Cybersicherheit ist auch und gerade in Krankenhäusern ein Prozess-Enabler, eine notwendige Bedingung für die Digitalisierung.
Hans-Wilhelm Dünn, Präsident Cybersicherheitsrat e.V.
Mit dem Anfang 2021 in Kraft getretenen Krankenhauszukunftsgesetz (KHZG) werden Kliniken nun per Gesetz dazu angehalten, die Patienten- und Gesundheitsversorgung weiter zu verbessern, indem sie in Digitalisierung und moderne technische Ausstattung investieren. So erhofft man sich, dass die Digitalisierungsambitionen einen neuen Anschub erhalten und die IT-Infrastrukturen verbessern.
Die Grundlage für die Digitalisierung in Krankenhäusern bildet dabei IT-Sicherheit und das nicht erst seit den Vorkommnissen am Uniklinikum Düsseldorf im Oktober 2020. Angriffe auf Krankenhäuser finden immer öfter und vor allen zielgerichteter mit Hilfe von Ransomware-Attacken statt – entsprechend brauchen Klinik- und Patientendaten einen besonderen Schutz. Dies ist auch dem Bund bewusst und schreibt daher vor, dass mind. 15% der gewährten Fördermittel für Maßnahmen der Verbesserung der Informationssicherheit zu verwenden sind (§14a KHZG). Entsprechend sind die förderfähigen Vorgaben wie folgt konkretisiert:
"…die Beschaffung, Errichtung, Erweiterung oder Entwicklung informationstechnischer oder kommunikationstechnischer Anlagen, Systeme oder Verfahren, um die nach dem Stand der Technik angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, der Integrität und der Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse des Krankenhausträgers zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind…"
Somit müssen die beabsichtigten Vorhaben die Fähigkeiten bzw. den Reifegrad der Prävention, der Detektion, der Mitigation oder Awareness verbessern.
Prävention – u.a. Netzwerkverzonung, Next Generation Firewalls, Authentisierungs-systeme, Virtualisierung/Sandbox-Systeme, Schnittstellenkontrolle, Intrusion Prevention Systeme, Network Access Control (NAC), Schwachstellenscanner/-management, Softwareversionsmanagement, Datenschleusen, Datendioden, VPN-Systeme, verschlüsselte Datenübertragung und verschlüsselte mobile Datenträger.
Detektion – u.a. Log-Managementsysteme, Security Information Event Managementsysteme (SIEM), Intrusion Detection Systeme und Schadsoftwareschutz mit zentraler Steuerung.
Mitigation (Entschärfung) – u.a. technische / organisatorische Vorbereitungs-maßnahmen für forensische Analyse (Forensic Readiness), automatisierte Backup-Systeme, lokaler Schadsoftwareschutz mit zentraler Steuerung.
Awareness – u.a. regelmäßige Risikoanalysen, Schulungsmaßnahmen, Informationskampagnen und Awareness-Messungen.
Des Weiteren können förderfähige Vorhaben Cloud- und KI-gestützte Verfahren zur Erkennung von Angriffen als Gegenstand haben. Voraussetzung zur Förderung ist, dass die anvisierten IT-Sicherheitsvorhaben zum einen den aktuellen Stand der Technik durchgehend berücksichtigen und zum anderen datenschutzrechtliche Vorschriften eingehalten werden.
Nur mit diesen Vorgaben und Anforderungen kann die Patientensicherheit und Behandlungseffektivität sowie die Funktionsfähigkeit des Krankenhauses aufrechterhalten und geschützt werden.
Gerne unterstützen wir Sie auf diesem Weg dorthin, denn wir sind der Meinung ohne sichere IT ist ein stabiler und funktionierender Krankenhaus-Betrieb nicht möglich. Als zertifizierter IT-Dienstleister, sind unsere Mitarbeiter nach §21 Absatz 5 Satz 1 Krankenhausstrukturfonds-Verordnung (KHSFV) geschult und berechtigt, Projekte im Rahmen des Krankenhausstrukturfonds zu entwickeln und umzusetzen.
