Page 54 - IT-S-SPECIAL_KKH_2022_1
P. 54
– ADVERTORIAL –
i
t
n
r
he
r
a
K
i
m
f
s
on
s
he
ic
m
or
a
i
t
n
n
e
-
k
Informationssicherheit im Kranken-
I
a
nt
-
t
u
as
haus – das Patientendaten-Schutz-
P
ha
s
–
d
i
n
-
t
e
c
h
S
u
nd
a
e
e
t
z
Gesetz und der § 75c SGB V
G e s e t z u n d d e r § 75 c S G B V iStock.com/ipopba
Alle Krankenhäuser sind jetzt zu Sicherheitsmaßnahmen verpflichtet
Die Digitalisierung schreitet mit großen Schritten voran. Das bringt neben Vorteilen, wie
effizientere und damit kostengünstigere Prozesse sowie eine bessere Verfügbarkeit von
Daten, Risiken mit sich. In Krankenhäusern beispielsweise wird mit hochsensiblen Daten
gearbeitet, die auf keinen Fall in falsche Hände fallen sollten. Gleichzeitig kann ein Ausfall
der IT die Gesundheit oder sogar das Leben von Patienten gefährden. Sowohl Daten
missbrauch als auch Cyberangriffe können somit gravierende Folgen haben.
ür ITBerater Dr. Ralf Kollmann von der FIDES ist es deshalb es um die Schutzbedürftigkeit dieser Assets? Dabei sind die Identifizie
wenig verwunderlich, dass der Gesetzgeber die Informations rung und Festlegung maximal tolerierbarer Ausfallzeiten der ITSyste
Fsicherheit in Krankenhäusern forciert. Das Patientendaten me wichtig. Das heißt, es muss geklärt werden, wie lange man auf ein
SchutzGesetz und speziell der dadurch neu eingeführte § 75c SGB V stellen System verzichten kann, bevor der Ausfall zu einem Problem wird.
in diesem Zusammenhang neue Anforderungen. Anders als die Anforde
rungen gemäß § 8a BSIGesetz, die sich an Betreiber kritischer Infrastruk 2. Bestandsaufnahme der bisher getroffenen Maßnahmen
turen und damit auch an entsprechend eingestufte große Krankenhäuser
richten, wirken sich die neuen Regelungen auf alle Krankenhäuser aus. 3. Maßnahmenplan sukzessive umgesetzt
Das Patientendaten-Schutz-Gesetz (PDSG) verfolgt zwei zentrale Ziele: Es 4. Regelmäßige Überprüfungen und Optimierungen wie beim PDCA
soll die Digitalisierung im deutschen Gesundheitswesen vorantreiben und Zyklus der ISO 27001 sind Pflicht
den Schutz vertraulicher Daten verbessern. Zum Beispiel regelt es Rahmen-
bedingungen zur Einführung und zum Betrieb einer elektronischen Patien- Informationssicherheit erfordert Know-how
tenakte, digitaler Überweisungen und elektronischer Rezepte. Viele kleinere Kliniken müssen als Folge des PatientendatenSchutzGe
setzes ihre ITInfrastruktur zumindest teilweise erneuern und benötigen
Der branchenspezifische Sicherheitsstandard dafür das erforderliche Wissen und einen guten Plan. Laut Dr. Kollmann
B3S ist für Krankenhäuser ein zentraler Orientie- ist es zumeist sinnvoll, im ersten Schritt eine Schulung zu den Inhalten
rungsrahmen des Sicherheitsstandards B3S zu besuchen, um sich einen Überblick über
Um die Anforderungen des § 75c SGB V umzusetzen, orientieren sich Kli die bestehenden Anforderungen zu verschaffen und so
niken am besten an dem branchenspezifischen Sicherheitsstandard B3S. mit besser einschätzen zu können, welche Maßnah
Diese Umsetzungsoption wird im Gesetz ausdrücklich genannt. Andere men erforderlich sind: „Oft wird dieser erste Schritt
Ausgestaltungen wären zwar möglich, jedoch müssten Verantwortliche unnötig hinausgezögert, weil der Aufwand für die
im Zweifelsfall begründen, warum sie vom B3S abweichen. Dabei ist die Umsetzung abschreckend wirkt. Dabei gibt es in
zentrale Frage für Dr. Kollmann nicht ob, sondern „in welchem Umfang den meisten Fällen keine Alternative – die Aufgabe
ein Krankenhaus die Implementierung betreibt“. muss zeitnah angepackt werden.“ n
In diesem Zusammenhang und aufgrund wachsender Risiken durch Da
tenschutzpannen und Hackerangriffe wird auch ein Informationssicher
heitsManagementsystem (ISMS) unverzichtbar für Krankenhäuser.
Umsetzung von Cybersicherheit in vier Schritten
1. Schutzbedarfsanalyse. Zentrale Fragen dabei sind: Welche Systeme
und Prozesse gibt es und wo liegen vertrauliche Daten vor? Wie steht
54 SPECIAL_1/2022 IT-SICHERHEIT IM KRANKENHAUS
