3 Min. Lesezeit
KRITIS – Krankenhäuser müssen dringend handeln
Arved von Stackelberg : 12.06.19 00:00
- Ab dem 30. Juni 2019 müssen deutsche Kliniken die KRITIS-Verordnung des BSI umsetzen, wobei Krankenhäuser mit über 30.000 vollstationären Fällen pro Jahr betroffen sind.
- Es herrscht Handlungsbedarf, da Studien belegen, dass viele Krankenhäuser unzureichende IT-Sicherheitsstandards aufweisen, was sie anfällig für Cyberangriffe macht.
- Krankenhäuser müssen ihre IT-Infrastruktur dringend verbessern, insbesondere durch die Implementierung von clientseitiger Datenverschlüsselung und die Nutzung von deutschen Softwarelösungen.
- Ein feingranulares Rechtesystem zur Datenbearbeitung und ein integrierter Ransomware-Schutz sind für maximale Datensicherheit und -schutz entscheidend.
- In diesem Artikel erfahren Sie, wie deutsche Krankenhäuser durch die Einführung moderner Technologien und die Einhaltung der KRITIS-Verordnung sowohl den Schutz sensibler Patientendaten sicherstellen als auch Bußgelder vermeiden können.
Die Kritis-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln!
Am 30. Juni 2019 ist es soweit: Zahlreiche deutsche Kliniken müssen die KRITIS-Verordnung des BSI (Bundesamt für Sicherheit in der Informationstechnik) bis zu diesem Datum umsetzen. Das Gesetz umfasst insgesamt acht Branchen, die das BSI aufgrund des Betriebs kritischer Infrastrukturen als besonders angriffsrelevant und schützenswert ansieht. Unter den Begriff „Kritische Infrastrukturen“ fallen schließlich Organisationen, die eine große Rolle für das staatliche Gemeinwesen spielen.
Wen genau das Gesetz betrifft, regelt die BSI-KRITIS-Verordnung (auch „Korb I“ genannt) sowie die erste Änderungsverordnung (bekannt unter „Korb II“). Hier ist anhand transparenter Kriterien festgelegt, für welche Betreiber aus den Bereichen Energie, Wasser, Informationstechnik und Telekommunikation, Ernährung, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr Nachweispflichten gemäß BSI-Gesetz (§ 8a) gegenüber der Behörde bestehen. Für den Gesundheitssektor bedeutet dies konkret, dass Krankenhäuser mit über 30.000 vollstationären Fällen im Jahr als „KRITIS“-Betreiber gelten. Als vollstationär gilt eine Behandlung, wenn der Patient Tag und Nacht im Krankenhaus untergebracht ist und die stationären Leistungen komplett in Anspruch nimmt. Hiervon sind in Deutschland etwa 33 % aller Kliniken betroffen.
Bis zum Stichtag in knapp zwei Wochen müssen eine Reihe von Anforderungen erfüllt sein – zum einen muss alle zwei Jahre ein Nachweis über geeignete Vorkehrungen zur IT-Sicherheit erbracht werden. Zum anderen muss von Seiten des Betriebs eine Kontaktstelle, beziehungsweise ein Funktionspostfach benannt werden, außerdem müssen IT-Störungen dem Amt umgehend gemeldet werden. Auf technischer Ebene muss sichergestellt sein, dass betroffene Healthcare-Unternehmen dem neuesten Stand der Technik entsprechen und den Prüfstandards der Bundesbehörde gerecht werden.
Wie wichtig die neue Verordnung ist, zeigt eine kürzlich erschienene Studie zur IT-Sicherheit im Gesundheitssektor, die vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) in Auftrag gegeben wurde. Hier offenbarte etwa ein Test der Mailserver mit dem Analysetool Cysmo, dass Patientendaten in deutschen Kliniken und Arztpraxen häufig nicht sicher aufgehoben sind. Insgesamt wurden neben den IT-Systemen von rund 1.200 niedergelassenen Ärzten auch 250 Kliniken und Apotheken untersucht. Das erschreckende Ergebnis war, dass lediglich 5 % der Kliniken einen sicheren Verschlüsselungsstandard nach Empfehlung des BSI verwendeten. 31 % nutzten die veralteten Standards SSL 2 und SSL 3, etwa 63 % die von der Bundesbehörde nicht mehr empfohlenen Standards TLS 1.0 oder TLS 1.1. Besonders erschreckend ist auch die Erkenntnis der Studie, dass E-Mail- und Passwortkombinationen von 60 % der Kliniken im Darknet aufzufinden waren. Angesichts dieser Zahlen überrascht die Tatsache nicht – wie eine vor zwei Jahren erschienene, großangelegte Erhebung von Roland Berger ergab – dass von 500 befragten Kliniken 64 % bereits Opfer eines Hackerangriffs wurden. Diese Zahlen deuten darauf hin, dass das Problem der Mängel in Bezug auf die IT-Sicherheit im Healthcare-Sektor ein strukturelles ist. Kliniken müssen in dieser Hinsicht unbedingt reagieren und sich auf die neuen Herausforderungen einstellen, die mit der fortschreitenden Digitalisierung einhergehen.
