Beruflich Dokumente
Kultur Dokumente
IT-Sicherheit im Krankenhaus
24.06.2021 06:00 Uhr Dr. Christina Czeschik
Große Krankenhäuser unterliegen den KRITIS-Regeln für IT-Sicherheit. Ab Ende 2021 benötigen aber
auch kleinere Häuser ein umfassendes Sicherheitskonzept.
Die gesetzlichen Regelungen zur IT-Sicherheit in Krankenhäusern betrafen zunächst nur Kliniken, die zu den
kritischen Infrastrukturen (KRITIS) gehörten, also all jene, die mindestens 30000 stationäre Patienten im Jahr
behandeln. Inzwischen gibt es aber auch Vorgaben, die von Betreibern kleinerer Häuser umgesetzt werden
müssen – Fördermittel stehen bereit.
Das erste IT-Sicherheitsgesetz von 2015 berücksichtigt – anders als es der Name vermuten lässt –
ausschließlich die IT-Sicherheit in kritischen Infrastrukturen. Es verpflichtet Betreiber dieser Einrichtungen,
dem Stand der Technik der IT-Sicherheit zu entsprechen. Diesen Nachweis können sie erbringen, indem sie
ein Informationssicherheitsmanagementsystem (ISMS), beispielsweise nach ISO 27001, einführen und
zertifizieren lassen. Branchenneutrale ISMS nach ISO-Norm sind allerdings berüchtigt dafür, dass dieser
Prozess sehr aufwendig ist.
Das BSI-Gesetz sieht daher ausdrücklich vor, dass branchenspezifische Sicherheitsstandards (B3S)
geschaffen werden können. Wenn KRITIS-Betreiber deren Einhaltung nachweisen, genügt das, um dem Stand
der Technik im Bereich IT-Sicherheit zu entsprechen. Im KRITIS-Sektor Gesundheit gehören Krankenhäuser
zur Subbranche der medizinischen Versorgung. Sie haben einen eigenen B3S, der unter der Federführung der
Deutschen Krankenhausgesellschaft (DKG) entwickelt wurde.
IX-TRACT
Für große Krankenhäuser, die zu den kritischen Infrastrukturen (KRITIS) zählen, gibt das IT-
Sicherheitsgesetz bereits seit 2015 Richtlinien vor, an die sich Betreiber halten müssen.
Die Auswirkungen der erneuerten Fassung des Gesetzes vom April 2021 betreffen wieder nur die
KRITIS: Das BSI hat künftig mehr Rechte beim Durchsetzen der IT-Sicherheit.
Kleinere Häuser mussten in der Vergangenheit keine einheitlichen Regelungen befolgen. Mit dem
Patientendatenschutzgesetz, das im Oktober 2020 in Kraft getreten ist, hat sich das geändert.
Die Kosten für notwendige Anpassungen sollen teilweise durch Projektfördermittel aus dem
Krankenhauszukunftsfonds gedeckt werden.
Doch längst nicht alle Krankenhäuser zählen zur kritischen Infrastruktur: Die Gesamtzahl der Krankenhäuser in
Deutschland ist zwar seit Jahrzehnten rückläufig, trotzdem gab es zumindest 2018 laut dem Statistischen
Bundesamt noch über 1900 Häuser mit insgesamt fast 500000 Betten. Nur etwa 90 dieser Kliniken fallen als
Teil der KRITIS unter die Regelungen der beiden IT-Sicherheitsgesetze.
Nach Definition der Bundesregierung sind kritische Infrastrukturen "Organisationen oder Einrichtungen mit
wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig
wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere
dramatische Folgen eintreten würden".
Die BSI-Kritisverordnung (BSI-KritisV) legt fest, welche Wirtschaftssektoren in Deutschland zu den KRITIS
gezählt werden. Aktuell sind die KRITIS-Sektoren: Energie, Gesundheit, Staat und Verwaltung, Ernährung,
Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation,
Medien und Kultur sowie Wasser.
Jeder dieser acht Sektoren ist in mehrere Branchen unterteilt: Im Sektor Energie unterscheidet das BSI
etwa die Branchen Elektrizität, Gas, Mineralöl und Fernwärme; im Sektor Gesundheit die medizinische
Versorgung, Pharma – Arzneimittel und Impfstoffe – und Labore.
Den Anstoß zur Festlegung von KRITIS-Sektoren gab die vom BMI vorgeschlagene und von der
Bundesregierung 2009 beschlossene "Nationale Strategie zum Schutz Kritischer Infrastrukturen", die
damals allerdings noch keine Sektorenliste enthielt. Erneute öffentliche Aufmerksamkeit erhielt das
Konzept der KRITIS während der Coronapandemie durch die getroffene Unterscheidung in
"systemrelevante" und "nicht systemrelevante" Beschäftigungen.
