Ransomware "WannaCry"

Hacker-Angriff: Auch Krankenhäuser müssen handeln

Der jüngste Hacker-Angriff mit der Ransomware „WannaCry“ unterstreicht eindrucksvoll die enorme Bedeutung der IT-Sicherheit. Das betrifft auch die Krankenhäuser, wie sich gerade in Großbritannien in erheblichem Umfang gezeigt hat. Derartige Angriffe auf die Krankenhaus-IT können erhebliche Folgen haben: Von der Aushebelung des Datenschutzes über Datendiebstahl, Verhinderung der Leistungsabrechnung mit massiven Folgen für die Liquidität bis hin zu vitalen Bedrohungen für Patienten durch Störungen der Medizintechnik beispielsweise in den Operationssälen oder der Intensivpflege.

In Deutschland verpflichtet die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) Betreiber Kritischer Infrastrukturen dazu, erhöhte Anforderungen an die IT-Sicherheit ihrer Anlagen zu erfüllen. Sie gilt bisher jedoch nur für die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation, sofern ihre IT-Anlagen bestimmte Schwellenwerte überschreiten.

Dass die Verordnung bislang keine Regelungen für Krankenhäuser enthält, rechtfertigt jedoch auch im Gesundheitswesen keineswegs eine Vernachlässigung der IT-Sicherheit. Denn unabhängig von ausdrücklichen gesetzlichen Anforderungen und den skizzierten, unmittelbaren Risiken sind Geschäftsführer und Vorstände der Sorgfalt eines ordentlichen Geschäftsmannes und damit zur IT-Compliance verpflichtet: Sie haben sich angemessen über mögliche IT-Risiken zu informieren und entsprechend notwendige Schutzmaßnahmen zu ergreifen. Damit ist ein tiefes Verständnis der eigenen IT-Systeme ebenso zwingend notwendig wie die kontinuierliche Schließung von Sicherheitslücken.

Auch aus datenschutzrechtlichen Gründen sollten Krankenhäuser die entsprechenden organisatorischen Maßnahmen (z.B. Handlungsleitfäden) schaffen, um im Krisenfall schnell und rechtssicher agieren zu können. Sofern personenbezogene Daten von Hacker-Angriffen betroffen sind, bestehen gemäß Bundesdatenschutzgesetz (BDSG) - und künftig auch der EU-Datenschutz-Grundverordnung (DSGVO) - unter bestimmten Voraussetzungen Meldepflichten gegenüber den Aufsichtsbehörden sowie Benachrichtigungspflichten gegenüber den betroffenen Personen. Im Falle einer meldepflichtigen Cyber-Attacke ist dann vor allem Schnelligkeit gefragt: Die Meldung hat unverzüglich (BDSG) und zukünftig nach der DSGVO spätestens innerhalb von 72 Stunden zu erfolgen.

 

Quelle: BDO

16.05.2017

Mehr aktuelle Beiträge lesen

Verwandte Artikel

Photo

Nagelprobe für Klinik-IT

Datensicherheit – das sollten Sie wissen

Im Juni 2019 wurde bekannt, dass vier Kliniken in Rumänien einem Erpressungstrojaner zum Opfer gefallen sein sollen. Derlei Computerschädlinge verschlüsseln Patientendaten und verlangen die…

Photo

Datensicherheit

Hackerangriffe auf Krankenhäuser

Man stelle sich folgendes vor: Beim MRT, das eigentlich nur die Ursache von Migräne abklären sollte, bekommt ein Patient die schwerwiegende Diagnose Hirntumor. Eine Diagnose, die sein Leben…

Photo

Datensicherheit

Patientendaten: Sicherheitsrisiko Mensch

IT-Sicherheitsexperte Dirk Schrader ist zusammen mit dem Bayerischen Rundfunk und der US-Investigativplattform ProPublica auf Millionen ungesicherter Patientendaten gestoßen. Was der Datenfund…

Verwandte Produkte

Beckman Coulter – Remisol Advance

LIS, Middleware, POCT

Beckman Coulter – Remisol Advance

Beckman Coulter, Inc.
medigration – webConnect

Portal Solution

medigration – webConnect

medigration GmbH
Siemens Healthineers - CentraLink Data Management System

LIS, Middleware, POCT

Siemens Healthineers - CentraLink Data Management System

Siemens Healthineers
Agfa HealthCare – Dose

Dose Management Systems

Agfa HealthCare – Dose

Agfa HealthCare
Agfa HealthCare – DR 14e detector

DR Retrofit

Agfa HealthCare – DR 14e detector

Agfa HealthCare
Agfa HealthCare – DR 14s detector

DR Retrofit

Agfa HealthCare – DR 14s detector

Agfa HealthCare