• NEXUS
  • Aktuelles
  • Informationssicherheit im Krankenhaus: Gut gemanagt ist halb gewonnen

Informationssicherheit im Krankenhaus: Gut gemanagt ist halb gewonnen

Zunehmende Digitalisierung bedeutet auch zunehmende Gefahren, auf die es sich einzustellen gilt. Wer hat noch keine E-Mails bekommen, in denen ein verwaister Prinz um Hilfe bittet, seine Millionen außer Landes zu schaffen. Oder es kommt mal wieder eine täuschend echt wirkende E-Mail eines großen Versandhauses, die dazu aufruft, die eigenen Daten inklusive Zahlungsinformationen zu „überprüfen“.

Spam-E-Mails, Phishing, Viren, Würmer, Krypto-Trojaner und andere Malware, Social Engineering, Botnetze, Zero-Day-Exploits, Distributed Denial of Service (DDoS) – die Möglichkeiten, Unwesen zu treiben, scheinen unbegrenzt. Dass sich Unternehmen auf Cyber-Attacken einstellen müssen, steht außer Frage. Dass Krankenhäuser und andere Einrichtungen des Gesundheitswesens keine Ausnahme bilden, ist ebenfalls selbstverständlich – eine Studie der Roland Berger Unternehmensberatung ergab 2017, dass 64% der Krankenhäuser in Deutschland bereits Ziel derartiger Angriffe wurden.

DIE RECHTSGRUNDLAGEN: IT-SICHERHEITSGESETZ UND KRITIS-VERORDNUNG

Ab einer bestimmten Größe zählen Einrichtungen des Gesundheitssystems zu den Kritischen Infrastrukturen (KRITIS) – sie sind in besonderem Maße dazu verpflichtet, die Verfügbarkeit ihrer Dienste sicherzustellen. Ohne informationstechnische Systeme ist unsere Gesundheitsversorgung kaum noch denkbar. Ein Ausfall dieser teils hochgradig komplexen IT-Landschaften kann sogar im wahrsten Sinne des Wortes Leben kosten. Mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, verfolgt die Bundesregierung das Ziel, die Sicherheit digitaler Infrastrukturen zu erhöhen. Dessen Regelungen gelten mit der ersten Änderungsverordnung der BSI-KritisV (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) vom 21. Juni 2017 auch für Kritische Infrastrukturen im Gesundheitswesen.

Doch was bedeutet das genau? Gemäß dem IT-Sicherheitsgesetz müssen Betreiber Kritischer Infrastrukturen

  • eine Kontaktstelle benennen,
  • IT-Störungen melden,
  • den „Stand der Technik“ umsetzen und
  • dies alle zwei Jahre gegenüber dem BSI nachweisen.

Eine besondere Herausforderung birgt in diesem Zusammenhang die Umsetzung technisch-organisatorischer Maßnahmen, um die entsprechenden Systeme gemäß dem Stand der Technik abzusichern und dies auch nachzuweisen. Das Gesetz sieht hierfür eine Zweijahresfrist ab Inkrafttreten der Rechtsverordnung vor; für die im Gesundheitssektor betroffenen Organisationen heißt der Stichtag 30. Juni 2019, da die entsprechende Änderungsverordnung der BSI-KritisV seit dem 30.06.2017 gilt.

Die im Gesetz abstrakt formulierte Anforderung („Stand der Technik“) kann innerhalb der betroffenen Branchen durch die Erarbeitung eines branchenspezifischen Sicherheitsstandards (B3S) konkretisiert werden. Derzeit prüft das BSI den von der Deutschen Krankenhausgesellschaft (DKG e.V.) eingereichten B3S für die Gesundheitsversorgung im Krankenhaus.

DIE BASIS: EIN INFORMATIONSSICHERHEITSMANAGEMENT-SYSTEM (ISMS)

Damit sind natürlich noch keine Maßnahmen umgesetzt. Doch wie sagt man so schön: Ordnung ist das halbe Leben. Ein erster – und elementarer – Schritt zur systematischen Gewährleistung der Informationssicherheit ist die Implementierung eines Managementsystems, anhand dessen einzelne Prozesse und Maßnahmen nachgehalten und nachgewiesen werden können. Die gesetzlich verankerten Schutzziele Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Informationen lassen sich nur durch ein organisatorisch verankertes Sicherheitsmanagement realisieren. Auch der Sicherheitsstandard für die Gesundheitsversorgung basiert auf ISO/IEC 27001, in der die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS normiert sind.

