IT-Sicherheit im Gesundheitswesen
Wie gefährdet die IT-Sicherheit im Gesundheitswesen ist, wissen wir nicht erst seit Februar 2016: Damals wurden die IT-Infrastrukturen vieler Kliniken durch einen einfachen Virenangriff stillgelegt. Daher drängen die Behörden strenger darauf, dass nicht nur Kliniken, sondern auch Hersteller die IT-Sicherheit ihrer (Medizin-)Produkte gewährleisten.
In diesem Artikel erhalten Sie einen Überblick darüber, was die IT-Sicherheit im Gesundheits- wesen gefährdet und was Sie dagegen tun können und müssen. Damit wird es Ihnen gelingen, regulatorischen Ärger zu vermeiden und Produkte sicher zu entwickeln und zu betreiben.
1.
Die Bedrohung der IT-Sicherheit beschränkt sich nicht auf das Gesundheitswesen. Dennoch gibt es einige Besonderheiten zu beachten:
Im Gegensatz zu Angriffen auf die Infrastrukturen von Privatpersonen oder Unternehmen stellen Angriffe auf IT-Infrastrukturen im Gesund- heitswesen (z.B. in Kliniken) eine Bedrohung von Menschen, konkret von Patienten dar. Wenn, wie jetzt geschehen, die IT einer Klinik aus- fällt, kann sie keine Patienten mehr aufnehmen und muss OPs verschie- ben. Wenn der Angriff die Beatmungsgeräte einer Intensivstation trifft, können Patienten innerhalb von Minuten versterben.
Die Bedrohung der IT-Sicherheit im Gesundheitswesen ist auch eine Bedrohung des Schutzes höchst vertraulicher Gesundheitsdaten. Auch, aber nicht nur deshalb gibt es spezifische Regularien für die Betreiber von Gesundheitseinrichtungen und die Hersteller von Medizinprodukten. Diese werden Sie im folgenden Abschnitt finden.
In nur wenigen Branchen wird so wenig Geld in die IT investiert wie in Gesundheitseinrichtungen. Gemäß dem Motto „you get what you pay for“ arbeitet in vielen Kliniken zu wenig und zu schlecht ausge- bildetes Personal in der IT. Zudem schwächen abenteuerliche IT- Infrastrukturen und ein hohes Maß an – teilweise unkoordiniertem – Outsourcing an verschiedene Akteure (z.B. Dienstleister für Drucker, Firewalls, PCs, Hersteller von IT-Systemen und Medizingeräten) die IT-Sicherheit.
Auch die Hersteller sind für die mangelnde IT-Sicherheit mit verantwortlich. Zu den Defiziten zählen:
- „Historisch gewachsene“ System- und Software-Architekturen
- Ein mangelndes Verständnis für die Bedrohung der IT-Sicherheit durch die völlige Vernetzung von IT und Medizintechnik
- Ein mangelnder Wille, im Risikomanagement die IT-Security systematisch zu analysieren und zu beherrschen
- Fehlende Bereitschaft, Verantwortung nicht nur für das eigene Produkt zu übernehmen, sondern auch für das Produkt im Kontext eines Kliniknetzes
2.
Anforderungen an die Betreiber
- Vielen unbekannt ist die EU-Richtlinie 2016/1148 „über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“. Sie ist auch als NIS Directive bekannt (The Directive on security of network and information systems).
- Diese Richtlinie nennt im Anhang II explizit „Einrichtungen der medizinischen Versorgung (ein- schließlich Krankenhäuser und Privatkliniken)„. Sie wurde als BSI-Gesetz (s.o.) in nationales Recht überführt.
- Weiter müssen die Betreiber den Datenschutz gewährleisten. Die IT-Sicherheit ist eine notwendige, aber keine hinreichende Voraussetzung dafür. Die Datenschutzgrundverordnung bildet die Grundlage.
- Daneben gibt es nationale Vorschriften wie beispielsweise das BSI-Gesetz sowie weitere Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) speziell an das Gesundheitswesen. Im Zuge der Nationalen Strategie zum Schutz kritischer Infrastrukturen (KRITIS-Strategie) wurde auch das IT-Sicherheitsgesetz in Kraft gesetzt, das das Gesundheitswesen explizit mit einschließt.
- Durch die stärkere Vernetzung werden Medizinprodukte-Hersteller zunehmend auch zum Betreiber, sodass die MPBetreibV zum Tragen kommt, die den sicheren Betrieb fordert.
Die IEC 80001 ist eine Norm, die das Risikomanagement beim Betrieb von IT-Systemen im Gesundheitswesen beschreibt. Die Daten- und Systemsicherheit (IT-Security) ist eines der drei expliziten Schutzziele. Relevant ist in diesem Kontext insbesondere die IEC 80001-2-8 (Application guidance — Guidance on standards for establishing the security capabilities identified in IEC 80001-2-2).
Die Deutsche Krankenhaus Gesellschaft hat einen Leitfaden mit dem Titel „Branchenspezi- fischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ herausgegeben