IT-Sicherheit im Krankenhaus

Große Krankenhäuser unterliegen den KRITIS-­Regeln für IT-Sicherheit. Ab Ende 2021 benötigen aber auch kleinere Häuser ein umfassendes Sicherheitskonzept.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen
Lesezeit: 14 Min.
Von
  • Dr. Christina Czeschik
Inhaltsverzeichnis

Die gesetzlichen Regelungen zur IT-Sicherheit in Krankenhäusern betrafen zunächst nur Kliniken, die zu den kritischen Infrastrukturen (KRITIS) gehörten, also all jene, die mindestens 30000 stationäre Patienten im Jahr behandeln. Inzwischen gibt es aber auch Vorgaben, die von Betreibern kleinerer Häuser umgesetzt werden müssen – Fördermittel stehen bereit.

Das erste IT-Sicherheitsgesetz von 2015 berücksichtigt – anders als es der Name vermuten lässt – ausschließlich die IT-Sicherheit in kritischen Infrastrukturen. Es verpflichtet Betreiber dieser Einrichtungen, dem Stand der Technik der IT-Sicherheit zu entsprechen. Diesen Nachweis können sie erbringen, indem sie ein Informationssicherheitsmanagementsystem (ISMS), beispielsweise nach ISO 27001, einführen und zertifizieren lassen. Branchenneutrale ISMS nach ISO-Norm sind allerdings berüchtigt dafür, dass dieser Prozess sehr aufwendig ist.

Das BSI-Gesetz sieht daher ausdrücklich vor, dass branchenspezifische Sicherheitsstandards (B3S) geschaffen werden können. Wenn KRITIS-Betreiber deren Einhaltung nachweisen, genügt das, um dem Stand der Technik im Bereich IT-Sicherheit zu entsprechen. Im KRITIS-Sektor Gesundheit gehören Krankenhäuser zur Subbranche der medizinischen Versorgung. Sie haben einen eigenen B3S, der unter der Federführung der Deutschen Krankenhausgesellschaft (DKG) entwickelt wurde.