Artikel • Änderung zum Jahreswechsel 2022
IT-Sicherheit: Gesetz nimmt auch kleine Kliniken in die Pflicht
KRITIS oder nicht – vor dem IT-Sicherheitsgesetz sind seit Jahresbeginn 2022 auch Kliniken unter der „magischen“ 30.000-Grenze gleich. Damit müssen sich nun auch kleine Krankenhäuser mit der Einhaltung des Branchenspezifischen Sicherheitsstandards (B3S) befassen – obwohl dessen Grundlage der neuen Situation derzeit noch hinterherhinkt.
Bericht: Dr. Christina Czeschik
Bildquelle: Adobe Stock/Michael Traitov
Der Gesetzgeber fokussierte bei der Regulierung der IT-Sicherheit im Gesundheitswesen bisher vor allem die großen Kliniken: Ab 30.000 stationären Fällen im Jahr zählt eine Klinik zu den Kritischen Infrastrukturen (KRITIS) und ist damit sowohl dem IT-Sicherheitsgesetz als auch dem dadurch geänderten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) unterworfen. Demnach stehen die zu KRITIS gehörenden Kliniken seitdem in der Pflicht, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“.
IT-Sicherheit in Krankenhäusern: seit Jahren eine schwierige Baustelle. Die Absicherung der IT-Infrastruktur führte lange ein Nischendasein im Gesundheitswesen – bis immer häufigere und schwerwiegendere Zwischenfälle, vor allem Ransomware-Attacken, das Thema mehr und mehr ins Bewusstsein von Entscheidungsträgern in Gesundheitswesen und Politik rückten.
B3S-Novelle ist überfällig
Im Gesetz ist nicht definitiv vorgeschrieben, wie KRITIS-Kliniken diese angemessenen Vorkehrungen auf dem aktuellen Stand der Technik nachweisen müssen. Es gibt mehrere Möglichkeiten, wie etwa die Einführung und Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) nach einer branchenneutralen Norm wie DIN EN ISO/IEC 27001. Damit aber in Bezug auf die branchenspezifischen Aspekte der IT-Sicherheit im Gesundheitswesen nicht jede KRITIS-Klinik selbst das Rad neu erfinden muss, kann stattdessen eine weitere im BSI-Gesetz vorgesehene Möglichkeit genutzt werden: Die Ausrichtung an einem Branchenspezifischen Sicherheitsstandard (B3S).
Solche B3S können in allen KRITIS-Sektoren (dazu gehören neben der Gesundheit noch sieben weitere wie beispielsweise Ernährung, Energie und Entsorgung) von Branchenverbänden erarbeitet und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Zertifizierung vorgelegt werden. Der Sektor Gesundheit wird in drei Branchen unterteilt – Labor, Pharma und Medizinische Versorgung –, wobei Krankenhäuser zur letzteren Kategorie zählen. Der hier anzuwendende B3S wurde unter Federführung der Deutschen Krankenhausgesellschaft (DKG e.V.) entwickelt und im Oktober 2019 vom BSI zugelassen. Laut BSI-Gesetz ist eine Überarbeitung von B3S alle zwei Jahre vorgesehen, so dass eine neue Version des B3S für die Gesundheitsversorgung im Krankenhaus schon überfällig ist.
Schutzziele im Allgemeinen und im Besonderen
Der B3S für Krankenhäuser macht gewisse Festlegungen und Vorgaben, die in einem branchenneutralen ISMS nicht von vornherein enthalten sind: Er definiert als zu schützende kritische Dienstleistung (kDL) die vollstationäre Versorgung von Patienten. Von dieser kDL ausgehend werden dann die Schutzziele und Kernprozesse festgelegt – auch diese schon branchenspezifisch vorgegeben: zu den üblichen Schutzzielen der Informationssicherheit (Authentizität, Integrität, Vertraulichkeit und Verfügbarkeit) kommen die branchenspezifischen Schutzziele Patientensicherheit und Behandlungseffektivität hinzu. Auch die Kernprozesse der Gesundheitsversorgung im Krankenhaus sind schon vorgegeben: Vorbereitung/Aufnahme, Diagnostik, Therapie, Unterbringung/Pflege und Entlassung.
Diese Kernprozesse werden von technischen Unterstützungsprozessen begleitet, beispielsweise Ruf- und Alarmsysteme oder Diensttelefonie. Diese sind von Klinik zu Klinik so heterogen organisiert, dass sie individuell betrachtet werden müssen und der B3S hier kaum Vorgaben macht. Ebenfalls individuell analysiert werden müssen fachbereichsübergreifende Systeme, unter anderem das Krankenhausinformationssystem (KIS), das Picture Archiving and Communication System (PACS) sowie Logistik-Systeme.
Aus dieser Zustandsanalyse einer Klinik werden mit Hilfe des B3S Bedrohungen und Schwachstellen identifiziert, die zu branchenspezifischen Gefährdungen führen. Schwachstellen können organisatorischer oder technischer Natur sein, durch menschliches Versagen entstehen oder durch Abhängigkeiten zwischen Systemen. Wenn Bedrohungen – etwa durch Naturereignisse oder Angriffe auf das IT-System – auf solche Schwachstellen treffen, dann resultieren daraus Gefährdungen der medizinischen Versorgung, von der Nicht-Verfügbarkeit oder Manipulation von Patientendaten über den Verlust der Vertraulichkeit bis hin zur möglichen Fremdsteuerung von Medizingeräten. Der B3S legt Maßnahmen fest – abgestuft in „kann“, „soll“ und „muss“ –, mit denen Klinikbetreiber diesen Gefährdungen entgegentreten.
Bildquelle: Adobe Stock/AlexZel
Starthilfe für Nicht-KRITIS-Häuser
Bis Ende 2021 spielte der B3S allerdings nur für einen Bruchteil der Kliniken in Deutschland eine Rolle: Nur etwa 90 Krankenhäuser erreichen die KRITIS-Grenze von 30.000 vollstationären Fällen pro Jahr und müssen sich somit an die Vorgaben des BSI-Gesetzes halten. Das hat sich mit Jahresbeginn 2022 geändert: Das 2020 in Kraft getretene Patientendatenschutzgesetz (PDSG) hat unter anderem den § 75c ins SGB V eingeführt, und dieser fordert, dass ab dem 1. Januar 2022 ausnahmslos alle Kliniken „nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse […] treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind“, und dass sie dies insbesondere durch die Einführung des B3S nachweisen können.
Eine neue Version des B3S, die diesen erweiterten Anwendungsbereich berücksichtigt, gibt es noch nicht. Die DKG hat aber rechtzeitig zum Jahreswechsel ein Starterpaket mit Umsetzungshinweisen, Arbeitshilfen und Vorlagen zur Verfügung gestellt, mit dem Nicht-KRITIS-Kliniken die neuen Verpflichtungen nach § 75c SGB V umsetzen können. Dieses ist online abrufbar unter https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/.
08.03.2022