Im Oktober 2020 trat mit dem Patientendatenschutzgesetz (PDSG) ein Gesetz in Kraft, das die IT-Sicherheit in
den restlichen über 1800 Krankenhäusern Deutschlands regelt. Die meisten Regelungen, die das PDSG neu
einführt, beziehen sich auf die Telematik-Infrastruktur (TI), also auf die elektronische Patientenakte und das E-
Rezept.
Spannend für die IT-Sicherheit in Kliniken ist der durch das PDSG neu geschaffene § 75c des SGB V: "Ab dem
1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische
und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit
sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu
treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten
Patienteninformationen maßgeblich sind", und im nächsten Absatz: "Die Krankenhäuser können die
Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen
Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in
der jeweils gültigen Fassung anwenden".
Somit müssen alle Krankenhäuser in Deutschland, sofern sie nicht über ein anderes ISMS verfügen, ab dem 1.
Januar 2022 den beschriebenen B3S für die medizinische Versorgung umsetzen. Noch ist aber unklar, ob der
B3S wie angekündigt bis dahin in einer neuen Version erscheint. Bisher richtet sich der B3S schließlich explizit
an Betreiber von KRITIS der medizinischen Versorgung.
Dieser B3S beruht zwar auf dem branchenneutralen Standard ISO 27001, berücksichtigt aber den
branchenspezifischen Standard 27799 "Medizinische Informatik – Sicherheitsmanagement im
Gesundheitswesen". Er gibt eindeutig vor, dass die zu schützende kritische Dienstleistung (kDL) die
vollstationäre Versorgung von Patienten ist, und definiert branchenspezifische Schutzziele, Kernprozesse und
Gefährdungen.
IT-Sicherheit: Security Operations Center intern oder als Managed Service [12]
[14]
Diagnose, Therapie und Pflege sind die zentralen Pfeiler der stationären Versorgung, aber auch die Aufnahme unterliegt
strengen Vorschriften. Die Entlassung zählt hingegen ausdrücklich nicht zu den kritischen Dienstleistungen.
Die Diagnostik ist die Grundlage der nachfolgenden Behandlung und obliegt der Notaufnahme und den
einzelnen Fachabteilungen. Fast immer erfolgt eine Anamnese, also die Erhebung der gesundheitlichen
Vorgeschichte des Patienten, und eine körperliche Untersuchung. Häufig kommen dabei auch spezialisierte
medizintechnische Geräte wie Röntgengeräte, Computertomografen oder die Elektrokardiografie zum Einsatz.
Durch die zunehmende Vernetzung dieser Geräte und ihre Anbindung an die Krankenhaus-IT ergibt sich ein
Spannungsfeld an der Schnittstelle zwischen Medizin- und Informationstechnik.
Die Therapie ist der Kern der stationären Versorgung von Patienten und soll möglichst zur Heilung, zumindest
aber zur Linderung von Krankheiten und Beschwerden führen. Teilweise sind Diagnostik und Therapie nicht
klar trennbar – diagnostische Eingriffe können auch therapeutisch wirksam sein, etwa bei Herzkathetern oder
schon beim einfachen Arztgespräch. Die Pflege ist neben Diagnostik und Therapie die dritte zentrale Säule der
stationären Versorgung.
Auch hier ist die Abgrenzung zu den anderen Bereichen zuweilen nicht trennscharf: In der Pflege finden
tägliche Kontrollen statt, die zur Diagnostik zählen, etwa Blutdruck- und Temperaturmessung, oder
therapeutische Maßnahmen wie die Verabreichung von Medikamenten und physikalische Maßnahmen wie
Kompression. Der B3S hebt die Rolle der Verfügbarkeit der IT als Schutzziel hervor: Eine Einschränkung hier
kann unmittelbar zu Gefahr für Leib und Leben der Patienten führen.
Neben den Kernprozessen gibt es die technischen Unterstützungsprozesse, etwa die Informationstechnik und
die Telekommunikation. Deren Organisation und Aufbau variiert von Krankenhaus zu Krankenhaus, zudem
arbeiten sie oft über die Grenzen von Fachbereichen und Organisationseinheiten hinweg. Gemäß B3S müssen
sie daher für jedes Krankenhaus individuell analysiert werden; der B3S gibt lediglich Mindestanforderungen
dazu vor, welche Aufgaben und Systeme die Risikobetrachtung in jedem Fall berücksichtigen muss.
Hierzu zählen neben zahlreichen IT-Systemen in der Telekommunikation die Rufsysteme, Diensttelefonie und
Alarmsysteme, in der Medizintechnik die Patientendatenmanagementsysteme (PDMS) und
patientengebundene Alarmsysteme für Vitalzeichen.
