Informationssicherheit in Krankenhäusern

Patientendaten-Schutz-Gesetz, oder: KRITIS durch die Hintertür mit staatlichen Förderungen kombinieren

Durch die Verabschiedung des Patientendaten-Schutz-Gesetzes (PDSG), welches insbesondere Auswirkungen auf § 75c SGB V hat, sind alle Krankenhäuser unabhängig von der Größe dazu verpflichtet ein Informationssicherheits-Managementsystem (ISMS) aufzubauen, welches bis zum 1. Januar 2022 nachzuweisen ist. Der Nachweis, dass diese Anforderung erfüllt wurde, gilt dann als erfüllt, wenn der branchenspezifische Sicherheitsstandard (B3S) eingehalten wird. Diese gesetzliche Anforderung ist letztlich gleichbedeutet damit, dass die KRITIS-Anforderungen auch für jene Krankenhäuser gelten, die nicht der KRITIS-Verordnung unterliegen. KRITIS durch die Hintertür.

Sie haben aber auch die Möglichkeit, sich Ihre Bemühungen durch staatliche Hilfen fördern zu lassen. Sei es als explizites Projekt zum Aufbau eines Informationssicherheits-Managementsystem oder im Rahmen eines Digitalisierungsprojekts, bei dem mindestens 15 % der Fördermittel auf die Informationssicherheit verwendet werden müssen. Förderung durch die Vordertür.

7 Gründe, warum Ihnen gerade die UIMC bei der Umsetzung helfen sollte:

FachkompetenzFach-Expertise: Unsere Mitarbeiter haben breit gefächertes Know-how in der Informationssicherheit und im Datenschutz.
BranchenkenntnisseBranchen-Kenntnisse: Die UIMC kann auf jahrzehntelange Erfahrungen im Bereich von Krankenhäusern zurückgreifen.
MethodenkompetenzMethoden-Kompetenz: Wir nutzen praxis-erprobte Tools und setzen auf Best-Practice-Lösungen im Rahmen der Umsetzung.
ProjekterfahrungenProjekt-Erfahrungen: Seit fast 25 Jahren führen wir Projekte im Rahmen des Aufbaus von Informationssicherheits-Managementsystemen durch.
VordertürPragmatismus: Wir kommen durch die Vordertür, indem wir pragmatisch und individuell die Umsetzung mit Ihnen vereinbaren.
DienstleistungsmentalitätDienstleistungs-Mentalität: Unsere Berater sind dienstleistungsorientiert und richten sich soweit wie möglich nach Ihnen und nicht umgekehrt.
KrankenhauszukunftsgesetzFörderung: Wir unterstützen Sie dabei, das Projekt fördern zu lassen (bspw. auf Basis des Krankenhauszukunftsgesetzes).

Sie sind noch nicht gestartet? Sie schaffen die Umsetzung zum 1.1.2022 nicht? Selbst wenn Sie die Anforderungen noch nicht final umgesetzt haben, so ist es allemal besser, zumindest ein Projekt- und Maßnahmenplan erstellt und das Projekt gestartet zu haben. Mit uns bekommen Sie schnell den "Fuß in die Tür" und überschreiten die "Türschwelle" des Projekts.

Unverbindliches Angebot

Klassische Probleme in der Krankenhaus-IT:

Unzureichende Berücksichtigung in der Strategie

Es fehlt oftmals an einer allgemeinen Organisationsstrategie, die nicht nur Wachstum oder das Geschäftsmodell im Blick hat, sondern auch die Themen Compliance, Revision, Risikomanagement, Informationssicherheit oder Datenschutz im Blick hat. Solche Themen halten erfahrungsgemäß den (aktuell dominierenden) Digitalisierungsbestrebungen nicht stand; vielmehr wird zu spät der Fokus auch auf diese Themen gelegt. Es werden IT-Systeme eingeführt (von Videokonferenzen über ePA bis hin zu Medizingeräten), ohne dabei datenschutzrechtliche oder sicherheitstechnische Anforderungen zu beleuchten.

Dies führt oftmals dazu, dass unterschiedliche Ziele bei der Umsetzung von Maßnahmen verfolgt werden, keine einheitliche Vorgehensweise besteht und somit auch keine Synergien genutzt werden können. Daher kommt die Krankenhaus-Leitung Ihrer Organisationsschuld nicht ausreichend nach und es liegt ein intransparentes, uneinheitliches Sicherheitsniveau vor.

„Bring Your Own Device“ durch die Hintertür

Da es oftmals an klaren Regelungen und/oder ausreichenden Ressourcen mangelt, wird das Personal (ohne bösen Willen) selbst aktiv, indem beispielsweise für die interne Kommunikation eigene Geräte genutzt werden. So werden mangels Alternative im Zuge der Diagnose beispielsweise medizinische Unterlagen oder Patienten mit privaten Smartphones fotografiert oder per Messanger à la WhatsApp an Kollegen versendet, um einen schnellen fachlichen Austausch zu erreichen.

