Suchen

IT-Sicherheit in Krankenhäuser

BSI gibt grünes Licht für DKG-Standard

| Redakteur: Julia Mutzbauer

In Bezug auf die IT-Sicherheit werden Krankenhäuser als kritische Infrastruktur eingestuft. Daher hat die Deutsche Krankenhausgesellschaft (DKG) einen „Branchenspezifischen Sicherheitsstandard für Krankenhäuser“ („B3S“) erarbeitet und dem Bundesamt für Sicheheit in der Informationstechnik (BSI) vorgelegt. Das BSI hat den B3S geprüft und die Eignung festgestellt.

Firmen zum Thema

Laut dem Hauptgeschäftsführer der Deutschen Krankenhausgesellschaft (DKG), Georg Baum haben Krankenhäuser, die als kritische Infrastrukturen gelten, mit der Eignungsfestellung des DKG-Standards die Sicherheit, dass die gesetzlichen Anforderungen bei der Anwendung erfüllt werden
Laut dem Hauptgeschäftsführer der Deutschen Krankenhausgesellschaft (DKG), Georg Baum haben Krankenhäuser, die als kritische Infrastrukturen gelten, mit der Eignungsfestellung des DKG-Standards die Sicherheit, dass die gesetzlichen Anforderungen bei der Anwendung erfüllt werden
(© ipopba - stock.adobe.com)

Der Branchenspezifischen Sicherheitsstandard für Krankenhäuser („B3S“) der DKG soll Krankenhäuser dabei unterstützen die gesetzlich geforderten IT-Sicherheitsstandards zu erfüllen. Der B3S „beschreibt Maßnahmen, wie die an der Versorgung der Patienten genutzten Prozesse und Systeme vor dem Hintergrund der branchenspezifischen Gefährdungslage im Krankenhaus geschützt werden, um die Verfügbarkeit, Integrität und Vertraulichkeit der Informationen zu gewährleisten und damit die IT-Sicherheit in den deutschen Krankenhäusern zu verbessern“, so der DKG

Laut BSI seien etwas weniger als zehn Prozent der Krankenhäuser in Deutschland als Kritische Infrastrukturen (KRITIS) im Sinne des IT-Sicherheitsgesetzes registriert. Der nun anerkannte B3S stehe auch den vielen kleineren Kliniken, die nicht als KRITIS-Betreiber reguliert sind, zur Verfügung und solle als Maßstab für die Umsetzung angemessener IT-Sicherheitsmaßnahmen dienen.

BSI-Präsident Arne Schönbohm erklärte: „Krankenhäuser und viele andere Einrichtungen des Gesundheitswesens tragen in mehrfacher Hinsicht eine besondere Verantwortung für ihre IT-Netzwerke. Der Schutz sensibler Patientendaten muss ebenso zuverlässig gewährleistet sein wie die zuverlässige Versorgung von Patientinnen und Patienten mit Unterstützung modernster Computertechnologie. Vor diesem Hintergrund bietet der branchenspezifische Sicherheitsstandard wichtige Rahmenbedingungen, unter denen die Cyber-Sicherheit im Gesundheitswesen weiter erhöht werden kann“.

Der B3S hat folgenden Inhalt:

