:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ff/9dff84602c080667463a4ae512a5a2c8/0117819685.jpeg "Auf YouTube ist aktuell teilweise Malware in Kanälen verlinkt. (Bild: donald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/a6/3da608aeebe82e525855b876087b22bd/0116955923.jpeg "Project Zero ist ein Google-Team von Sicherheitsexperten, das auf der Suche ist, nach Zero-Day-Schwachstellen in Hard- und Software. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/7c/a1/7ca14d1b6af110e07322079d0d397822/0117819089.jpeg "Cisco sieht in seinem Cybersecurity Index 2024 Probleme bei der Absicherung von Unternehmen gegen Cyberangriffe. (Bild: jamdesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/ce/9bce866e740ead36b11cb93c75805eab/0116906510.jpeg "Capterra hat neue Studiendaten über den Einsatz von KI zum Schutz vor Bedrohungen eingeholt. (Bild: © – Parradee – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/ec/feec78c1b226b2d6e748f084bd33415d/0117794073.jpeg "KI sollte als leistungsstarkes Werkzeug für Unternehmen betrachtet werden. CISOs sollten in die Pflicht genommen werden, für ihre sichere und ethische Implementierung Sorge zu tragen. (Bild: Song_about_summer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c0/f9c05b73288eaa4973543291c21ed791/0117677101.jpeg "GenAI wird oft als zweischneidiges Schwert gesehen: Einerseits verhilft sie den Cyberkriminellen zu ausgefeilteren Attacken, andererseits unterstützt sie auch deren Abwehr. (Bild: KI-generiert / Midjourney)")
:quality(80)/p7i.vogel.de/wcms/55/50/5550322f8e33c419b8d0047a36aac57f/0116740619.jpeg "Bei diesem USB-Stick wurde die Beschriftung des NAND-Chips entfernt. (Bild: CBL Datenrettung)")
:quality(80)/p7i.vogel.de/wcms/84/ad/84adf462875a3e0f4e6b346612d35987/0117748218.jpeg "Microsoft bietet bald erweiterten Support für Windows 10 an, lässt sich das aber fürstlich bezahlen. (Bild: Dmitry Lobanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/ad/d9adcb87007473334c6951626b7cef60/0117562724.jpeg "Cyber-Bedrohungen entwickeln sich permanent weiter, weshalb Unternehmen beim Einsatz von SaaS-Anwendungen spezielle Sicherheitsstrategien anwenden müssen, um diese Risiken zu mindern. (Bild: lee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/2f/a12f9615db0fcc73a1cc52c499add940/0117729006.jpeg "Durch das jüngste Update zählt Wind River Studio Developer nunmehr fünf Module, die unabhängig voneinander bereitgestellt werden können. (Bild: Wind River)")
:quality(80)/p7i.vogel.de/wcms/f5/c7/f5c71ded4332e09cfacab657b1cc8510/0117818281.jpeg "Derzeit gibt es verschiedene Schwachstellen in IBM Db2, einige davon sind als „kritisch“ eingestuft. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/ec/aeecd35745832b76170bef9cbd2bb41d/0117259649.jpeg "Parallels Browser Isolation bietet Echtzeiteinblicke in die Aktivitäten von Benutzern. (Bild: Alludo)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/04/4c04eddbad878ef9eb3ef187a961d82c/0117769262.jpeg "Je höher man die Hürde legt, desto schwieriger wird der Identitätsdiebstahl. (Bild: elenabsl - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/d2/42d2340c11ba5870c63458558fd56729/0117617546.jpeg "Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/7c/5b7cc73fcce5877b0eb10a8cfb93be04/0116932976.jpeg "Der Autor: Ralf Krämer ist Senior Account Manager bei Precisely (Bild: Precisely)")
:quality(80)/p7i.vogel.de/wcms/5c/8a/5c8aa54f3fbf7329e961999c89e9b9d9/0117821508.jpeg "Der europäische Datenschutzbeauftragte (EDSB) kritisiert die EU-Kommission und Microsoft für unzureichende Transparenz bei Microsoft 365. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/34/703474a9a6a782828337fcede58ab2eb/0117480451.jpeg "Google Cloud bietet ab sofort das Security Command Center Enterprise (SCC) an. (Bild: Google Cloud)")
:quality(80)/p7i.vogel.de/wcms/44/66/446693e667237b7ae6352a9d7dc55d6e/0116955905.jpeg "Die Zero Day Initiative (ZDI) ist das weltweit größtes, herstellerunabhängig agierendes Bug-Bounty-Programm mit dem Ziel des Ankaufs und der verantwortungsbewusste Offenlegung von Zero-Day-Schwachstellen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/c8/67c822d9f2b8f66027e4f1ff8e7549ef/0116955915.jpeg "Die Work Recovery Time (WRT) ist eine wichtige Kenngröße eines Disaster-Recovery-Plans
und beschreibt die maximal tolerierbare Arbeitswiederherstellungszeit.
(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz im Krankenhaus Das Krankenhaus ist eine Daten-Goldgrube
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Seit dem 01. Januar 2022 fordert das Bundesgesundheitsministerium mit dem Patientendaten-Schutz-Gesetz (PDSG) mehr Informationssicherheit in Krankenhäusern – doch was bedeutet das konkret?
