Informationssicherheit im Krankenhaus
Der Präsident des Bundesamts für Sicherheit in der Informationstechnik Arne Schönbohm sagte einmal: „Wenn wir weiterhin von der Digitalisierung profitieren wollen, dann dürfen wir es Angreifern nicht zu leicht machen“. Der aktuelle BSI-Lagebericht 2020, der vom Bundesinnenminister Horst Seehofer und dem BSI-Präsidenten Arne Schönbohm am 20.10.2020 in der Bundespressekonferenz vorgestellt wurde, zeigt, dass die Gefährdungslage weiterhin von Cyber-Angriffen mit gefährlicher Schadsoftware, die in immer neueren Varianten eingesetzt wird, geprägt ist. Bemerkenswert ist hierbei, dass diese Entwicklung auch immer mehr zu einer Bedrohung für das Gesundheitswesen führt. Ziel der Angreifer ist es u. a., Kunden- oder Patientendaten zu stehlen und diese personenbezogenen Daten für eigene Zwecke zu nutzen oder diese unbefugt offen zu legen bzw. im Internet zu veröffentlichen.
Digitalisierung bringt Chancen für den Gesundheitssektor
Die Digitalisierung im Gesundheitswesen bringt viele Erleichterungen für Krankenhäuser, medizinische Versorgungszentren (MVZ), niedergelassene Ärzte, Patientinnen und Patienten, Krankenkassen sowie Berufsgenossenschaften. Wesentlicher Vorteil ist der schnellere Austausch relevanter Daten untereinander. Damit können u. a. Behandlungen bzw. Weiterbehandlungen, aber auch Abrechnungen schneller erfolgen und ganz neue Serviceangebote erstellt werden. Ohne Digitalisierung ist der Betrieb eines Krankenhauses heute nicht mehr möglich.
Die Chance der Digitalisierung im Gesundheitswesen hat das Bundesministerium für Gesundheit (BMG) erkannt und in den letzten Jahren den gesetzlichen Rahmen dafür geschaffen. Ziel ist es, die Vorteile der Digitalisierung bzw. mögliche Synergien zu nutzen und damit die Gesundheitsversorgung in Deutschland zu verbessern.
Der Gesetzgeber hat durch das neue Krankenhauszukunftsgesetz (KHZG) u. a. dafür gesorgt, dass schnelle und zielgerichtete Investitionen in die Digitalisierung und in eine moderne technische Ausstattung der Krankenhäuser möglich werden. Ein weiteres Beispiel ist die Implementierung der elektronischen Patientenakte (ePA). Bundesgesundheitsminister Jens Spahn hat mit dem Terminservice- und Versorgungsgesetz (TSVG) und dem Patientendaten-Schutz-Gesetz u. a. dafür plädiert, dass ab 2021 Versicherte über eine elektronische Patientenakte und E-Rezepte verfügen können. Wichtige gesundheitsbezogene Daten sollen im Notfall schnellstmöglich zur Verfügung stehen, um notwendige Maßnahmen einleiten zu können, aber auch um Doppeluntersuchungen zu vermeiden. Erstmals haben Patienten mit der ePA eine Kontrolle über ihre eigenen Gesundheitsdaten. Diese können über Smartphones oder Tablets abgerufen werden. Patienten können dann selbst entscheiden, ob sie die Daten in der ePA speichern lassen möchten oder nicht.
Neben dem TSVG wurde das „Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation“ (Digitale-Versorgung-Gesetz – DVG) erlassen, das am 19. Dezember 2019 in Kraft getreten ist. Das Gesetz bringt u. a. mit sich, dass Ärzte ihren Patienten und Patientinnen sog. Gesundheits-Apps verschreiben können. Die Kosten für diese Apps werden in Zukunft von den (gesetzlichen) Krankenkassen übernommen. Die Gesundheits-Apps werden schon jetzt von vielen Patienten z. B. im Bereich Dokumentation von Blutzuckerwerten oder der Überwachung von regelmäßig einzunehmenden Medikamenten genutzt.