Die kritischen branchenspezifischen Anwendungssysteme arbeiten oft auch über Fachgrenzen hinweg: Hierzu
zählen Krankenhausinformationssystem (KIS), Laborinformationssystem (LIS) und radiologisches
Informationssystem (RIS), das in der Radiologie eingesetzte Picture Archive and Communication System
(PACS), OP-Planungssysteme und Systeme für Transportlogistik von Proben oder Verbrauchsgütern.
Die Hauptbedrohungen sind die Nichtverfügbarkeit oder Manipulation medizinisch relevanter Daten in den
genannten Kernprozessen, Inkonsistenzen von Datenbeständen, Verlust der Vertraulichkeit besonders
sensibler Daten und der Authentizität von Daten sowie Fremdsteuerung von Medizingeräten und anderen
Systemen.
Um diesen Gefährdungen vorzubeugen, legt der B3S spezifische Kann-, Soll- und Muss-Maßnahmen fest.
Aktuell gilt der B3S für die medizinische Versorgung in der vom BSI zugelassenen Version 1.1 vom 22.10.2019.
Das BSI-Gesetz sieht alle zwei Jahre eine Überarbeitung der B3S vor, sodass Ende 2021 eine aktualisierte
Fassung erscheinen sollte.
Im April 2021 trat das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-
Sicherheitsgesetz 2.0, in Kraft. Es verschärft in einigen Bereichen die Regelungen des ersten IT-
Sicherheitsgesetzes und verschafft dem BSI neue Befugnisse. Beides hat Auswirkungen auf KRITIS-Kliniken.
Kliniken, die unterhalb der KRITIS-Grenze liegen, bleiben wie beim ersten IT-Sicherheitsgesetz unberührt. Es
gibt jedoch eine Ausnahme: Der Gesetzestext sieht vor, dass das IT-Sicherheitsgesetz 2.0 auch für
Unternehmen von "erheblicher volkswirtschaftlicher Bedeutung" gilt. Dazu könnten möglicherweise auch
große Klinikketten zählen, deren einzelne Kliniken nicht die KRITIS-Grenze von 30000 Fällen erreichen. Ob für
diese Einrichtungen die Neuauflage des IT-Sicherheitsgesetzes Anwendung findet, muss eine
Rechtsverordnung aber erst noch festlegen.
Das BSI darf fortan eine aktivere Rolle in der Gefahrenabwehr einnehmen, etwa durch Portscans an fremden
Netzen und installierte Honeypots. Der KH-IT fordert jedoch, dass dem BSI der Zugang zu kritischen Netzen in
Krankenhäusern – etwa zu Haus- oder Medizintechniknetzen – verwehrt bleiben müsse, da dort sensible
Patientendaten liegen. Stattdessen sollten die Krankenhäuser diese Netze in Eigenverantwortung prüfen
dürfen und dem BSI die Ergebnisse zur Verfügung stellen.
Auch bei der Regulierung, Prüfung und Normung von Software darf das BSI künftig verstärkt Einfluss nehmen.
Der KH-IT befürchtet, dass sich dies negativ auf die Ergonomie der Systeme auswirken wird, und empfiehlt
Krankenhäusern, Identity Access Management (IAM) mit Single Sign-on (SSO) einzuführen.
Schließlich darf das BSI zukünftig den Einsatz von Komponenten bestimmter Hersteller untersagen und so
indirekt Einfluss auf die in der Patientenversorgung eingesetzten Systeme nehmen. Der Wechsel bestimmter
Systeme, beispielsweise des KIS, ist jedoch mit erheblichem Aufwand verbunden, den die Krankenhäuser
leisten müssten.
Die Telematik-Infrastruktur (TI), also die elektronische Gesundheitskarte, die elektronische Patientenakte
und Co., gehört nicht zu den KRITIS. Dennoch wird die Informationssicherheit von Patientendaten innerhalb
der TI immer wieder kontrovers diskutiert, Vorträge bei den Jahreskongressen des Chaos Computer Clubs
stellten mehrfach potenzielle Angriffsszenarien vor.
Das BSI gibt dazu lediglich an, dass die von der gematik GmbH konzipierten Anwendungen der TI mit dem
Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem BSI abgestimmt seien und
dass wichtige Komponenten der TI vom BSI zertifiziert würden.
Die IT in Arztpraxen, die heterogen und gesetzlich kaum geregelt ist, steht bezüglich der Sicherheit von
Patientendaten ebenfalls in der Kritik. Im Dezember 2020 veröffentlichte die Kassenärztliche
Bundesvereinigung hierzu eine "Richtlinie nach § 75 SGB V über die Anforderungen zur Gewährleistung der
IT-Sicherheit".
