Whitepaper Digitalisierung im Krankenhaus / Cyber Security im Krankenhaus: Dynamische Bedrohungslage und neue gesetzliche Anforderungen erhöhen Handlungsdruck
Whitepaper "Digitalisierung im Krankenhaus? Aber sicher!" / Cyber Security im Krankenhaus: Dynamische Bedrohungslage und neue gesetzliche Anforderungen erhöhen Handlungsdruck (PricewaterhouseCoopers).
Ab Januar 2022 gelten gesetzlich verschärfte Sicherheitsanforderungen auch für Nicht-KRITIS Krankenhäuser / Bei unzureichender Absicherung drohen rechtliche Konsequenzen / Bedrohungsszenarien unterliegen einem ständigen Wandel und bringen dauerhafte Risiken mit sich, die gemanagt werden müssen Krankenhäuser jeder Größe sind als lukrative
Ziele längst in das Fadenkreuz von Cyberkriminellen geraten. Erfolgreiche Angriffe verursachen hohe Schäden und gefährden das Wohl der Patient:innen. Der Gesetzgeber hat die Gefahren erkannt
und weitreichende Pflichten zur Absicherung der IT-Systeme und Infrastrukturen
erlassen. Seit Anfang des Jahres greifen neue Vorgaben auch für kleine Häuser.
Das PwC-Whitepaper „Digitalisierung im Krankenhaus? Aber sicher!“ nimmt
ausgehend von dem gesetzlichen Rahmen für die digitale Transformation im
Krankenhaus die relevanten Sicherheitsanforderungen in den Blick. Es analysiert
die aktuelle Bedrohungslage sowie Folgen unzureichender IT-Sicherheit und
skizziert einen Weg, wie Krankenhäuser angemessene organisatorische und
technische Vorkehrungen treffen können.
„Cybersicherheit ist das Fundament für eine erfolgreiche Digitalisierung des
Gesundheitswesens. Die verschärften Anforderungen an Krankenhäuser erfordern
eine kontrollierte Umsetzung der nötigen Maßnahmen. IT-Sicherheit wird dadurch
noch stärker zu einer zentralen Management-Aufgabe.“
Michael Burkhart, Leiter Gesundheitswirtschaft bei PwC Deutschland
Neue Pflichten für Nicht-KRITIS Häuser
Für Krankenhäuser mit mehr als 30.000 vollstationären Patient:innen pro Jahr
greifen schon seit Jahren hohe Sicherheitsanforderungen. Sie sind als kritische
Infrastrukturen (KRITIS) eingestuft und müssen laut dem BSI-Gesetz (BSIG)
regelmäßig nachweisen, dass ihre Absicherung dem Stand der Technik entspricht.
Laut § 75c SGB V sind ab dem 1. Januar 2022 nun grundsätzlich alle
Krankenhäuser dazu verpflichtet, angemessene Vorkehrungen zu treffen –
unabhängig von ihrer Größe.
Die Referenz für die organisatorischen und technischen Maßnahmen bildet der
Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im
Krankenhaus. Er wurde von der Deutschen Krankenhausgesellschaft (DKG) in
Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI)
entwickelt, um die kritische Dienstleistung eines Krankenhauses abzusichern.
Insgesamt enthält der Standard ca. 200 Anforderungen und Empfehlungen für
Maßnahmen. Dazu gehören die Einführung eines Informationssicherheitssystems
(ISMS) und eines Business Continuity Systems (BCM) sowie ein aktives Management
von Risiken rund um den Ausfall digitaler Systeme.
Rechtliche Folgen bei Nichteinhaltung der Vorgaben
„Die strengeren Vorgaben sind eine gute Nachricht für die Patientensicherheit.
Sie erhöhen für Krankenhäuser aber auch den Druck, das etablierte
Versorgungsniveau bei IT-Ausfällen aufrechtzuerhalten. Um rechtliche Risiken zu
reduzieren, ist eine transparente Umsetzungspraxis der Schlüssel. Dabei helfen
zum Beispiel strukturierte Planungen und Reifegradmodelle. Sie machen
transparent, wie es wirklich um die Sicherheit des Hauses steht.“
Dr. Benedict Gross, Senior Manager bei PwC Deutschland und Experte für Business
Continuity und Krisenmanagement
Wenn die IT-Sicherheitsanforderungen nicht eingehalten werden, drohen nicht nur
Einschränkungen des Krankenhausbetriebs und die Gefährdung von Patient:innen.
Den Verantwortlichen stehen eine Reihe rechtlicher Konsequenzen bevor. Sie
reichen von vertragsärztlichen Folgen und Schadensersatzforderungen über
Bußgelder und die Rückforderung von Fördergeldern bis hin zu strafrechtlichen
Konsequenzen.
Dynamische Bedrohungslage sorgt für anhaltende Risiken
„Cyberkriminelle agieren in einer zunehmend ausdifferenzierten
Untergrund-Ökonomie. Sie sind kreativ und passen ihr Vorgehen schnell an. Die
Bedrohung ist von Dauer – in ständig neuen Facetten. Deshalb ist
Cybersicherheit heute im Krankenhaus so wichtig wie die Hygiene.“
Jörg Asma, Partner im Bereich Cyber Security bei PwC Deutschland und Experte
für die Digitalisierung von Krankenhäusern
Aktuell floriert zum Beispiel das Geschäft mit der Cyber-Erpressung durch
Ransomware. Die Angreifer verschaffen sich dabei Zugang zu den Systemen einer
Organisation und legen sie mit einer Verschlüsselung lahm. Anschließend
verlangen sie ein Lösegeld in Millionenhöhe, um die Systeme zu entschlüsseln.
Zusätzlich drohen sie damit, zuvor entwendete Daten zu veröffentlichen.
Krankenhäuser sind für diese Masche lohnende Angriffsziele aufgrund des hohen
Werts von sensiblen Patientendaten und des großen Drucks für die
Wiederherstellung bei einem Ausfall.
Um die Sicherheit in Krankenhäusern nachhaltig zu erhöhen, empfehlen die
Expert:innen von PwC ein mehrstufiges Vorgehen. Einerseits geht es darum, den
Status-quo zu den B3S-Anforderungen zu erheben, den Reifegrad zu definieren,
Steuergrößen zu erstellen und eine konsequente Umsetzung zu planen.
Andererseits sollten weitere Best-Practice-Maßnahmen der IT-Sicherheit den
Umsetzungsprozess flankieren. Dazu gehören regelmäßig angesetzte
Penetrationstests, ein professionalisiertes Patch-Management, um bekannt
gewordene Sicherheitslücken schnell zu schließen und eine Vorbereitung der
Organisation auf den Ernstfall.
Quelle: PricewaterhouseCoopers, 19.01.2022
