Ihr Experte für Fragen
Jörg Asma
Partner Cyber Security bei PwC Deutschland
Tel.: +49 221 2084-103
E-Mail
Während die Digitalisierung des Gesundheitswesens voranschreitet, geraten Krankenhäuser zunehmend in das Fadenkreuz von Cyber-Kriminellen. Erpressung, Datendiebstahl und Einschränkungen durch Hacker-Angriffe sind ernstzunehmende Bedrohungen. Das Thema Cybersicherheit nimmt mittlerweile einen ähnlichen Stellenwert ein wie Hygiene und Qualitätsmanagement. Der Gesetzgeber hat die Gefahr erkannt und Anforderungen an die IT-Sicherheit in Krankenhäusern deutlich verschärft.
Ab Januar 2022 sind umfangreiche IT-Sicherheitsmaßnahmen für alle Krankenhäuser verpflichtend – nicht nur für große Häuser, die als kritische Infrastrukturen (KRITIS) eingestuft sind.
Abwarten ist keine Option: Die Absicherung nach dem Stand der Technik ist eine Organisationspflicht. Im Ernstfall drohen Führungskräften und Entscheider:innen massive rechtliche Folgen, wenn die Systeme nicht nach Stand der Technik abgesichert sind. Wir geben Ihnen im Folgenden einen Überblick der rechtlichen Hintergründe und vielfältigen Anforderungen an die IT-Sicherheit in der Klinik.
Vor dem Hintergrund der digitalen Transformation steht die Krankenhausleitung unter Zugzwang: Prozesse und Abläufe müssen digitalisiert werden – das erfordern der technologische Fortschritt, die Wettbewerbssituation, der Personalmangel und drohende Abschläge, die durch das Krankenhauszukunftsgesetz (KHZG) im Krankenhausentgeltgesetz (KHEntG) eingeführt wurden (§ 5 Abs. 3h KHEntgG). Gleichzeitig bestehen strenge Pflichten zur Absicherung digitaler Systeme. Sie entstehen unter anderem durch die allgemeine Verantwortung von Ärzt:innen und Betreibern für die Vermeidung von Schäden, durch Datenschutzvorgaben (Art. 32 DSGVO), aufgrund von Anforderungen an die Nutzung der Telematikinfrastruktur sowie konkreten Sicherheitsvorgaben für Krankenhäuser.
Für Krankenhäuser mit mehr als 30.000 vollstationären Patienten pro Jahr greift seit Jahren das BSI-Gesetz (BSIG). Solche Krankenhäuser gelten als kritische Infrastrukturen (KRITIS). Sie müssen nachweisen, dass ihre Absicherung dem Stand der Technik entspricht. Mit Inkrafttreten des Patientendaten-Schutz-Gesetzes (PDSG) hat sich diese Ausnahmestellung der großen Krankenhäuser in puncto IT-Sicherheit geändert. Laut § 75c SGB V sind ab dem 1. Januar 2022 nicht mehr nur KRITIS-Häuser, sondern alle Krankenhäuser in Deutschland zu angemessenen organisatorischen und technischen Vorkehrungen verpflichtet – das bedeutet zur Umsetzung des B3S.
Die Referenz für angemessene Maßnahmen ist der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus, den die Deutsche Krankenhausgesellschaft (DKG) in Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt hat und regelmäßig aktualisiert. Gefordert sind organisatorische und technische Maßnahmen, um die „kritische Dienstleistung“ eines Krankenhauses abzusichern. Es geht um weit mehr als IT-Sicherheit im engeren Sinn: Das übergeordnete Ziel ist, die im jeweiligen Krankenhaus etablierten Versorgungsniveaus aufrechtzuerhalten.
Kaum ein Ort ist so abhängig vom Funktionieren und Zusammenspiel so unterschiedlicher digitaler Systeme, wie ein modernes Krankenhaus. Für Cyber-Kriminelle sind Krankenhäuser attraktive Ziele, denn häufig sind sie schlecht gesichert. Weil sie zudem öffentlich exponiert und unentbehrlich sind, scheinen hohe Erpressungssummen bei Ransomware Attacken leicht und schnell erreichbar. Doch auch andere Angreifergruppen haben ein Auge auf medizinische Einrichtungen. Die Patientenakten von Wirtschaftsführer:innen oder Politiker:innen sowie deren Angehörigen sind beispielsweise von großem Interesse für Nachrichtendienste und konkurrierende Unternehmen. Ebenso können Forschungsdaten großen Wert für Wettbewerber haben. Doch Cybersicherheit bedeutet nicht nur die Absicherung gegen Angriffe von Außen. Genauso müssen Informationen vor unberechtigten Zugriffen und sogenannten Innentätern geschützt werden. Und nicht zuletzt kann ein System auch ganz ohne äußeres Zutun ausfallen, etwa durch menschliche Fehler, mangelnde Wartung und Investitionen oder Lücken in Prozessen. All dies im Blick zu haben und abzusicheren, das ist die Aufgabe von Cyber Sicherheit.