Informationssicherheit bei Digitalisierung oftmals nicht im Fokus

Die Digitalisierung im Gesundheitswesen ist aktuell ein großes Thema, indem viele Prozesse digitalisiert werden. Die Prozesse im Rahmen der Informationssicherheit bzw. im Informationssicherheits-Managementsystem werden bei der Digitalisierung aber oftmals vergessen, so dass die Strukturen zur Gewährleistung der Dienstleistungserbringung und der Erbringung der Sicherheit nicht Hand in Hand gehen.

Digitalisierungsbestrebungen, Alltag oder die besondere Sensibilität der Daten (Stichwort „Ärztliche Schweigepflicht“) erfordern spezielle Lösungen für den Stationsalltag. Zum Beispiel ist eine klassische PC-Zugangssicherung (Persönliche Nutzerdaten) im Stationsalltag nicht zielführend; doch wird im Rahmen der Digitalisierung der Systeme nur die Dienstleistungserbringung in den Fokus genommen, nicht aber die Informationssicherheit. Die Bedeutung zeigt, dass die Digitalisierungsförderung in Krankenhäusern aktuell nur dann genehmigt wird, wenn auch die Informationssicherheit in das Projekt integriert wird (mindestens 15%).

Unbekannte Risikolage

Risiken werden oftmals entweder gar nicht, unvollständig oder unzureichend erhoben, indem nicht der richtige Detaillierungsgrad gewählt wird. Wählt man den Grad zu hoch, sind die Risiken zu abstrakt; ist er zu hoch, verstrickt man sich schnell in Detailfragen. Doch ohne Risikobewertung liegt auch keine Grundlage für angemessene Entscheidungen vor. Risiken können bei den Sicherheitsmaßnahmen nicht berücksichtigt werden. Das Ergebnis können daher unzureichende und/oder ineffiziente Maßnahmen sein.

Heterogene IT-Infrastruktur

Durch unterschiedliche Systeme, Netzwerke und eine hohe Anzahl und Integration von IT-Dienstleistern innerhalb der Infrastruktur bestehen oftmals unterschiedliche Anforderungen an die Informationssicherheit und die damit verbundenen Maßnahmen. Ohne einen Überblick hierüber können keine gezielten Maßnahmen ergriffen und nicht sichergestellt werden, dass alle Systeme etc. berücksichtigt wurden. Unterschiedliche Lebenszyklen der IT-Systeme machen dies nicht zwingend einfacher.

Ohne eine klare Identifikation von Assets, der klaren Zuordnung von Verantwortlichkeiten und übergreifenden Regelungen kann ein Vakuum entstehen, so dass Risiken nicht oder unzureichend betrachtet werden. Durch eine durchgehende Organisationsstruktur mit definierten Zuständigkeiten und Meldewegen, können Risiken gezielt reduziert werden.

Unzureichend sensibilisiertes Personal

Entscheidend für die effektive Umsetzung der Maßnahmen ist der Faktor Mensch, da Personal wissentlich oder unwissentlich Sicherheitsmaßnahmen umgeht. Auch wenn oftmals ein „guter Wille“ dahinsteht, so entstehen viele Sicherheitsvorfälle (bis hin zu meldepflichtigen Vorfällen) durch menschliche Fehler, die durch wenige Minuten Training reduziert werden können.

Krankenhäuser als Ziel von Cyberattacken

Auch aufgrund der bisweilen unzureichenden Sicherheitsmaßnahmen (beispielsweise aufgrund fehlender Strategie, unbekannter Risikosituation oder mangelnder Schulung der Mitarbeiter) versuchen Kriminelle auch Gesundheitseinrichtungen anzugreifen, um diese beispielsweise zu erpressen. Dies führt nicht nur zu kaufmännischen Risiken (reduzierte Umsätze und Lösegeld-Zahlungen), sondern auch zu gesundheitlichen Gefahren, wenn medizinische Geräte etc. nicht mehr genutzt werden können.

Auf medizinische Notfälle sind Krankenhäuser erfahrungsgemäß gut vorbereitet. Trotz zunehmender Digitalisierung der Behandlung sowie wachsender Komplexität der Spezialsysteme werden eigentlich notwendige Notfallpläne zunehmend weniger erarbeitet. Gerade bei Cyberangriffen zeigt sich zunehmend, dass eine unzureichende Vorbereitung auf dies Notfälle gegeben ist: Sei es bei der akuten Behandlung des Notfalls oder bei der Fortführung des Betriebs (Business-Continuity-Management).

