Zwischen biologischen und technischen Viren
(TEIL 1)
Die Corona Pandemie hat unserer Gesellschaft schmerzhaft gezeigt, dass Krankenhäuser, als Teil der kritischen Infrastruktur unter größtem Druck funktionieren müssen. Das COVID Virus konnte durch motivierte Mitarbeiter und eine reibungslos funktionierende, technische Infrastruktur bekämpft und viele Leben gerettet werden. Doch Krankenhäuser stehen vor großen Bedrohungen!
Nicht nur biologische Viren bedrohen den reibungslosen Betrieb in einem Krankenhaus. Manchmal sind technische Viren und Würmer eine noch größere Herausforderung, denn Krankenhäuser fallen immer häufiger Cyberkriminellen zum Opfer und die COVID19-Pandemie hat diesen Trend noch verstärkt. Im Jahr 2015 war der Healthcare-Sektor der am häufigsten aus dem Internet heraus angegriffene Bereich. Und leider rangiert unsere Branche immer noch auf einem dieser unrühmlichen Podiumsplätze.
Als wären virale und technische Bedrohungen nicht schon genug, kommen neue politische Risiken, und mit ihnen die Gefahr von massiven und mit großen Ressourcen ausgeführten Angriffen auf Krankenhäuser als Teil der kritischen Infrastruktur im Gesundheitsbereich, hinzu. Der Krieg in der Ukraine zeigt uns derzeit deutlich, dass Kriege nicht mehr nur auf dem Schlachtfeld, sondern als Hybridkriege auch im Cyberspace geführt werden. Und Krankenhäuser gehören zu den bevorzugten Zielen.
Diese Bedrohungen fallen in eine Zeit digitaler Transformation, befeuert durch das Krankenhauszukunftsgesetz (KHZG) und die Krankenhausstrukturfonds-Verordnung (KHSFV). Diese Entwicklung bietet für Krankenhäuser die Chance, ihre IT mit Blick auf eine digitale Zukunft aufzurüsten. Digitale Aufrüstung schafft jedoch auch neue Sicherheitsrisiken, denn eine funktionierende Digitalisierung kann nur auf der Basis einer starken Informationssicherheit funktionieren.
Diesen Zusammenhang kennt auch der Gesetzgeber, weshalb er bereits vor vielen Jahren mit der Datenschutz-Grundverordnung (DSGVO) und später mit dem BSI-Gesetz (BSIG) und seit Anfang 2022 mit dem Patientendaten-Schutz-Gesetz (PDSG) §75c SGB V (IT-Sicherheit in Krankenhäusern) die Pflicht zum Schutz der Daten auf wichtigen Systemen geschaffen hat.
Es herrscht Handlungsdruck
Es herrscht großer Handlungsdruck für die Entscheider des Krankenhauses und die Verantwortlichen in IT- und Medizintechnik. Das gewohnt hohe Versorgungsniveau für die Bevölkerung, also die Betriebsfähigkeit muss dauerhaft und störungsfrei eingehalten werden. Die verabschiedeten, gesetzlich bindenden Regelungen können für Entscheider massive rechtliche und finanzielle Konsequenzen haben, sofern bei den eingesetzten Systemen nachweislich ein nicht ausreichender „Stand der Technik“ umgesetzt wurde.
Auf der einen Seite sollen also Prozesse und Abläufe digitalisiert werden, auf der anderen Seite bestehen strenge, gesetzliche Pflichten zur Absicherung bei gleichzeitiger Ressourcenknappheit und immer noch akuter Belastungen der Krankenhausabteilungen durch das COVID-Virus.
Betrafen die gesetzlichen Vorgaben zu den „Technisch-Organisatorischen Maßnahmen“ (IT-Sicherheitsgesetz) vor dem Jahr 2022 nur große, sogenannte „KRITIS-Häuser“ (Krankenhäuser mit mehr als 30.000 vollstationären Fällen), so gelten vergleichbare Verpflichtungen seit dem Jahr 2022 ausnahmslos für alle Krankenhäuser (§75c SGB V).
Exkurs: Was versteht man unter „Stand der Technik“?
„Der „Stand der Technik“ bezeichnet die am Markt verfügbare Bestleistung einer IT-Sicherheitsmaßnahme zur Erreichung des gesetzlichen IT-Sicherheitsziels.“ (TeleTrusT „Handreichung zum Stand der Technik von 2021“).
Es handelt sich also um eine allgemein anerkannte und in der Praxis bewährte Stufe des technischen Standes.