Vor allem aber im Hinblick auf den vom BSI geforderten Aspekt des „neuesten Standes der Technik“ müssen deutsche Krankenhäuser dringend nachrüsten und eine einheitliche zeitgemäße Lösung einsetzen. Eine große Rolle spielt hier eine lückenlose clientseitige Datenverschlüsselung, mithilfe derer die Informationen bereits am Endgerät verschlüsselt werden. Dadurch hat nicht einmal der Hersteller der Lösung die Möglichkeit, auf gespeicherte Daten zuzugreifen. Sinnvoll ist es außerdem, eine Softwarelösung „Made & Hosted in Germany“ zu wählen. Denn deutsche Anbieter unterliegen den strengen deutschen Datenschutzgesetzen und versichern zugleich, dass die Lösung auch der EU-DSGVO entspricht. Entsprechende Zertifizierungen und Auszeichnungen wie z. B. die ISO27001 untermauern die Konformität zusätzlich. Wichtig ist außerdem, dass sich von autorisierten Personen jederzeit nachvollziehen lässt, wann welche Daten von wem bearbeitet wurden. Nur so lassen sich auch unkontrollierte Datenabflüsse erkennen und vermeiden.
Ein feingranulares Rechtesystem regelt außerdem detailliert, wer auf welche Daten zugreifen und diese bearbeiten darf. Wenn die Lösung zusätzlich noch über einen integrierten Ransomware-Schutz verfügt, mittels dem sich geschädigte Daten zeitnah wiederherstellen lassen, ist ein Maximum an Datensicherheit und -schutz gewährleistet. Klinikbetreiber müssen insgesamt das Risiko ernst nehmen und sich mit der Implementierung einer technisch zeitgemäßen Lösung auseinandersetzen – auf diese Weise sind sie künftig gewappnet im Kampf gegen Cyberkriminelle und vermeiden zudem verheerende Bußgelder im Rahmen der BSI-KRITIS-Verordnung. Auch Patienten können sich somit sicher sein, dass ihre sensiblen Daten in guten Händen sind und nicht kompromittiert werden.
Artikel nach Kategorien
- News (84)
- Produkt & Features (75)
- Datenschutz & DSGVO (72)
- Compliance (70)
- Wertvolle Tipps & Use Cases (48)
- Compliance, Datenschutz & DSGVO (35)
- Datenaustausch & Datentransfer (35)
- Integration & Partner (23)
- API (22)
- Gesundheitswesen (20)
- Finanzwesen (13)
- Auszeichnungen (11)
- Behörden & Kommunen (11)
- THE NEXT STEP (11)
- Finance (9)
- KRITIS (8)
- Human Resources (7)
- Steuerberater (6)
- Steuerberater, Wirtschaftsprüfer & Rechtsanwälte (6)
- Wirtschaftsprüfer & Rechtsanwälte (6)
- Women in IT (5)
- Microsoft Office365 (4)
- Compliance, Data Privacy & GDPR (3)
- Health (3)
- 6 Fragen an... (2)
- Authorities and Communes (2)
- Outlook (2)
- Teams & Co. (2)
- Valuable Tips & Use Cases (2)
- Product & Features (1)
Erneuter Ransomware-Fall in deutschen Krankenhäusern
GEFAHRENLAGE WEITERHIN ANGESPANNT Wie mehrere Medien am vergangenen Mittwoch berichteten, ist die Trägerschaft Süd-West des Deutschen Roten Kreuzes...
So nutzen Sie den Krankenhauszukunftsfonds (KHZF) für Ihre Klinik
So nutzen Sie den Krankenhauszukunftsfonds (KHZF) für Ihre Klinik Investieren Sie jetzt in eine nachhaltige IT-Sicherheit
1 Min. Lesezeit
ePA, TI, DVG: Digitalisierung der Krankenkassen zum Scheitern verurteilt?
Ab Januar 2021 erhalten gesetzlich Versicherte eine elektronische Patientenakte (ePA), die wichtige Gesundheitsdaten speichert und den...