  • Methodik zur Erstellung des B3S
  • Branchenspezifischer Sicherheitsstandard (B3S) für die medizinische Versorgung: Grundlegendes zur Anwendung des B3S, Anforderungen an Betreiber Kritischer Infrastrukturen, Empfohlene Schritte zur Umsetzung des B3S, Deklaration von Anforderungen innerhalb des B3S, Definition der Schutzziele des B3S, Fortschreibung des B3S
  • Risikomanagement in der Informationssicherheit: Standard-Risikomanagement-Prozessmodell, Management-Anforderungen für die Implementierung eines Informations-Risikomanagements, IT-Systemlandschaft in Krankenhäusern nach Kritikalität
  • Allgemeine Hinweise zur Definition des Geltungsbereichs: Branchenspezifischer Geltungsbereich, Festlegung der spezifischen Ziele und Anforderungen des B3S an die Informationssicherheit, Leitlinie zur Informationssicherheit
  • Branchenspezifische Gefährdungslage: Bedrohungsszenarien, Schwachstellen, Branchenspezifische Gefährdungen, Gefährdungen kritischer branchenspezifischer Technik und Software, kDL-relevante IT-Systeme und Komponenten
  • Anforderungen und Maßnahmeempfehlungen zur Umsetzung: Informationssicherheitsmanagementsystem (ISMS), Organisation der Informationssicherheit, Meldepflichten nach § 8b Absatz 4 BSI-Gesetz, Betriebliches Kontinuitätsmanagement, Asset Management, Robuste/resiliente Architektur, Physische Sicherheit, Personelle und organisatorische Sicherheit, Vorfallerkennung und Behandlung, Überprüfungen im laufenden Betrieb, Externe Informationsversorgung und Unterstützung, Lieferanten, Dienstleister und Dritte, Technische Informationssicherheit
  • Übersicht der referenzierten Normen und Standards

Der Hauptgeschäftsführer der DKG, Georg Baum (l.) und Arne Schönbohm, Präsident des BSI (r.)
Der Hauptgeschäftsführer der DKG, Georg Baum (l.) und Arne Schönbohm, Präsident des BSI (r.)
(© BSI)

Laut DKG-Hauptgeschäftsführer Georg Baum würden Krankenhäuser ihre Verantwortung beim Thema IT-Sicherheit ernstnehmen. „Mit der jetzt erfolgten Eignungsfeststellung haben diejenigen Krankenhäuser, die als kritische Infrastrukturen gelten, Sicherheit, dass die gesetzlichen Anforderungen bei Anwendung dieses Standards erfüllt werden. IT-Sicherheit ist letztlich auch Patientensicherheit. Die DKG empfiehlt daher allen Krankenhäusern, vor dem Hintergrund der auch politisch vorangetriebenen Digitalisierung im Gesundheitswesen, die Sicherheit der Informationen und Systeme zu gewährleisten. Der vorliegende branchenspezifische Sicherheitsstandard ist dafür eine wichtige Grundlage“, so Baum.

Die DKG habe parallel zur Erstellung des Sicherheitsstandards auch eine Studie in Auftrag gegeben, die den Umsetzungsaufwand der erforderlichen Maßnahmen in den Krankenhäusern ermitteln soll. Demnach sollen für die Bereiche Investition, Betrieb und Personal für ein Krankenhaus mit 30.000 vollstationären Fällen im Jahr initiale Kosten in der Größenordnung von 1,5 bis 2 Millionen Euro erwartet werden, in den Folgejahren sei mit jährlichen zusätzlichen Belastungen in der Größenordnung von ca. 500.000 bis 600.000 Euro zu rechnen.

„Mit Blick auf die Dimension der Budgets, die den Krankenhäusern für IT insgesamt zur Verfügung stehen, ist das eine erhebliche zusätzliche Belastung, die nicht aus der Substanz heraus gestemmt werden kann“, erläutert Georg Baum.

Neben den finanziellen Auswirkungen bestehe eine besondere Herausforderung in der Gewinnung des Fachpersonals. Quer durch alle Branchen zeige sich der Bedarf an entsprechend ausgebildeten Fachkräften. Doch gerade dort, wo infolge möglicher Auswirkungen auf die Patienten die Verantwortung für die Sicherheit der Systeme besonders hoch sei, gäben die finanziellen Rahmenbedingungen der Krankenhäuser nicht genügend Spielraum, um im Wettbewerb mit anderen Branchen die erforderliche Personalausstattung zu realisieren, so der DKG.

Das vollständige Version des DKG-Sicherheitsstandard finden Sie hier:

B3S

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46198591)