Krankenhäuser und Kliniken verwenden zunehmend Computer-Systeme, die automatisch kommunizieren. Außerdem unterstützen Geräte, die über das Internet der Dinge (IoT) vernetzt sind, die Ärzte und das Pflegepersonal bei allen Tätigkeiten. Letzteres beginnt bei der Aufnahme von Patienten, geht über die Behandlung, bis hin zur Dokumentation und Verwaltung. Im Zuge dessen sammeln sich in Krankenhäusern große Mengen an personenbezogenen Daten, die oftmals über verschiedene Systeme und auf unterschiedlichen Medien verteilt sind – eine Goldgrube für Cyberkriminelle. Darum geraten Gesundheitseinrichtungen häufiger in das Fadenkreuz von Hackern und Datendiebstählen. Besonders die kleinen Kliniken mit wenig Fachpersonal wähnen sich machtlos gegen diese Bedrohung. Wie schützt man aber am besten solche Mengen sensibler Informationen?
Gesetzgeber verschärft die Nachweispflicht
Seit dem ersten Januar 2022 fordert der Gesetzgeber aus diesem Grund ein höheres Maß an Informationssicherheit. Zu diesem Zweck soll die Nachweispflicht in dieser Sache künftig schärfer durch das Patientendaten-Schutz-Gesetz (PDSG) geregelt werden, insbes. auf Basis des neu geschaffenen §75c SGB V. Die Reglung beginnt – ähnlich wie die ISO Norm 27001 für Informationssicherheitsmanagement – bereits auf der organisatorischen- und Prozess-Ebene. Der geforderte Schutz der unterschiedlichen Systeme und der damit verbundenen Informationen richtet sich dabei immer nach der jeweiligen Bewertung des Risikos. Zudem ist es seit diesem Jahr Pflicht, die jeweiligen Systeme und die damit einhergehenden Sicherheitsmaßnahmen alle zwei Jahre erneut zu prüfen und zu evaluieren, ob das geforderte Niveau an Schutz nach wie vor vorhanden ist.
Nachweis der Informationssicherheit
Neben dem im Gesetz explizit erwähnten branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus ist einer der Standards, an welchem sich Krankenhäuser und Kliniken künftig orientieren können, die altbewährte ISO 27001. Sie spiegelt die wichtigsten Punkte der Informationssicherheit wider und dient als Leitfaden, um ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) zu implementieren. Dabei handelt es sich um ein Rahmenwerk an Regelungen, Maßnahmen und Programmen, die innerhalb eines Unternehmens umgesetzt werden sollen. Wichtig ist, dass dabei aber mehr als nur die angewandte Technologie und die digitale Infrastruktur eines Unternehmens betrachtet wird. Ein ISMS setzt, wie vom PDSG gefordert, auf der Prozess-Ebene an, um sein Ziel der Informationssicherheit zu erreichen. Dabei werden selbstverständlich auch die eingesetzten Technologien, Zugriffsrechte und Datenströme betrachtet – allerdings sind nicht alle schützenswerten Informationen eines Unternehmens bereits digital verfügbar. Besonders in kleineren Krankenhäusern und Kliniken sind viele der Daten und Informationen noch analog gespeichert – und müssen dennoch gleichwertig geschützt werden. Der Schlüssel zu umfassender Informationssicherheit ist daher nicht nur das ISMS, sondern eine ganzheitliche Betrachtung der Organisation und der Informations-Ablage, sei es nun digital oder analog. Hinzu kommt eine entsprechende Bewertung des jeweiligen Risikos. Ist dieses bestimmt, kann auf Basis dessen die erforderliche Schutzmaßnahme bestimmt und in das ISMS integriert werden.
Umsichtiger Fortschritt wegen regelmäßiger Kontrollen
Sowohl die Köpfe hinter dem PDSG als auch die hinter der ISO 27001 wissen: Umfassender Schutz für Informationen und Systeme kann nur dann gegeben sein, wenn die einhergehenden Bewertungen und Anforderungen regelmäßig auf ihre Aktualität hin geprüft werden. Das gilt freilich besonders im Zusammenhang mit der Digitalisierung. Die Verlagerung analoger Patientendaten in ein neues, digitales Umfeld erfordert selbstverständlich eine Adaptierung der Regeln des ISMS für den Umgang mit den entsprechenden Informationen. Daher sind regelmäßige Prüfungen oder sogar Zertifizierungen der gesamten Informationssicherheit unumgänglich.
Zusammenfassend lässt sich sagen: Die Digitalisierung bietet Krankenhäusern und Kliniken gute Möglichkeiten, um mit neuen Technologien und Infrastrukturen die Abläufe zu automatisieren sowie die Behandlung und Überwachung von Patienten zu vereinfachen – und zu verbessern. Das PDSG hat dabei das Ziel, Einrichtungen voll von diesen Vorteilen profitieren zu lassen, ohne neue Einfallstore für Kriminelle zu öffnen, die es auf personenbezogene Daten abgesehen haben. Der beste Weg, um eine Symbiose aus Sicherheit und Vorteilen zu erzielen, ist letzten Endes die Einführung eines ISMS, welches an den Anforderungen der ISO-Reihe 27000 ausgerichtet ist und das im Alltag der Krankenhausorganisation auch tatsächlich gelebt wird. Dadurch bleiben die Informationen in den Händen derer, denen die Patienten in Krankenhäusern und Kliniken anvertraut sind: in denen des Fachpersonals.
Über den Autor: Alexander Häußler ist Product Compliance Manager ISO/IEC 27001 beim TÜV SÜD Management Service.
(ID:48041890)
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")