Diese Gesetze bringen Druck auf den Krankenhauskessel
Datenschutz-Grundverordnung (DSGVO)
Mit dem Artikel 32 hat die DSGVO bereits bei Inkrafttreten im Jahr 2015 die Wichtigkeit von wirksamen „Technisch-Organisatorischen Maßnahmen“ (TOM´s) klar geregelt. Dabei fordert der Artikel 32 von den Verantwortlichen und den Auftragsverarbeiter „geeignete technische- und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten„.
Aus Sicht des Datenschutzes waren Krankenhäuser also bereits vor dem Inkrafttreten des BSIG und des §75c SGB V zu einer sicheren Datenverarbeitung nach aktuellem Stand der Technik verpflichtet.
Die in Krankenhäusern verarbeiteten Patientendaten gelten darüber hinaus als „besonders schützenswerte Daten“, auch wenn deren Schutz zunehmend schwerer wird.
Wir müssen feststellen, dass sich Daten heute physikalisch nicht mehr nur auf den eigenen Servern der Krankenhaus-IT befinden, sondern vermehrt an Software- und Geräteanbieter übertragen werden. Dies geschieht sowohl im Rahmen der Auslagerung ganzer Prozessketten als auch im Rahmen von Fernwartung und der dabei entstehenden Datenverarbeitung von personenbezogenen Daten. Weiter wurde die Nutzung von Cloud-Diensten wie z.B. zum Datenaustausch oder zur Gerätesynchronisation außerhalb der eigenen Infrastruktur Standard.
Hier kann es zu ernsthaften Problemen mit Auftragsverarbeitungen kommen und dafür müssen Lösungen geschaffen werden.
BSI Gesetz
Für „kritische Sektoren“ deren stabile Versorgung mit ihren Produkten- und Dienstleistungen für die Allgemeinheit besonders wichtig ist, wurde im Mai 2016 das BSI-Gesetz (KRITIS-Gesetz) mit seiner KRITIS-Ausführungsverordnung in Kraft gesetzt.
So gelten z.B. Krankenhäuser oberhalb des Schwellwertes von 30.000 vollstationären Fällen im Sektor „Gesundheit“ als kritische Infrastruktur. Umgangssprachlich werden diese Kliniken „KRITIS-Häuser“ genannt.
KRITIS-Häuser sind zur umgehenden Meldung von Sicherheitsvorfällen an das BSI verpflichtet und müssen alle zwei Jahre nachweisen, dass die Absicherung der an der kritischen Dienstleistung beteiligten Datenverarbeitung dem aktuellen Stand der Technik entspricht.
Der für den Sektor „Gesundheit“ geschaffene „Branchenspezifische Sicherheitsstandard“ (B3S) bildet die Basis der umzusetzenden Anforderungen. Es handelt sich dabei um einen auf der ISO27001 basierenden Sicherheitsstandard in den die branchenspezifischen Besonderheiten des Sektors Gesundheit eingearbeitet wurden. Dieser Standard wurde von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und für die Branche als geeignet gewertet.
Patientendaten-Schutz-Gesetz (PDSG) §75c SGB V
Mit dem Inkrafttreten des Patientendaten-Schutz-Gesetzes (PDSG) hat sich die Ausnahmestellung der großen Krankenhäuser in puncto IT-Sicherheit etwas geändert. Das bedeutet jedoch nicht, dass die großen Krankenhäuser weniger Informationssicherheit machen sollen, sondern kleine und mittlere Häuser müssen mehr machen!
Laut § 75c SGB V sind ab dem 1. Januar 2022 nicht mehr nur KRITIS-Häuser, sondern alle Krankenhäuser in Deutschland dazu verpflichtet, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen.“ Dieser Verpflichtung können Krankenhäuser mit der Umsetzung der Anforderungen des B3S oder eines vergleichbaren ISMS nachkommen.
Strafzahlungen bei Datenschutzverstößen
Bußgelder von bis zu 20 Millionen Euro oder für Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag am Ende höher ist)
Bußgelder bei Verstößen gegen das BSI Gesetz
Die Ordnungswidrigkeit kann ….. mit einer Geldbuße bis zu zwei Millionen Euro sowie in den Fällen …. mit einer Geldbuße bis zu einer Million Euro geahndet werden. (§14 V BSIG)
(Weitere Informationen unter https://www.openkritis.de/betreiber/bussgelder-kritis-bsig.html)