SGB V – IT-Sicherheit in Krankenhäusern
Änderung des SGB V – IT-Sicherheit in Krankenhäusern
Mit der Änderung des fünften Sozialgesetzbuches (SGB V) entstehen neue Anforderungen an die IT-Sicherheit in Krankenhäusern. Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, die gemäß dem Stand der Technik geeignet sind um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie weiterer Schutzziele zu vermeiden. Hierzu stehen den Krankenhäusern branchenspezifische Standards zur Verfügung. Einer dieser branchenspezifischen Standards ist der „Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“, herausgegeben von der Deutschen Krankenhausgesellschaft (DKG). Im Oktober 2019 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Sinne des BSI-Gesetzes diesen Standard für geeignet erklärt und in die Liste der branchenspezifischen Sicherheitsstandards (B3S) aufgenommen.
Für wen ist die Änderung wichtig?
Für Krankenhausbetreiber, die per Definition als Betreiber Kritischer Infrastruktur gelten (vollstationäre Fallzahl > 30.000 p.a.), ändert sich nichts. KRITIS-Häuser waren seit jeher dazu verpflichtet angemessene technische Vorkehrungen zu treffen und diese nachzuweisen. Auf Krankenhäuser mit einer Fallzahl < 30.000 kommen jedoch neue Anforderungen entgegen. Erstmalig sind diese gesetzlich verpflichtet, ihre IT-Sicherheit an einen Sicherheitsstandard auszurichten und alle zwei Jahre zu evaluieren bzw. anzupassen. Um die Umsetzung möglich zu machen, bedarf es Experten, die im Umgang mit und der Implementierung von IT-Sicherheitsstandards geübt sind. Dies bedeutet einen erhöhten Personalaufwand und damit höhere Kosten.
Warum ist es wichtig, dass sich was ändert?
Das IT-Sicherheit, insbesondere in so sensiblen Bereichen wie dem Gesundheitswesen, nicht nur Spaß an der Freude ist, beweisen zahlreiche Fälle der Vergangenheit. Die Attacken von Cyberkriminellen nehmen immer weiter zu. So geht aus dem Lagebericht 2021 des BSI hervor, dass die Anzahl neuer Schadprogramm-Varianten im Berichtszeitraum um 144 Millionen zugenommen hat (+22 % gegenüber dem Vorjahr). Besonders Ransomware macht Probleme. Diese verschlüsseln die Festplatten der Opfer und machen sie dadurch handlungsunfähig – erst durch Zahlung eines Lösegeldes, ist ein „weiterarbeiten“ möglich. Was für „normale“ Unternehmen ärgerlich bis hin zu existenzgefährdend ist, ist für Krankenhäuser bzw. deren Patientinnen und Patienten lebensgefährlich. Insofern ist es richtig und wichtig, dass der IT-Sicherheit von allen Krankenhäusern mehr Aufmerksamkeit gewidmet wird.
*Quelle: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
Wie sollte der Änderung begegnet werden?
Wenn nicht bereits geschehen, sollte zeitnah mit dem Aufbau eines Informationssicherheitsmanagementsystems (ISMS) unter Berücksichtigung des krankenhausspezifischen B3S-Standards begonnen werden. Für Krankenhäuser, die bereits ein dokumentiertes ISMS vorweisen können, sollte geprüft werden, ob dieses mit den Anforderungen des § 75c SGB V bzw. mit dem Branchenstandard korreliert. Abweichungen, sind zu eliminieren. Grundsätzlich unterscheidet sich der Aufbau eines ISMS nach B3S nicht von anderen. Jedes ISMS besteht aus:
Unser Leistungsversprechen
Die Mitarbeiterinnen und Mitarbeiter von Althammer & Kill sind Informationssicherheits- und Compliance-Experte im Gesundheits- und Sozialwesen. Wir unterstützen KRITIS- und Nicht-KRITIS-Krankenhäuser beim Aufbau und der Etablierung eines pragmatischen und wirksamen Informationssicherheitsmanagementsystems. Unsere Beraterinnen und Berater verfügen über umfangreiche Kenntnisse relevanter Normen und Standards; unter anderem auch zu den BSI-Branchenstandards, wie dem branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus der DKG.
Weitere Informationen zu unseren Lösungen rund um die Informationssicherheit erhalten Sie hier:
Die Informationssicherheit ist ein zentrales Element des betrieblichen Risikomanagements. Es gilt, die wesentlichen Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten. Wir koordinieren für Sie alle Maßnahmen der Informationssicherheit in Ihrer Organisation.
Zur dauerhaften Sicherstellung der Informationssicherheit ist die Einführung und der Aufbau eines Informationssicherheitsmanagementsystem (ISMS) notwendig. Ziel ist es, Verfahren und Regelungen des Informationssicherheitsverbundes zentral und übersichtlich festzuhalten und zu dokumentieren.
In Zeiten von Cloud-Computing, KI und der weltweiten Vernetzung spielt die Informationssicherheit in Organisationen eine zentrale Rolle. Der Nachweis sicherer Systeme sorgt für Vertrauen und macht es Angreifern schwerer, geheime und sensible Informationen zu erhalten.
Security Awareness Training
Virenscanner und Firewalls allein können Angriffe auf Ihre Organisation nicht vollständig erkennen. Wir unterstützen Ihre Mitarbeitenden bei der Erkennung betrügerischer E-Mails durch Simulation realistischer Angriffe. Als Datentreuhänder behandeln wir alle Analysen und Ergebnisse vertrauensvoll und begleiten Sie bei der Durchführung von Security Awareness-Kampagnen.
Sie haben Fragen zur IT-Sicherheit in Krankenhäusern?
Kontaktieren Sie uns gerne, wenn Sie Fragen oder Unterstützung zu diesem Thema benötigen.
Unsere Experten stehen Ihnen jederzeit zur Verfügung. Informationen zum Umgang mit Ihren Daten können Sie unseren Datenschutzhinweisen entnehmen.