Ein weiterer Fokus des DVG ist die Videosprechstunde zwischen Ärzten und Patienten. Hier haben sie die Möglichkeit, Aufklärungsgespräche online bzw. über Video (Einschaltung der Webcam) durchzuführen, ohne dass beide sich in der Praxis treffen müssen.
Compliance- und Sicherheitsanforderungen an die Krankenhäuser
Die neuen Möglichkeiten und Angebote der Digitalisierung erfordern, dass sensible Daten wie bspw. Patientendaten der Krankenhäuser, Arztpraxen und Krankenkassen adäquat geschützt werden müssen. Hierzu hat die Bundesregierung u. a. festgelegt, dass die Selbstverwaltung den Auftrag erhält, IT-Sicherheitsstandards verbindlich festzuschreiben. So wurden die Krankenhäuser verpflichtet, sich dieser Telematik-Infrastruktur bis zum 1. Januar 2021 anzuschließen. Diese hohen Anforderungen an die Funktionalität und Sicherheit bringen es mit sich, dass die Geschäftsprozesse in den Krankenhäusern (z. B. Patientenversorgung, technische Kommunikation, Datenaustausch zwischen niedergelassenen Ärzten/Ärztinnen und Krankenhaus, Schnittstelle zu den Krankenkassen und Berufsgenossenschaften etc.) speziell durch erweiterte Sicherheitsmaßnahmen zusätzlich geschützt werden müssen. Die Digitalisierung im Gesundheitswesen führt damit auch zu einer weiteren Abhängigkeit von den IT-Systemen. Für die Minimierung von Risiken ist es unabdingbar, dass die IT-Systeme (siehe Abbildung: IT-Systeme im Krankenhaus) jederzeit verfügbar sind, funktionsmäßig einsetzbar und sicher vor internen und externen Angriffen sein müssen. Nur so kann ein reibungsloser Ablauf in der Patientenversorgung sichergestellt werden.
Um die Herausforderungen angemessen zu lösen, zukunftsfähig zu bleiben, regulatorische sowie gesetzliche Anforderungen zu erfüllen und potenzielle Cyberangriffe vorzubeugen, müssen die komplexen IT-Systeme und Geschäftsprozesse in den Krankenhäusern gesamtheitlich betrachtet und abgesichert werden: Informationssicherheit, IT-Sicherheit und Datenschutz sollten betrachtet werden. Neben der Betrachtung sowie Implementierung von organisatorischen Maßnahmen sind technische Maßnahmen nicht außer Acht zu lassen. Es sollten technische Überprüfungen aus IT-Sicherheitssicht erfolgen (z. B. Härtung der IT-Systeme, ordnungsgemäße IT-Administration etc.). Aufgrund der heterogenen IT-Systeme und der hohen Anzahl der Cyberangriffe (siehe BSI-Lagebericht IT-Sicherheit 2020) auf Staat, Wirtschaft und Gesellschaft hat der Gesetzgeber regulatorische sowie gesetzliche Anforderungen für bestimmte Gesundheitseinrichtungen (z. B. Kliniken) definiert.
Krankenhäuser als kritische Infrastrukturen (KRITIS)
Die Krankenhäuser, die als kritische Infrastruktur (BSI-KritisV) eingestuft werden, müssen bestimmte Anforderungen aus dem IT-Sicherheitsgesetz erfüllen (Schwellenwert derzeit: 30.000 vollstationäre Behandlungsfälle pro Jahr). „Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten“ (siehe KRITIS Bund Definition).
Krankenhausinformationssystem (KIS) und deren Subsysteme
Je nach Krankenhausform können unterschiedliche IT-Systeme betrieben werden. In fast allen in Deutschland betriebenen Krankenhäusern wird ein Krankenhausinformationssystem (KIS) eingesetzt. Das System kommt für die Erfassung, Bearbeitung und Weitergabe medizinischer und administrativer Daten zum Einsatz. An das KIS werden sogenannte Spezialsysteme, wie das Radiologie-Informationssystem (RIS), das Labor-Informationssystem (LIS), das Apotheken-System, das Abrechnungssystem, das Diktiersystem und die Kartenlesegeräte angeschlossen. Neben diesen Systemen, werden je nach Fachdisziplin in den Krankenhäusern weitere IT-Systeme angeschlossen.