Mit dem Krankenhauszukunftsgesetz (KHZG) stellt der Bund Krankenhäusern mehrere Milliarden Euro für ein „digitales Update“ und eine bessere digitale Infrastruktur bereit. Das Gesetz macht dabei Ausgaben von mindestens 15 Prozent zur Verbesserung der IT-Security für alle vom Krankenhauszukunftsfonds geförderten Maßnahmen verpflichtend. Durch das KHZG wurde auch das Krankenhausentgeltgesetz (KHEntgG) ergänzt. So drohen ab dem Jahr 2025 Abschläge, wenn Krankenhäuser digitale Dienste, wie sie vom Krankenhauszukunftsfonds gefördert werden, nicht einführen.
Der neue § 75c SGB V macht die Absicherung nach dem Stand der Technik zu einer Pflicht für alle Krankenhäuser in Deutschland. Ab dem 1. Januar 2021 sind demnach nicht mehr nur KRITIS-Häuser mit mehr als 30.000 vollstationären Patient:innen pro Jahr verpflichtet, angemessene organisatorische und technische Vorkehrungen für die Cybersecurity zu treffen – sondern Krankenhäuser jeder Größe.
Das Patientendaten-Schutz-Gesetz (PDSG) gibt den Patient:innen die Hoheit über ihre Daten und macht gleichzeitig die Nutzer der Telematikinfrastruktur wie Krankenhäuser für den Schutz der von ihnen verarbeiteten Patientendaten verantwortlich. Sie müssen Störungen und Sicherheitsmängel unverzüglich melden. Tun sie das nicht ordnungsgemäß, droht ihnen ein Bußgeld von bis zu 300.000 Euro.
Die Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) hat den Begriff der „kritischen Komponenten“ eingeführt und zwingt KRITIS-Betreiber, den erstmaligen Einsatz einer kritischen Komponente dem Bundesministerium des Innern, für Bau und Heimat anzuzeigen. Das Bundesministerium kann den Einsatz untersagen.
Nicht zuletzt hat die Datenschutz-Grundverordnung (DSGVO) den Bußgeldrahmen für Datenschutzverstöße auf bis zu 20 Millionen Euro festgelegt. Darüber hinaus beinhaltet das IT-Sicherheitsgesetz 2.0 vom 28. Mai 2021 nun auch Regelungen, welche die Sanktionen und Strafzahlungen auf das Niveau der DSGVO anheben (jetzt § 14 Abs. 5 Satz 3 BSIG mit Verweis auf § 30 Abs. 2 Satz 3 OWiG).
Das Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG) bildet den Rahmen für digitale Gesundheitsanwendungen, den Ausbau telemedizinischer Versorgungsangebote und der Telematikinfrastruktur (E-Rezept, ePA).
Die Gesundheits-IT-Interoperabilitäts-Governance-Verordnung (GIGV) soll die Durchgängigkeit digitaler Prozesse fördern, indem Standards und Schnittstellen informationstechnischer Systeme für alle relevanten Akteure im Gesundheitswesen transparent gemacht werden – unter anderem durch die Weiterentwicklung des Interoperabilitätsverzeichnisses vesta zu einer Wissensplattform.
Die unmittelbaren Folgen eines erfolgreichen Cyberangriffs sind immens. Sie reichen von Betriebsunterbrechungen, Reputationsverlusten und dem Diebstahl sensibler Patientendaten über die wirtschaftlichen Kosten der Bewältigung von Einschränkungen und der Wiederherstellung des Normalbetriebs bis hin zur Gefährdung von Patienten. Doch auch unabhängig davon, ob ein Angriff stattgefunden hat oder nicht, drohen Krankenhausbetreibern und Berufsträgern eine Reihe von rechtlichen Konsequenzen bei Verstößen gegen die IT-Sicherheitsanforderungen. Dazu gehören unter anderem vertragsärztliche Folgen, Schadensersatzforderungen, Bußgelder, und die Rückforderung von Fördergeldern. Im äußersten Fall drohen strafrechtliche Konsequenzen.
Während die Digitalisierung im Gesundheitswesen voranschreitet, steigen auch die Risiken von Cyber-Angriffen. Wie können sich Krankenhäuser als besonders lukrative Ziele angemessen schützen? Welche Fördermittel können sie nutzen, um die IT-Sicherheit auf den neuesten Stand zu bringen? Jörg Asma erläutert im Interview, worauf es bei der Finanzierung und der Umsetzung von Maßnahmen ankommt.
„Krankenhäuser stehen unter Digitalisierungsdruck, dürfen dabei aber die Sicherheit nicht vernachlässigen. Cybersecurity ist eine zentrale Voraussetzung für die nachhaltige Digitalisierung des Gesundheitssystems.“