Festgelegte Prozesse werden nicht gelebt

Zum Teil werden Prozesse und Maßnahmen zwar gelebt, jedoch nicht dokumentiert, wodurch sie nicht eindeutig und verbindlich sind. Auch können diese nicht kontrolliert werden, so dass weder Umsetzung noch Wirksamkeit der Maßnahmen bekannt ist, was wiederum das Verbesserungspotential vermindert. Auch führt eine fehlende Revision oftmals dazu, dass Effektivität und Effizient von Prozessen nachlassen.

Mangelnde Kommunikation bzgl. Informationssicherheit

Weder Vorgaben im Sinne von verbindlichen Prozessen und Richtlinien im Haus noch Informationen zum Status quo an die Leitung werden ausreichend kommuniziert. Ohne regelmäßige Informationen zur Risikosituation kann die Krankenhausleitung aber beispielsweise keine sinnvollen Entscheidungen im Hinblick auf die Informationssicherheit treffen, sei es im Hinblick auf Ressourcen, Strategie oder Verantwortlichkeiten.

Terminvereinbarung

F.A.Q. / Nützliche Informationen

Hilfe durch die UIMC

Die Umsetzung gestalten wir nicht pragmatisch, sondern auch effizient. Hierbei hat die UIMC eine umfassende Expertise in der Beratung von Krankenhäusern und kann jahrzehntelange Erfahrungen in die Beratung einbringen:

Risikobewertung: Die individuelle Risikosituation ist stets Grundlage für Entscheidungen im Rahmen des Aufbaus eines ISMS. Daher sollte zunächst erhoben und auch dokumentiert werden, welche Gefährdungen und Risiken relevant sind. Dies erfolgt durch die UIMC toolgestützt [risk.Checkup].
Zieldefinition: In Kenntnis der Risiken muss die Krankenhausleitung entscheiden, welche Strategie im Hinblick auf die Informationssicherheit verfolgt werden soll. Diese Strategie wird dann durch konkretere Ziele operationalisiert [ziel.Checkup].
Schwachstellenanalyse: Es ist stets sinnvoll, zunächst den Status quo zu erheben, wodurch Schwachstellen erkannt und nur so auch gezielt und priorisiert behoben werden können. Diese Analyse führt die UIMC mittels isi.Checkup toolgestützt und somit effizient durch [isi.Checkup].
Maßnahmenplanung: In der Folge werden die zu ergreifenden Sicherheitsmaßnahmen festgelegt, um o. g. Ziele zu erreichen. Hierbei werden die Art Maßnahmen und auch Verantwortlichkeiten und Prioritäten und Zeiten festgelegt.
Leitlinie und Richtlinien: Auch wenn erfahrungsgemäß viele Richtlinien und Maßnahmen bereits existieren bzw. „gelebt“ werden, so sind sie oftmals nicht dokumentiert. Das UIMC-Informationssicherheitshandbuch dient – basierend auf langjährigen Erfahrungen – als Basis für alle aufbau- und ablauforganisatorischen Fragestellungen. Es ist modular aufgebaut und kann an jede Institution spezifisch angepasst werden [Organisationsmittel].
Schulung/Sensibilisierung: Ohne die Menschen abzuholen, wird jedes ISMS wirkungslos bzw. in seiner Wirkung beschränkt sein. Daher haben wir Schulungskonzept und -plattformen, mit denen Ihre Mitarbeiter nicht nur sensibilisiert, sondern auch in der Informationssicherheit befähigt werden [UIMCollege].
Revision / Kontrolle: Es muss regelmäßig überprüft werden, ob die in den ersten beiden Schritten dargestellte Risikosituation und definierte Sicherheitszielsetzung noch aktuell sind sowie ob die festgelegten Maßnahmen umgesetzt werden (Umsetzung) und ob die angestrebten Ziele damit erreicht werden (Wirksamkeit). Erkenntnisse aus diesen Prüfungs- und Kontrollprozessen müssen wieder in das Verfahren einfließen [IT-Sicherheitsbeauftragter].
Kontinuierliche Verbesserung: Informationssicherheit ist kein Projekt, sondern ein stetiger Zyklus. Der sog. PDCA- oder Deming-Zyklus stellte eine kontinuierliche Verbesserung der Informationssicherheit sicher [ISMS-Aufbau].

Patientendaten-Schutz-Gesetz im Wortlaut

(1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.

(2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

(3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

[Quelle: Bundesministerium der Justiz und Verbraucherschutz; www.gesetze-im-internet.de]

B3S: Was sagt die DKG?