Die enormen und zum Teil sehr unterschiedlichen Anforderungen an die IT-Systeme führen dazu, dass keine einheitlichen Standards vorgegeben sind. So müssen zum Beispiel in einer orthopädischen Fachklinik andere Anforderungen an die IT-Systeme erfüllt werden als z. B. in einer kardiologischen Klinik. So halten viele orthopädische Kliniken in Deutschland eine sogenannte Picture Archiving and Communication System (PACS) vor. Das System bietet den Medizinern u. a. die Möglichkeit, die Bilddokumentation (z. B. Röntgen- oder MRT-Bilder) digital und zeitnah abzurufen. Je nach Systemkonfiguration sind die Bilder an mehreren Stellen vorhanden (z. B. Krankenhausverbund) und können ortsunabhängig begutachtet werden (Teil der Diagnostik). Das Risiko des Verlustes (z. B. einer Originalaufnahme eines Röntgenbildes) wird durch das PACS minimiert. Die Bilder können nunmehr vom Krankenhaus an die niedergelassene Ärztin, bzw. Arzt digital verschickt werden. Dieser Prozess bringt neben einer Erhöhung der Funktionalität auch eine Erhöhung der Effizienz von Arbeitsabläufen mit sich. Laut dem BSI-Lagebericht 2020 wurden allein in Deutschland im Zeitraum von Juli bis September 2019 etwa 15.000 Patientendatensätze mit mehreren Millionen medizinischen Bildern veröffentlicht, die ohne Passwortschutz zugänglich waren (siehe Bundespressekonferenz zum BSI-Lagebericht 2020 mit Horst Seehofer und Arne Schönbohm vom 20.10.2020). Die Informationen lagen auf sogenannten PACS-Servern.
Das KIS und die weiteren Spezialsysteme müssen aus Compliance-Sicht (Informationssicherheit, IT-Sicherheit und Datenschutz) angemessen geschützt und betrieben werden. Je nach System (Hard- und Software) sind eine Vielzahl von organisatorischen sowie technischen Maßnahmen zu berücksichtigen.
Durchführung eines „Cybersecurity-Checks“ – Beispiel aus der beruflichen Berater-Praxis
Im Rahmen von Terminen bei Kunden, z. B. vor einer größeren Zertifizierung, Revisionsprüfung, IT-Prüfung im Rahmen von Jahresabschlussprüfungen, Sicherheitsprüfung etc. wird oft ein sogenannter „Cybersecurity-Check“ durchgeführt. Hierbei sollen die größten „Stolpersteine“ innerhalb der IT-Landschaft und die ordnungsgemäßen „Härtungsmöglichkeiten“ der Systeme aufgezeigt werden. Im Vorfeld wird sich mit den beteiligten Entscheidungsträgern auf einen Rahmen verständigt. In diesem ersten Kick-Off Gespräch werden die einzelnen Schritte und Unternehmensteile angesprochen und ein grober „Fahrplan“ entworfen.
Der eigentliche „Cybersecurity-Check“ besteht im Wesentlichen aus zwei Komponenten: Zum einen aus der organisatorischen und zum anderen aus der technischen Prüfung, bezogen auf den zuvor festgelegten Untersuchungsgegenstand.
Bei der organisatorischen Prüfung werden die Unternehmensstrukturen und Abläufe geprüft. Werden bestehende Regelungen, Arbeitsanweisungen und Vorschriften angewendet?
Bei der technischen Prüfung werden die sicherheitsrelevanten Aspekte genauer analysiert. Hier liegt der Fokus meist auf den Bereichen IT-Infrastruktur (z. B. Netzwerk- und Clientebene, Windows Gruppenrichtlinien, Virtualisierungstechnologien, DHCP, DNS, Fileserver, Domaincontroller, offene Ports, Patch-Level-Stand, Schnittstellen etc.) sowie IT-Anwendungen (z. B. Passwort Policy und Windows Active Directory).
