Page 12 - dmea22
P. 12
DMEA 2022
Keine Digitalisierung ohne Informationssicherheit
Die Initiativen zur Digitalisierung des Gesundheitswesens lassen auch die Informationssicherheit nicht außer Acht. Die Fördermit-
tel des KHZG sind auch für Maßnahmen der Informationssicherheit vorgesehen. Die Krankenhaus- strukturfonds-Verordnung
(KHSFV) schreibt vor, dass mindestens 15 Prozent der beantragten Fördermittel zur Verbesserung der Informationssicherheit
genutzt werden.
Für Krankenhäuser mit mehr als 30.000 vollstationären Patienten pro Jahr greift darüber hinaus schon seit Jahren das BSI-Gesetz.
Solche Krankenhäuser gelten als KRITIS. Sie müssen nachweisen, dass ihre Absicherung dem Stand der Technik entspricht, also dass
sie den B3S umsetzen, und das durch „Sicherheitsaudits, Prüfungen oder Zertifizierungen“ belegen.
Mit Inkrafttreten des Patientendaten-Schutz-Gesetzes (PDSG) hat sich diese Ausnahmestellung der großen Krankenhäuser in
puncto IT-Sicherheit geändert. Laut § 75c SGB V sind ab dem 1. Januar 2022 nicht mehr nur KRITIS-Häuser, sondern alle Kran-
kenhäuser in Deutschland dazu verpflichtet, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Stö-
rungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme,
Komponenten oder Prozesse zu treffen […]“. Dieser Verpflichtung können Krankenhäuser mit der Umsetzung der Anforderungen des
B3S ausreichend nachkommen. Die Gesetzesänderung trägt der stärkeren digitalen Durchdringung zentraler Prozesse in Kranken-
häusern aller Größe Rechnung und macht den B3S zum de-facto-Standard für jedes Krankenhaus.
Handlungsfelder als Startpunkte Durchlauf lernen Sie neue reale Schwachstellen kennen, die
Die Erhöhung der Cybersicherheit entlang des B3S und geschlossen werden müssen. Verbunden werden kann das mit
die Anpassung der damit verbundenen Managementsysteme sind Phishing und Awareness Kampagnen, um die Wachsamkeit des
für Krankenhäuser wichtige Schritte, um Cyberrisiken zu ver- Personals aufrechtzuerhalten.
ringern und die Sicherheit der Patient:innen zu gewährleisten.
Wenn die Vielfalt der nötigen Maßnahmen noch unüberschaubar Patch-Management professionalisieren
ist, haben sich in der Praxis folgende Handlungsfelder für Kran- Aktualisierungen und Sicherheitsupdates von Software müssen
kenhausverantwortliche als sinnvolle Startpunkte bewährt. unverzüglich identifiziert und möglichst schnell eingespielt wer-
den können. Veraltete Software ist ein wesentlicher Grund dafür,
Status quo der Cybersicherheit analysieren dass so viele Angriffe erfolgreich sind. Vom Bekanntwerden
und Umsetzung planen einer Schwachstelle bis zur ersten Ausnutzung durch Angreifer
Machen Sie den Ist- und Sollzustand transparent anhand eines vergehen keine
passenden Standards, z. B. B3S, und leiten Sie daraus eine kon- 24 Stunden. Wenn die Schwachstellen bekannt sind,
sequente Umsetzungsplanung ab, die aus Managementsicht auch bevor der Hersteller davor warnt und Patches zur Verfügung
steuerbar ist. So lässt sich ein klarer Fahrplan für weitere Maß- stellt, dann spielt die Zeit noch unfairer gegen Krankenhausver-
nahmen entwickeln. antwortliche.
Risiken modellieren und verstehen Den Ernstfall vorbereiten
Schaffen Sie ein Risikobewusstsein für Ihre digitale Infrastruktur, Je schneller und effektiver die Reaktion auf einen Cyber- angriff
Ihre Prozesse und die Bedrohungslage. Überprüfen Sie die Lage ausfällt, desto höher ist die Chance, den Schaden zu begrenzen.
und Veränderungen mindestens alle drei Monate. Schließen Sie Bauen Sie BCM und Incident-Response- Fähigkeiten in Ihrer
sich gegebenenfalls mit weiteren Krankenhäusern zusammen, Organisation auf. Dazu gehören Back- up-Konzepte für Daten
um gemeinsam von Cyber- security Vorfällen zu lernen und Risi- und Systeme genauso wie Notfall- pläne für IT-Personal und
ken besser zu verstehen. Management sowie regelmäßige Trainings und Simulationen
von Cybervorfällen.
Regelmäßige Penetrationstests ansetzen
Führen Sie regelmäßig Penetrationstests durch, bei denen Quelle: Digitalisierung im Krankenhaus? Aber sicher! Wie Informationssicherheit
Cyberexpert:innen versuchen, in Ihre Systeme einzudringen. im Krankenhaus umgesetzt werden kann und warum Abwarten keine gute Idee ist,
Wir empfehlen, sämtliche aus dem Internet erreichbaren Systeme Whitepaper, Januar 2022 PricewaterhouseCoopers GmbH Wirtschaftsprüfungs-
mehrmals jährlich Penetrationstests zu unterziehen. Bei jedem gesellschaft.
DMEA Premium Messejournal 2022
12