IT-Sicherheit ist mit Blick auf die derzeitige Sicherheitslage relevanter denn je. Dies gilt vor allem für Einrichtungen, deren Störung oder gar Ausfall nach einem Cyberangriff enorme negative Auswirkungen auf die Gesellschaft hätten. Hierunter zählen nicht zuletzt auch Gesundheitseinrichtungen.
Es müssen mithin geeignete Vorkehrungen getroffen werden, um die digitale Sicherheit und Integrität der Einrichtungen sicherzustellen.
Nicht nur für KRITIS
Bisher betrafen gesetzliche Regelungen zur IT-Sicherheit insbesondere große Krankenhäuser mit einem Volumen von über 30.000 vollstationären Behandlungen pro Jahr und Universitäts-Kliniken. Diese als KRITIS-Häuser (Häuser der kritischen Infrastruktur) bezeichneten Einrichtungen mussten den Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) genügen. Mit der Novellierung des § 75c SGB V gilt seit diesem Jahr, dass auch nicht-KRITIS-Häuser dieseAnforderungen erfüllen müssen, indem Sie geeignete Maßnahmen ergreifen. Damit geht erstmalig Möglichkeit einer Förderung einher: Über den Fördertatbestand 10 des KHZG hat der Gesetzgeber die Förderfähigkeit berücksichtigt. Bisher war eine Förderung von Krankenhäuser im Bereich der IT-Sicherheit lediglich für die im Krankenhausstrukturfonds genannten Einrichtungen möglich. Nicht-KRITIS-Häuser wurden hier nicht berücksichtigt.
ISO 27001 und BSI IT-Grundschutz
Ob das erforderliche Maß an Informationssicherheit gewährleistet werden kann, lässt sich über verschiedene Wege feststellen.
Auf der einen Seite ist die Anwendung sogenannter Informationssicherheitsmanagementssysteme (ISMS) erforderlich. Diese sollten nach ISO 27001 oder nach ISO 27001 auf Grundlage von BSI IT-Grundschutz zertifiziert sein.
Der internationale Standard ISO 27001 konkretisiert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung von Informationssicherheitsmanagementsystemen. Hierbei wird insbesondere der Kontext der Einrichtung berücksichtigt. Eine Zertifizierung nach ISO 27001 ermöglicht somit eine öffentlichkeitswirksame Bestätigung der Einhaltung der Bestimmungen.
Ergänzend bietet der BSI IT-Grundschutz als Katalog eine tiefgreifende Anleitung zum Etablieren geeigneter Schutzmaßnahmen. Der Katalog des BSI richtet sich an internationalen Normen aus und wird regelmäßig angepasst.
Branchenspezifischer Sicherheitsstandard (B3S)
Häuser, die als KRITIS-Häuser gelten, müssen dem BSI in regelmäßigen Abständen nachweisen, dass die Voraussetzungen des BSI erfüllt werden. Hierzu wäre insbesondere erforderlich, dass internationale Standards wie die zuvor erwähnte ISO 27001 oder ISO 27001 auf Grundlage der BSI IT-Grundschutz angewandt werden.
Eine weitere Option besteht darin, dass Sicherheitsstandards entwickelt werden, die für den gesamten Sektor gelten. Durch die deutsche Krankenhausgesellschaft wurden ebensolche Standards entwickelt, die vom BSI als ausreichend anerkannt wurden. Im Umkehrschluss wird davon ausgegangen, dass Einrichtungen, die den B3S erfüllen, auch die Vorgaben an KRITIS-Häuser erfüllen, bzw. die Vorkehrungen mit internationales Normen im Einklang stehen.
Wenn das System ausfällt
Damit der Routinebetrieb trotz eines Ausfalls der IT weiterlaufen kann, stellt sich die Frage, welche Vorkehrungen getroffen werden müssen. Nicht zuletzt ist auch dies eine Frage der Patientensicherheit. Der Arzt, der einen akuten Herzinfarkt versorgen muss, sollte wissen, ob der Patient bereits vorstellig wurde oder ob Vorerkrankungen bekannt sind. Ist der Zugriff auf das Krankenhausinformationssystem (KIS) jedoch nicht möglich, muss der Arzt auf anderem Wege an Informationen kommen.
Arbeitet das Krankenhaus mit einem KIS auf eigenen oder externen Servern, kann das gesamte System an einem weiteren, unabhängigen Standort gespiegelt werden. Es ist äußerst unwahrscheinlich, dass beide Serverstandorte zur selben Zeit ausfallen. Dies hat den enormen Vorteil, dass das gesamte System weiterlaufen kann, ohne das sich für den Endnutzer ein Unterschied bemerkbar macht.
Eine andere Möglichkeit besteht darin, dass Patientendaten in Form verschlüsselter PDF-Dateien regelmäßig vom System in einem externen Verzeichnis abgelegt werden. Bei Bedarf kann die Datei von berechtigten Mitarbeiter:innen abgerufen werden. Der Nachteil gegenüber zu Systemspiegelung ist evident, denn es lassen sich zwar Dateien ablegen, aber während eines Ausfalls können keine Daten generiert und gespeichert werden, die im Anschluss vom primären System übernommen werden.
Wer hilft bei Fragen?
Aufgrund der unterschiedlichen Krankenhaus- sowie Praxisinformationssysteme benötigen deutsche Krankenhäuser und ihre individuellen Herausforderungen maßgeschneiderte Lösungen. Eine generelle, für jeden perfekte Lösung gibt es nicht. Damit die richtigen Lösungen zu Einsatz kommen und die Integration neuer Strukturen in die elektronische Patientenakte ein Erfolg wird, ist einschlägiges Know-How erforderlich. Die condots GmbH ist eine Unternehmensberatung im Gesundheitswesen mit Schwerpunkt in den Bereichen Projektmanagement, klinische Prozesse und Organisationsentwicklung und hat das erforderliche Wissen, um auch Ihr Projekt erfolgreich umzusetzen.
Wenn Sie möchten, dass wir auch Sie bei Ihren Vorhaben in der Healthcare-IT unterstützen, sprechen Sie einfach Christian von condots an oder vereinbaren Sie einen kostenfreien Beratungstermin.
Wir freuen uns auf Sie!
Ihr Team der #condotsGmbH – connecting the dots.