In kleineren Krankenhäusern rechnet die DKG damit, dass pro 10000 stationären Fällen im ersten Jahr im
Durchschnitt etwa 791000 Euro zusätzliche Kosten anfallen, in Folgejahren jeweils etwa 343000 Euro. Die
Summe setzt sich hauptsächlich aus Investitionskosten in Hardware und Software und nicht zuletzt in
physische Sicherheit zusammen. Aber auch Personal- und Schulungskosten fallen ins Gewicht: So müssten
auch kleinere Häuser nach dem aktuellen Stand des B3S einen Informationssicherheitsbeauftragten
beschäftigen.
Die bestehenden IT-Budgets der Kliniken können diese Mehrkosten kaum abdecken. Laut einer Studie von
Deloitte beträgt in der Mehrzahl der deutschen Kliniken das IT-Budget nur 1 bis 3 Prozent des
Gesamtumsatzes. Zudem ist noch unklar, welche Auswirkungen die Coronapandemie auf die finanzielle
Gesundheit der Krankenhäuser haben wird. Der Rettungsschirm der Regierung hat in den Krankenhäusern je
nach Leistungsspektrum und Verweildauer der Patienten unterschiedliche Auswirkungen.
Linderung der Finanzprobleme der Kliniken verspricht der Gesetzgeber mit dem Krankenhauszukunftsgesetz,
das wie das PDSG im Oktober 2020 in Kraft getreten ist. Teil des Gesetzes ist der Krankenhauszukunftsfonds
(KHZF), der ab dem 1. Januar 2021 insgesamt drei Milliarden Euro aus Bundesmitteln zur Verfügung stellt.
In den Fördermittelrichtlinien werden elf Anwendungsbereiche definiert, die die Vergabe der Mittel regeln.
Punkt 10 benennt dabei ausdrücklich die Verbesserung der IT-Sicherheit in "Krankenhäusern, die nicht zu den
kritischen Infrastrukturen gehören". Die Cybersicherheit im Krankenhaus könne durch die Umsetzung des B3S
für Gesundheitsversorgung im Krankenhaus "vollständig gewährleistet" werden. Die Richtlinie gibt konkret vor,
dass zu fördernde Projekte die Prävention, Detektion oder Mitigation von Vorfällen oder die Steigerung und
Aufrechterhaltung von Awareness zum Ziel haben müssen.
Die Förderung der IT-Sicherheit beschränkt sich aber nicht auf Fördertatbestand 10: Laut den Richtlinien sind
Investitionen in die Informationssicherheit "integraler Bestandteil aller Fördermaßnahmen". Krankenhäuser
selbst können die Förderung aus dem KHZF jedoch nicht beantragen, Antragsteller können nur Bundesländer
sein. Krankenhäuser müssen ihrer Landesregierung also den Bedarf melden, das Bundesland selbst
entscheidet anschließend über Priorisierung und Antragstellung. Anträge können noch bis Ende 2021 gestellt
werden. Die Länder müssen gut 30 Prozent der jeweiligen Projektkosten selbst beitragen. Das Volumen des
KHZF beträgt durch die gemeinsamen Mittel von Bund und Ländern laut BMG bis zu 4,3 Milliarden Euro.
Der Zeitplan des KHZG zeigt: Noch können die Länder Mittel beantragen. Nach zwei Evaluationsrunden können nicht
eingesetzte Fördergelder möglicherweise zurückgefordert werden.
(Bild: BMG)
Welche Fördertatbestände besonders häufig abgerufen werden und wie sich die Schwerpunkte der
Bundesländer unterscheiden, wird sich erst noch zeigen – und ebenso, ob die Maßnahmen den gewünschten
Effekt haben. Eine Verbesserung des digitalen Reifegrades ist messbar, eine Verbesserung der IT-Sicherheit
hingegen nicht immer: Es gilt das aus der Coronapandemie bekannte Prinzip "There is no glory in prevention"
– effektive Vorbeugung fällt nicht auf, weil man die negativen Ereignisse nicht kennt, die durch sie ausbleiben.
So gut wie sicher ist hingegen, dass noch bis Ende des Jahres 2021 und darüber hinaus die Nachfrage nach
qualifiziertem Personal, Produkten und Dienstleistungen aus dem IT-Sicherheitsbereich im Gesundheitswesen
größer sein wird als gewohnt.
Dr. Christina Czeschik ist Ärztin, Medizininformatikerin und freie Autorin mit Schwerpunkt Digitalisierung und
Informationssicherheit im Gesundheitswesen. (jvo [15])