Der vorliegende B3S orientiert sich an der in der Praxis etablierten Norm ISO 27001, dem „Stand der Technik“ sowie der darüberhinausgehenden branchenspezifischen Anforderungen der Norm ISO 27799, als auch der für den Geltungsbereich relevanten wesentlichen Risiken. Für den vorliegenden B3S wurden nur die für die Zielgruppe dieses branchenspezifischen Sicherheitsstandards relevanten Aspekte übernommen. Eine Zertifizierung nach ISO 27001 ist für den Nachweis der notwendigen Maßnahmen nicht notwendig. Der B3S dient der Etablierung eines angemessenen Sicherheitsniveaus i.S.v. § 8a (1) BSIG bei gleichzeitiger Wahrung des üblichen Versorgungsniveaus der Patientenversorgung und der Verhältnismäßigkeit der umzusetzenden Maßnahmen.

„Stand der Technik“ ist als unbestimmter Rechtsbegriff auch im Kontext der Informationssicherheit nicht abschließend definiert. Maßgeblich ist jedoch, dass die Vorgaben des B3S ausschließlich zur Ausgestaltung informations(sicherheits) technischer Prozesse und Maßnahmen gelten können. Es werden keine Anforderungen an den „Stand der Technik“ der eingesetzten Medizingeräte beschrieben.

Die heterogene Systemlandschaft in den Krankenhäusern stellt eine der Herausforderungen in der Umsetzung eines Sicherheitsstandards im Krankenhaus dar, da eine durchgängige Standardisierung der eingesetzten Systeme nicht vorausgesetzt werden kann. In der Folge kann derzeit (noch) nicht auf einen allgemein anerkannten „Stand der Technik“ in der Branche „Medizinische Versorgung“ referenziert werden. Zur Bestimmung des „Stand der Technik“ bietet es sich an, die für den B3S relevanten existierenden Sicherheitsstandards aus anderen Bereichen der Informationsverarbeitung sowie in der Praxis erfolgreich etablierte Methoden und Verfahren heranzuziehen.

[Quelle: Deutsche Krankenhausgesellschaft; www.dkgev.de]

Fördermöglichkeiten

§ 14a Abs. 2 KHG:
[…] (2) Zweck des Krankenhauszukunftsfonds ist die Förderung notwendiger Investitionen in Krankenhäusern in
1. die technische und insbesondere die informationstechnische Ausstattung der Notaufnahmen,
2. die digitale Infrastruktur zur Förderung der internen, innersektoralen und sektorenübergreifenden Versorgung von Patientinnen und Patienten, insbesondere, um die Ablauforganisation, Dokumentation und Kommunikation zu digitalisieren, sowie zur Einführung oder Verbesserung von Telemedizin, Robotik und Hightechmedizin,
3. die Informationssicherheit und
4.die gezielte Entwicklung und die Stärkung wettbewerbsrechtlich zulässiger regionaler Versorgungsstrukturen, um die Versorgungsstrukturen sowohl im Normalbetrieb als auch in Krisenzeiten konzeptionell aufeinander abzustimmen. […]

§19 Abs. 7 KHSFV
(1) Nach § 14a Absatz 2 Satz 1 des Krankenhausfinanzierungsgesetzes werden folgende Vorhaben, insbesondere zur Digitalisierung der Prozesse und Strukturen im Verlauf eines Krankenhausaufenthalts von Patientinnen und Patienten, gefördert:
1. die Anpassung der technischen und insbesondere der informationstechnischen Ausstattung der Notaufnahme eines Krankenhauses, […]
2. die Einrichtung von Patientenportalen für ein digitales Aufnahme- und Entlassmanagement, […]
3. die Einrichtung einer durchgehenden, strukturierten elektronischen Dokumentation von Pflege- und Behandlungsleistungen […]
4. die Einrichtung teil- oder vollautomatisierter klinischer Entscheidungsunterstützungssysteme, […]
5. die Einrichtung eines durchgehenden digitalen Medikationsmanagements […]
6. die Einrichtung eines krankenhausinternen digitalen Prozesses zur Anforderung von Leistungen, […]
7. […] (Cloud-Computing-Systeme),
8. die Einführung und Weiterentwicklung eines onlinebasierten Versorgungsnachweissystems […]
9. die Beschaffung, Errichtung, Erweiterung oder Entwicklung informationstechnischer, kommunikationstechnischer und robotikbasierter Anlagen, […]
10. die Beschaffung, Errichtung, Erweiterung oder Entwicklung informationstechnischer oder kommunikationstechnischer Anlagen, Systeme oder Verfahren, […]
11. Vorhaben zur Anpassung von Patientenzimmern an die besonderen Behandlungserfordernisse im Fall einer Epidemie, […]

Bitte beachten Sie hierbei § 14a Abs. 3 KHG: „Mindestens 15 Prozent der gewährten Fördermittel sind für Maßnahmen zur Verbesserung der Informationssicherheit zu verwenden“. Das bedeutet im Umkehrschluss, dass keine Förderung bewilligt wird, wenn nicht in die Informationssicherheit investiert wird.