Informationssicherheit im Krankenhaus

Management der Informationssicherheit für alle Krankenhäuser: Prüfung der Aktualität der im B3S beschriebenen Vorkehrungen

Mit der Neugestaltung des § 75c SGB V wurden alle Krankenhausbetreiber aufgefordert, für ihre Einrichtungen technische und organisatorische Maßnahmen zu etablieren, die die Verfügbarkeit, Integrität und Vertraulichkeit von Patienteninformationen sichern. Bislang galt dies verpflichtend nur für KRITIS-Kliniken.

Mit Beginn des Jahres 2022 müssen alle Kliniken Technische und Organisatorische Maßnahmen etabliert haben, die eine

• „Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit
• sowie der weiteren Sicherheitsziele ihrer informations¬technischen Systeme, Komponenten oder Prozesse“

sicherstellen. (§ 75c SGB V)

Der Geltungsbereich ist dabei so zu wählen, dass alle Prozesse erfasst werden, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.

Ferner müssen die Maßnahmen dem Stand der Technik entsprechen. Hier gilt die Einschränkung, dass die Umsetzung der Maßnahmen dann angemessen ist, wenn „der Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen“ steht. (§ 75c SGB V)

Bereits der 2. Absatz des § 75c SGB V liefert einen Lösungsansatz: Es wird ein branchenspezifischer Sicherheitsstandard (B3S) empfohlen, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde.

Einen solchen B3S hat die Deutsche Krankenhausgesellschaft e.V. (DKG) für den Sektor Gesundheit mit dem Scope Medizinische Versorgung bereits für die KRITIS-Kliniken etabliert und beantragt. Er wurde vom BSI als geeignet festgestellt. Leider hat dieser B3S den Schönheitsfehler, dass bereits der „Ablauf der Eignungsfeststellung“ im August 2021 eingetreten ist. Damit ist nun der B3S nicht obsolet, aber das BSI stellt in seinen FAQ fest:

„Nach Ablauf der auf zwei Jahre befristeten Eignungsfeststellung durch das BSI kann grundsätzlich nicht mehr davon ausgegangen werden, dass der "Stand der Technik" durch die im B3S beschriebenen Sicherheitsvorkehrungen in vollem Umfang erfüllt ist.
Auch bei vorliegender Eignungsfeststellung des B3S muss für den Nachweis gemäß § 8a Absatz 3 BSIG die Aktualität der im B3S beschriebenen Vorkehrungen geprüft werden.“

Krankenhausbetreiber müssen also die Maßnahmen selbst auf Aktualität überprüfen oder überprüfen lassen. Da angenommen werden muss, dass der "Stand der Technik" nicht mehr von den beschriebenen Maßnahmen erfüllt wird. Ein Nachweis nach § 8a Absatz 3 BSIG kann also aus Sicht des BSI nur erbracht werden, wenn die Maßnahmen überprüft wurden.

Auch aus unserer Sicht sind solche Überprüfungen, die die Aktualität der Maßnahmen betreffen, eine zwingende Voraussetzung für ein funktionsfähiges System zur Sicherung der Informationssicherheit. Prüfungen dieser Art als „Blick von außen“ bietet die GUTcert gern auf Anfrage an.

Der umfassende Ansatz ist natürlich ein ISMS nach ISO/IEC 27001und EN ISO 27799, das dann auch zertifiziert werden kann. In einem solchen System ist die regelmäßige Überprüfung der Maßnahmen immanent.

Ansprechperson

Haben Sie Fragen oder Hinweise zum Thema Informationssicherheits-Managementsysteme? Wenden Sie sich gerne an Bozena Jakubowska.