PDSG und KRITIS 2.0 – Wachsende Anforderungen an die IT-Sicherheit

Herz-Symbol
Strengere Richtlinien für die IT-Sicherheit in Krankenhäusern: Zugang zu digitalen Ressourcen effektiv steuern (Foto: olegdudko/123rf.com)

Das Patientendaten-Schutz-Gesetz macht die Absicherung der IT für alle Kliniken in Deutschland verbindlich und die Novelle der KRITIS-Verordnung bringt zusätzliche Pflichten für große Krankenhäuser mit sich. Der IT-Security Experte Helmut Semmelmayer verrät, was Betreiber über die Neuerungen wissen müssen.

Gastbeitrag von Helmut Semmelmayer

Die Digitalisierung des Gesundheitswesens geht nicht ohne Konflikte vonstatten. Einerseits soll der Austausch medizinischer Daten durch die elektronische Patientenakte (ePA) und ähnliche Services erheblich erleichtert werden. Gleichzeitig werden Gesundheitseinrichtungen wie Krankenhäuser aber auch immer öfter zum Ziel von Cyberangriffen, die den Betrieb unterbrechen und sensible Informationen in die Hände von Kriminellen spielen können.

Um trotz der zunehmenden Vernetzung und wachsender digitaler Bedrohungen optimalen Schutz zu gewährleisten, sollen strengere Richtlinien für die IT-Sicherheit in Krankenhäusern die nötigen Rahmenbedingungen schaffen. Kliniken mit mehr als 30.000 vollstationären Fällen im Jahr zählen schon seit längerem zu den kritischen Infrastrukturen, die durch die KRITIS-Verordnung zum Nachweis angemessener Schutzmaßnahmen verpflichtet sind. Mit dem IT-Sicherheitsgesetz 2.0 steigen die Anforderungen an KRITIS-Anlagen nun weiter, etwa durch die Registrierung von IT-Komponenten beim BSI und den verpflichtenden Einsatz von Systemen zur Angriffserkennung.

KRITIS für alle?

Die weitaus größte Anpassung des neuen Jahres bringt jedoch das Patientendaten-Schutz-Gesetz mit sich: Seit dem 01.01.2022 müssen alle Kliniken, unabhängig ihrer Größe und Patientenzahlen, angemessene technische und organisatorische Vorkehrungen treffen, um die Fortführung des Betriebs und den Schutz von Gesundheitsdaten sicherzustellen. Als angemessen betrachtet das Gesetz insbesondere die Vorgaben des branchenspezifischen Sicherheitsstandards (B3S) der Deutschen Krankenhausgesellschaft. Auch wenn theoretisch andere Standards als Grundlage herangezogen werden können, macht das Patientendaten-Schutz-Gesetz den für KRITIS-Häuser konzipierten B3S dadurch de facto zum allgemeingültigen Regelwerk für deutsche Kliniken.

Senior Manager Channel Sales tenfold Helmut Semmelmayer
Als Senior Manager Channel Sales bei dem IAM-Entwickler tenfold hilft der IT-Sicherheitsexperte Helmut Semmelmayer Firmen dabei, Zugriffsrechte sicher und effizient zu verwalten. (Foto: tenfold)

Im Unterschied zur KRITIS-Verordnung sieht das PDSG keinen Nachweis beziehungsweise keine unabhängige Zertifizierung der getroffenen Sicherheitsmaßnahmen vor. Sollte es jedoch zu einer Störung oder einem Angriff kommen und es stellt sich heraus, dass die gesetzlichen Anforderungen nicht erfüllt wurden, müssen Betreiber mit Bußgeldern oder Klagen rechnen. Das gilt besonders beim unberechtigten Zugriff auf medizinische Daten, der von der DSGVO mit Strafen von bis zu 20 Millionen Euro geahndet wird. Der Schutz sensibler Informationen zählt in Wahrheit schon längst zu den Pflichten von Krankenhäusern. Das Patientendaten-Schutz-Gesetz konkretisiert hier vor allem, wie geeignete Maßnahmen auszusehen haben.

Wesentliche Grundlage für die Erfüllung der gesetzlichen Standards ist es, die vorgegebenen Schutzziele in alle Ebenen des laufenden Betriebs zu integrieren, vom sicheren Umgang mit Daten durch das medizinische Personal bis hin zur Kontrolle der Maßnahmen durch die Geschäftsführung. Informationssicherheit ist ebenso sehr eine organisatorische Frage wie eine der IT. Aus diesem Grund fordert der B3S Krankenhaus die Sensibilisierung von Mitarbeitenden und eine klare Zuweisung von Verantwortlichkeiten und Kontrollfunktionen.

Mit Automatisierung zum Erfolg

Um steigende Sicherheitsanforderungen und wachsende digitale Bedrohungen zu meistern, gibt es natürlich auch auf technischer Ebene viel zu beachten. Die enorme Menge an Aufgaben, die bei der Absicherung einer komplexen IT-Umgebung anfällt, lässt sich dabei bei bestem Willen nicht durch manuellen Einsatz bewältigen. Das hat mehrere Gründe: Zum einen sind die personellen Ressourcen in Kliniken begrenzt. Zum anderen sind Fachkräfte im IT-Bereich nach wie vor schwer zu finden. Zuletzt bringen händische Anpassungen immer das Risiko von Fehlern mit sich, die zu Sicherheitslücken führen können.

Der einzig effiziente Weg zur Erfüllung der Schutzziele liegt im Einsatz automatisierter Anwendungen, die standardisierbare Prozesse zuverlässig abwickeln und gleichzeitig Arbeitszeit sparen. Im Kriterienkatalog des B3S finden sich viele Aufgabenfelder, die durch eine entsprechende Lösung abgedeckt werden können: Die Kontrolle von Endgeräten, das Einspielen von Sicherheitsupdates, das Anlegen von Daten-Backups, die Überwachung des Netzwerkverkehrs und so fort.

Adäquates Identitäts- und Rechtemanagement

Auch die im B3S enthaltene Forderung nach einem adäquaten Identitäts- und Rechtemanagement lässt sich am sinnvollsten mit einer automatisierten Identity und Access Management Plattform wie Tenfold erfüllen. Die Verwaltung von Benutzerkonten und Zugriffsrechten bietet nicht nur enormes Potential für die Entlastung von IT-Fachkräften, sondern trägt durch die Steuerung und Dokumentation von Dateizugriffen in doppelter Hinsicht zur Compliance bei. IAM-Systeme versetzen Organisationen in die Lage, den Zugang zu digitalen Ressourcen effektiv zu steuern und jederzeit nachzuvollziehen. Das macht sie zur Grundlage für die sichere Verwaltung von IT-Systemen.