VORHANDENE STRUKTUREN NUTZEN

In den meisten Fällen muss für den Aufbau eines Informationssicherheitsmanagement-Systems nicht bei null gestartet werden, da die erforderlichen Strukturen in anderen Bereichen, etwa im Qualitäts- oder Risikomanagement, bereits vorhanden sind. Diese auch für den Bereich der Informationssicherheit zu nutzen, spart nicht nur Ressourcen. Es sorgt auch dafür, dass keine unnötigen Redundanzen entstehen.

Ein Brückenschlag in Richtung Risikomanagement ist ohnehin empfehlenswert, da nur auf diese Weise die vom BSI geforderte Angemessenheit der technisch-organisatorischen Maßnahmen sichergestellt werden kann. Denn nur wer weiß, welche Schadensfälle wie wahrscheinlich auftreten und mit welcher Schadenshöhe gegebenenfalls zu rechnen ist, kann das erforderliche Schutzniveau definieren – natürlich immer entlang einschlägiger gesetzlicher Bestimmungen. In diesem Sinne schlägt auch der seitens der DKG eingebrachte branchenspezifische Sicherheitsstandard (B3S) ein Standard-Risikomanagement-Prozessmodell vor und konkretisiert die Anwendung für den Bereich der Informationssicherheit.

INFORMATIONSSICHERHEIT BETRIFFT AUCH NICHT-KRITIS-BETREIBER

Auch wenn das IT-Sicherheitsgesetz in erster Linie auf die Betreiber Kritischer Infrastrukturen rekurriert: Informationssicherheit ist ein Thema, das alle betrifft. Auch kleinere Häuser können durch Ausfälle ihrer IT-Infrastruktur mitunter große finanzielle Verluste erleiden. Und auch hier sind die IT-Systeme so eng mit der Patientensicherheit verwoben, dass Investitionen in die Erhöhung der IT-Sicherheit definitiv keine Einbahnstraßen sind.

WEITERE INFORMATIONEN:

Das könnte Sie auch interessieren

    • AEMP
    • Krankenhaus

    Die moderne Medizinprodukteversorgung trägt wesentlich zur bestmöglichen Patientenversorgung und gleichzeitig zur Rentabilität des Krankenhauses bei. Für einen reibungslosen Ablauf des Klinikalltags ist die ordnungsgemäße Aufbereitung von Medizinprodukten essentiell. Denn ohne steriles Instrumentarium können keine Operationen durchgeführt und kein Umsatz generiert werden. So wird die zentrale Medizinprodukteaufbereitung zum heimlichen Dreh- und Angelpunkt im Wirtschaftsunternehmen Krankenhaus.

    • Archiv / PACS / ECM

    Von der Aufnahme im KIS, über Radiologie- und Laborprozesse bis zur Spezialbefundung und zum Qualitätsmanagement haben wir Ihnen bereits anschaulich erläutert, wie die NEXUS-Lösungen Sie auf der Reise zum digitalen Krankenhaus unterstützen können. Eines haben die bisher beschriebenen Patientenfälle gemeinsam: die Behandlungsdaten sind revisionssicher im NEXUS / PEAGSOS Archiv gespeichert und können direkt im NEXUS / KISNG Workspace eingesehen werden. Darüber hinaus bieten die Enterprise Content Management (ECM) Funktionen von PEGASOS Unterstützung bei der Digitalisierung Ihrer dokumentenbasierten Prozesse in Medizin und Verwaltung.

    • NEXUS-Gruppe

    Bensheim / Donaueschingen – Die Concat AG und der KIS-Anbieter NEXUS AG sind eine strategische Zusammenarbeit eingegangen. Ziel ist es, Krankenhäuser bereits heute an das digitale Gesundheitsnetz anzuschließen, damit diese von künftigen Anwendungen profitieren können, sobald sie verfügbar werden. Dazu gehören der eMedikationsplan (eMP), das Notfalldatenmanagement (NFDM), die qualifizierte elektronische Signatur (QES) für digitale Arztbriefe und die sichere Kommunikation der Ärzte untereinander (KOM-LE).

    • NEXUS-Gruppe
    • Reha / Heim

    Eine aufregende Messe mit zahlreichen Besuchern an unserem Messestand geht zu Ende. Das NEXUS-Team sagt Danke für die guten Gespräche und das rege Interesse an unseren Produkten und Lösungen. Rund 700 Aussteller und ca. 28.000 Besucher machten die Altenpflegemesse zum gelungenen Treffpunkt der Pflegebranche.

Sie brauchen Hilfe? Wir beraten Sie gerne.
Kontakt Mail
X
Lightbulb
Was suchen Sie? Fachbereiche, Experten, Behandlungsschwerpunkte und Standorte
Nicht das gewünschte Ergebnis? Nutzen Sie die globale Suche. Zur Suche