für den Alltag in Deutschland. Es ist deshalb wichtig, dafür zu sorgen, dass in diesem Sektor ein größtmöglicher Schutz vor digitalen Bedrohungen vorhanden ist. Die zunehmende Zahl der Cyberangriffe sowie Studien, die Schwachstellen in der IT Security aufzeigen, sind die Gründe für die Verschärfung der gesetzlichen Grundlagen.
Gleichzeitig will die Regierung die Krankenhausbetreiber unterstützen und stellt deshalb Fördergelder spezifisch für diesen Zweck zur Verfügung. Jährlich stehen zwischen 2019 und 2024 deshalb 500 Millionen Euro, also insgesamt vier Milliarden Euro, für die Verbesserung der IT-Sicherheit im Krankenhaus zur Verfügung. Diese Fördermittel stehen explizit für die Umsetzung der KRITIS Anforderungen zur Verfügung. Dies betrifft somit die großen Krankenhäuser. Weitere 4,3 Milliarden Euro stellt der Bund über den Krankenhauszukunftsfond bereit. Diese Mittel stehen also den kleineren Krankenhäusern zur Verfügung. Die Beantragung der Fördermittel ist noch bis Dezember 2021 möglich. Es gibt jedoch Bedingungen bei den Investitionen. Mindestens 15 Prozent müssen die Betreiber in die IT-Sicherheit des Krankenhauses investieren.
Fazit
Die gesamte Welt wird digitaler und diese Entwicklung macht auch vor der Gesundheitsbranche nicht Halt. Die zunehmend gezielten Cyberangriffe, die insbesondere den KRITIS Sektor betreffen, machen eine Aufrüstung der IT Security in Krankenhäusern und ähnlichen Gesundheitseinrichtungen unabdingbar. Ausfälle im Bereich der Gesundheitsversorgung, die auf Cyberangriffe zurückzuführen sind, bringen Menschenleben in Gefahr und sind somit eine Bedrohung für die gesamte Zivilgesellschaft. Durch Mindeststandards für die IT Security, KRITIS Anforderungen, Zertifizierungen und Richtlinien lässt sich die IT-Sicherheit in einem Krankenhaus deutlich anheben. Betreiber dieser Einrichtungen stehen jetzt in der Pflicht, diese KRITIS Anforderungen umzusetzen, profitieren aber langfristig durch ein hohes Sicherheitsniveau und einem verbesserten Schutz vor Cyberangriffen. Das zentrale Ziel bei der IT-Sicherheit im Krankenhaus ist es, die Beeinträchtigung der täglichen Arbeitsabläufe durch Cyberbedrohungen zu verhindern.