Page 12 - dmea22
P. 12

DMEA 2022



           Keine Digitalisierung ohne Informationssicherheit
           Die Initiativen zur Digitalisierung des Gesundheitswesens  lassen auch die Informationssicherheit nicht außer Acht.  Die Fördermit-
           tel des KHZG sind auch für Maßnahmen der  Informationssicherheit vorgesehen. Die Krankenhaus-  strukturfonds-Verordnung
           (KHSFV) schreibt vor, dass  mindestens 15 Prozent der beantragten Fördermittel zur  Verbesserung der Informationssicherheit
           genutzt werden.
              Für Krankenhäuser mit mehr als 30.000 vollstationären  Patienten pro Jahr greift darüber hinaus schon seit Jahren  das BSI-Gesetz.
           Solche Krankenhäuser gelten als KRITIS.  Sie müssen nachweisen, dass ihre Absicherung dem Stand  der Technik entspricht, also dass
           sie den B3S umsetzen,  und das durch „Sicherheitsaudits, Prüfungen oder  Zertifizierungen“ belegen.
              Mit Inkrafttreten des Patientendaten-Schutz-Gesetzes  (PDSG) hat sich diese Ausnahmestellung der großen  Krankenhäuser in
           puncto IT-Sicherheit geändert. Laut § 75c SGB V sind ab dem 1. Januar 2022 nicht mehr nur  KRITIS-Häuser, sondern alle Kran-
           kenhäuser in Deutschland  dazu verpflichtet, „angemessene organisatorische und  technische Vorkehrungen zur Vermeidung von Stö-
           rungen  der Verfügbarkeit, Integrität und Vertraulichkeit sowie der  weiteren Sicherheitsziele ihrer informationstechnischen  Systeme,
           Komponenten oder Prozesse zu treffen […]“. Dieser Verpflichtung können Krankenhäuser mit der  Umsetzung der Anforderungen des
           B3S ausreichend  nachkommen. Die Gesetzesänderung trägt der stärkeren  digitalen Durchdringung zentraler Prozesse in Kranken-
           häusern aller Größe Rechnung und macht den B3S zum  de-facto-Standard für jedes Krankenhaus.







           Handlungsfelder als Startpunkte                  Durchlauf lernen Sie neue reale  Schwachstellen kennen, die

           Die Erhöhung der Cybersicherheit entlang des B3S und   geschlossen werden müssen.  Verbunden werden kann das mit
           die  Anpassung der damit verbundenen Managementsysteme  sind   Phishing und Awareness  Kampagnen, um die Wachsamkeit des
           für Krankenhäuser wichtige Schritte, um Cyberrisiken  zu ver-  Personals  aufrechtzuerhalten.
           ringern und die Sicherheit der Patient:innen zu  gewährleisten.
           Wenn die Vielfalt der nötigen Maßnahmen  noch unüberschaubar   Patch-Management professionalisieren
           ist, haben sich in der Praxis folgende  Handlungsfelder für Kran-  Aktualisierungen und Sicherheitsupdates von Software  müssen
           kenhausverantwortliche als sinnvolle Startpunkte bewährt.  unverzüglich identifiziert und möglichst schnell  eingespielt wer-
                                                            den können. Veraltete Software ist ein  wesentlicher Grund dafür,
           Status quo der Cybersicherheit  analysieren      dass so viele Angriffe erfolgreich  sind. Vom Bekanntwerden
           und Umsetzung planen                             einer Schwachstelle bis zur  ersten Ausnutzung durch Angreifer

           Machen Sie den Ist- und Sollzustand transparent anhand  eines   vergehen keine
           passenden Standards, z. B. B3S, und leiten Sie  daraus eine kon-  24 Stunden. Wenn die Schwachstellen bekannt sind,
           sequente Umsetzungsplanung ab, die aus Managementsicht auch   bevor  der Hersteller davor warnt und Patches zur Verfügung
           steuerbar ist. So lässt sich ein  klarer Fahrplan für weitere Maß-  stellt,  dann spielt die Zeit noch unfairer gegen Krankenhausver-
           nahmen entwickeln.                               antwortliche.

           Risiken modellieren und verstehen                Den Ernstfall vorbereiten
           Schaffen Sie ein Risikobewusstsein für Ihre digitale  Infrastruktur,   Je schneller und effektiver die Reaktion auf einen Cyber-  angriff
           Ihre Prozesse und die Bedrohungslage.  Überprüfen Sie die Lage   ausfällt, desto höher ist die Chance, den Schaden  zu begrenzen.
           und Veränderungen mindestens alle  drei Monate. Schließen Sie   Bauen Sie BCM und Incident-Response-  Fähigkeiten in Ihrer
           sich gegebenenfalls mit weiteren  Krankenhäusern zusammen,   Organisation auf. Dazu gehören Back-  up-Konzepte für Daten
           um gemeinsam von Cyber-  security Vorfällen zu lernen und Risi-  und Systeme genauso wie Notfall-  pläne für IT-Personal und
           ken besser zu verstehen.                         Management sowie regelmäßige  Trainings und Simulationen
                                                            von Cybervorfällen.
           Regelmäßige Penetrationstests ansetzen

           Führen Sie regelmäßig Penetrationstests durch, bei   denen   Quelle: Digitalisierung im Krankenhaus?  Aber sicher!  Wie Informationssicherheit
           Cyberexpert:innen versuchen, in Ihre Systeme  einzudringen.   im Krankenhaus umgesetzt  werden kann und warum Abwarten keine gute Idee ist,
           Wir empfehlen, sämtliche aus dem Internet erreichbaren Systeme   Whitepaper, Januar 2022 PricewaterhouseCoopers GmbH Wirtschaftsprüfungs-
           mehrmals jährlich Penetrationstests  zu unterziehen. Bei jedem   gesellschaft.







                                                                                 DMEA Premium Messejournal 2022
       12
   7   8   9   10   11   12   13   14   15   16   17