Krankenhäuser jeder Größe sind als lukrative Ziele längst in das Fadenkreuz von Cyberkriminellen geraten. Erfolgreiche Angriffe verursachen hohe Schäden und gefährden das Wohl der Patient:innen. Der Gesetzgeber hat die Gefahren erkannt und weitreichende Pflichten zur Absicherung der IT-Systeme und Infrastrukturen erlassen. Seit Anfang des Jahres greifen neue Vorgaben auch für kleine Häuser.
Das PwC-Whitepaper „Digitalisierung im Krankenhaus? Aber sicher!“ nimmt ausgehend von dem gesetzlichen Rahmen für die digitale Transformation im Krankenhaus die relevanten Sicherheitsanforderungen in den Blick. Es analysiert die aktuelle Bedrohungslage sowie Folgen unzureichender IT-Sicherheit und skizziert einen Weg, wie Krankenhäuser angemessene organisatorische und technische Vorkehrungen treffen können.
„Cybersicherheit ist das Fundament für eine erfolgreiche Digitalisierung des Gesundheitswesens“, sagt Michael Burkhart, Leiter Gesundheitswirtschaft bei PwC Deutschland. „Die verschärften Anforderungen an Krankenhäuser erfordern eine kontrollierte Umsetzung der nötigen Maßnahmen. IT-Sicherheit wird dadurch noch stärker zu einer zentralen Management-Aufgabe.“
Neue Pflichten für Nicht-KRITIS Häuser
Für Krankenhäuser mit mehr als 30.000 vollstationären Patient:innen pro Jahr greifen schon seit Jahren hohe Sicherheitsanforderungen. Sie sind als kritische Infrastrukturen (KRITIS) eingestuft und müssen laut dem BSI-Gesetz (BSIG) regelmäßig nachweisen, dass ihre Absicherung dem Stand der Technik entspricht. Laut § 75c SGB V sind ab dem 1. Januar 2022 nun grundsätzlich alle Krankenhäuser dazu verpflichtet, angemessene Vorkehrungen zu treffen – unabhängig von ihrer Größe.
Die Referenz für die organisatorischen und technischen Maßnahmen bildet der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus. Er wurde von der Deutschen Krankenhausgesellschaft (DKG) in Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt, um die kritische Dienstleistung eines Krankenhauses abzusichern. Insgesamt enthält der Standard ca. 200 Anforderungen und Empfehlungen für Maßnahmen. Dazu gehören die Einführung eines Informationssicherheitssystems (ISMS) und eines Business Continuity Systems (BCM) sowie ein aktives Management von Risiken rund um den Ausfall digitaler Systeme.
Rechtliche Folgen bei Nichteinhaltung der Vorgaben
„Die strengeren Vorgaben sind eine gute Nachricht für die Patientensicherheit. Sie erhöhen für Krankenhäuser aber auch den Druck, das etablierte Versorgungsniveau bei IT-Ausfällen aufrechtzuerhalten“ erklärt Dr. Benedict Gross, Senior Manager bei PwC Deutschland und Experte für Business Continuity und Krisenmanagement. „Um rechtliche Risiken zu reduzieren, ist eine transparente Umsetzungspraxis der Schlüssel. Dabei helfen zum Beispiel strukturierte Planungen und Reifegradmodelle. Sie machen transparent, wie es wirklich um die Sicherheit des Hauses steht.“
Wenn die IT-Sicherheitsanforderungen nicht eingehalten werden, drohen nicht nur Einschränkungen des Krankenhausbetriebs und die Gefährdung von Patient:innen. Den Verantwortlichen stehen eine Reihe rechtlicher Konsequenzen bevor. Sie reichen von vertragsärztlichen Folgen und Schadensersatzforderungen über Bußgelder und die Rückforderung von Fördergeldern bis hin zu strafrechtlichen Konsequenzen.
Dynamische Bedrohungslage sorgt für anhaltende Risiken
„Cyberkriminelle agieren in einer zunehmend ausdifferenzierten Untergrund-Ökonomie. Sie sind kreativ und passen ihr Vorgehen schnell an. Die Bedrohung ist von Dauer – in ständig neuen Facetten. Deshalb ist Cybersicherheit heute im Krankenhaus so wichtig wie die Hygiene.“, sagt Jörg Asma, Partner im Bereich Cyber Security bei PwC Deutschland und Experte für die Digitalisierung von Krankenhäusern.
Aktuell floriert zum Beispiel das Geschäft mit der Cyber-Erpressung durch Ransomware. Die Angreifer verschaffen sich dabei Zugang zu den Systemen einer Organisation und legen sie mit einer Verschlüsselung lahm. Anschließend verlangen sie ein Lösegeld in Millionenhöhe, um die Systeme zu entschlüsseln. Zusätzlich drohen sie damit, zuvor entwendete Daten zu veröffentlichen. Krankenhäuser sind für diese Masche lohnende Angriffsziele aufgrund des hohen Werts von sensiblen Patientendaten und des großen Drucks für die Wiederherstellung bei einem Ausfall.
Um die Sicherheit in Krankenhäusern nachhaltig zu erhöhen, empfehlen die Expert:innen von PwC ein mehrstufiges Vorgehen. Einerseits geht es darum, den Status-quo zu den B3S-Anforderungen zu erheben, den Reifegrad zu definieren, Steuergrößen zu erstellen und eine konsequente Umsetzung zu planen. Andererseits sollten weitere Best-Practice-Maßnahmen der IT-Sicherheit den Umsetzungsprozess flankieren. Dazu gehören regelmäßig angesetzte Penetrationstests, ein professionalisiertes Patch-Management, um bekannt gewordene Sicherheitslücken schnell zu schließen und eine Vorbereitung der Organisation auf den Ernstfall.
Quelle: PwC