Nach einer Prüfung der besprochenen Unternehmensteile wird von dem Prüfer eine genaue Risikoanalyse mit Bewertung der einzelnen Faktoren sowie deren Schweregrade im Hinblick auf die Risiken vorgenommen. Selbstverständlich werden nicht nur die jeweiligen Problemstellen aufgezeigt, sondern auch konkrete Handlungsmöglichkeiten zur Lösung der jeweiligen Faktoren. Die jeweiligen Entscheidungsträger erhalten diesen „Prüfbericht“ im Rahmen des „Cybersecurity-Checks“ ausgehändigt. Nach der Umsetzung der empfohlenen Maßnahmen können die größten „Stolpersteine“ auf dem Weg zu einer guten Compliance-Sicherheit und einer eventuellen Prüfung oder Zertifizierung aus dem Weg geräumt werden.
Ein weiterer wichtiger Faktor sind die Mitarbeitenden in den Krankenhäusern, die mit den IT-Systemen und Patientendaten arbeiten (müssen). Diese müssen je nach Aufgabengebiet regelmäßig in den Bereichen Informationssicherheit und Datenschutz geschult werden. Die IT-Administratoren sollten stets auf dem neuesten Stand der IT-Sicherheit (operative Umsetzung) sein. Hierzu gehören z. B. Veröffentlichungen von Schwachstellen, Updates von Herstellern, aktuelle IT-News etc. Weiter sind die Systeme ordnungsgemäß zu administrieren. Der oder die Informationssicherheits- und Datenschutzbeauftragte (ISB / DSB) kann intern Schulungen durchführen und seine/ihre überwachende Rolle wahrnehmen.
Empfehlung: Ganzheitliche Absicherung von Prozessen und Technik
Um die Schutzziele der Informationssicherheit in den Krankenhäusern angemessen zu schützen, sollte ein Informationssicherheitsmanagementsystem (ISMS) auf Basis bewährter Standards (ISO27001 oder BSI IT-Grundschutz) implementiert werden. Im Fokus stehen die Absicherung der Prozesse, der genutzten Daten und der Infrastruktur bzw. IT.
Der Bundesverband der Krankenhäuser in der Bundesrepublik Deutschland (Deutsche Krankenhaus Gesellschaft) hat einen branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus ausgearbeitet (Stand 2019), und das BSI hat diesen Cyber-Sicherheitsstandard für Krankenhäuser anerkannt. Kern des Sicherheitsstandards ist die Einführung und Implementierung eines ISMS, das dafür sorgt, dass die Informationssicherheit in Krankenhäusern ordnungsgemäß gewährleistet wird.
Die generellen Anforderungen an die Informationssicherheit sind nicht neu. Die Entwicklung der Informationssicherheit im Krankenhaussektor ist keine Revolution, sondern eher eine Weiterentwicklung und Anpassung an neue Gegebenheiten. Das Top-Management des Krankenhauses oder der Krankenhausgesellschaft sollten in der heutigen Zeit über alle Top-Risiken informiert sein, um ggfs. Maßnahmen einleiten zu können. Dies ist auch von Nöten, um so Schäden wie Image- oder Reputationsschaden, finanzielle Risiken etc. nicht eintreten zu lassen und den wirtschaftlichen Erfolg des Krankenhauses zu sichern.
Aus der Erfahrung heraus ergeben sich durch die zunehmende Digitalisierung und bedingt durch die Einführung neuer IT-Systeme weitere Anforderungen an die Informationssicherheit, die von den Krankenhäusern zu erfüllen sind. So müssen sie sich intensiver mit Angriffsvektoren von potenziellen Angreifern beschäftigen, ihre Mitarbeiter permanent hinsichtlich Social Engineering sensibilisieren und darauf achten, dass datenschutzrechtliche Anforderungen (z.B. aus DSGVO) eingehalten werden.
Nach wie vor gilt aber auch der alte Grundsatz, dass wir zwar nicht die ganze Welt ändern können, aber jeder kann etwas in seinem eigenen Rahmen ändern und damit zu einer größeren Veränderung beitragen.
Dieser Artikel erscheint auch in der Februar-Ausgabe der Revisionspraxis PRev und wurde ebenfalls auf security-insider.de veröffentlicht