Skip to content Skip to footer
Suche

Ergebnisse werden geladen

Sicherheit und digitale Hygiene im Krankenhaus

Ihr Experte für Fragen

Jörg Asma

Jörg Asma
Partner Cyber Security bei PwC Deutschland
Tel.: +49 221 2084-103
E-Mail

Cybersicherheit als unentbehrliche Säule der medizinischen Versorgung

Während die Digitalisierung des Gesundheitswesens voranschreitet, geraten Krankenhäuser zunehmend in das Fadenkreuz von Cyber-Kriminellen. Erpressung, Datendiebstahl und Einschränkungen durch Hacker-Angriffe sind ernstzunehmende Bedrohungen. Das Thema Cybersicherheit nimmt mittlerweile einen ähnlichen Stellenwert ein wie Hygiene und Qualitätsmanagement. Der Gesetzgeber hat die Gefahr erkannt und Anforderungen an die IT-Sicherheit in Krankenhäusern deutlich verschärft.

Ab Januar 2022 sind umfangreiche IT-Sicherheitsmaßnahmen für alle Krankenhäuser verpflichtend – nicht nur für große Häuser, die als kritische Infrastrukturen (KRITIS) eingestuft sind.

Abwarten ist keine Option: Die Absicherung nach dem Stand der Technik ist eine Organisationspflicht. Im Ernstfall drohen Führungskräften und Entscheider:innen massive rechtliche Folgen, wenn die Systeme nicht nach Stand der Technik abgesichert sind. Wir geben Ihnen im Folgenden einen Überblick der rechtlichen Hintergründe und vielfältigen Anforderungen an die IT-Sicherheit in der Klinik.

Damit das Krankenhaus nicht zum Cyber-Jackpot wird

Digitalisierung bringt Pflichten zur Absicherung mit sich

Vor dem Hintergrund der digitalen Transformation steht die Krankenhausleitung unter Zugzwang: Prozesse und Abläufe müssen digitalisiert werden – das erfordern der technologische Fortschritt, die Wettbewerbssituation, der Personalmangel und drohende Abschläge, die durch das Krankenhauszukunftsgesetz (KHZG) im Krankenhausentgeltgesetz (KHEntG) eingeführt wurden (§ 5 Abs. 3h KHEntgG). Gleichzeitig bestehen strenge Pflichten zur Absicherung digitaler Systeme. Sie entstehen unter anderem durch die allgemeine Verantwortung von Ärzt:innen und Betreibern für die Vermeidung von Schäden, durch Datenschutzvorgaben (Art. 32 DSGVO), aufgrund von Anforderungen an die Nutzung der Telematikinfrastruktur sowie konkreten Sicherheitsvorgaben für Krankenhäuser.

IT-Sicherheit wird 2022 zum Muss – nicht nur für KRITIS-Häuser

Für Krankenhäuser mit mehr als 30.000 vollstationären Patienten pro Jahr greift seit Jahren das BSI-Gesetz (BSIG). Solche Krankenhäuser gelten als kritische Infrastrukturen (KRITIS). Sie müssen nachweisen, dass ihre Absicherung dem Stand der Technik entspricht. Mit Inkrafttreten des Patientendaten-Schutz-Gesetzes (PDSG) hat sich diese Ausnahmestellung der großen Krankenhäuser in puncto IT-Sicherheit geändert. Laut § 75c SGB V sind ab dem 1. Januar 2022 nicht mehr nur KRITIS-Häuser, sondern alle Krankenhäuser in Deutschland zu angemessenen organisatorischen und technischen Vorkehrungen verpflichtet – das bedeutet zur Umsetzung des B3S.

Klare Vorgaben für Maßnahmen: der B3S für Krankenhäuser

Die Referenz für angemessene Maßnahmen ist der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus, den die Deutsche Krankenhausgesellschaft (DKG) in Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt hat und regelmäßig aktualisiert. Gefordert sind organisatorische und technische Maßnahmen, um die „kritische Dienstleistung“ eines Krankenhauses abzusichern. Es geht um weit mehr als IT-Sicherheit im engeren Sinn: Das übergeordnete Ziel ist, die im jeweiligen Krankenhaus etablierten Versorgungsniveaus aufrechtzuerhalten.

Die Bedrohung kommt nicht von ungefähr

Kaum ein Ort ist so abhängig vom Funktionieren und Zusammenspiel so unterschiedlicher digitaler Systeme, wie ein modernes Krankenhaus. Für Cyber-Kriminelle sind Krankenhäuser attraktive Ziele, denn häufig sind sie schlecht gesichert. Weil sie zudem öffentlich exponiert und unentbehrlich sind, scheinen hohe Erpressungssummen bei Ransomware Attacken leicht und schnell erreichbar. Doch auch andere Angreifergruppen haben ein Auge auf medizinische Einrichtungen. Die Patientenakten von Wirtschaftsführer:innen oder Politiker:innen sowie deren Angehörigen sind beispielsweise von großem Interesse für Nachrichtendienste und konkurrierende Unternehmen. Ebenso können Forschungsdaten großen Wert für Wettbewerber haben. Doch Cybersicherheit bedeutet nicht nur die Absicherung gegen Angriffe von Außen. Genauso müssen Informationen vor unberechtigten Zugriffen und sogenannten Innentätern geschützt werden. Und nicht zuletzt kann ein System auch ganz ohne äußeres Zutun ausfallen, etwa durch menschliche Fehler, mangelnde Wartung und Investitionen oder Lücken in Prozessen. All dies im Blick zu haben und abzusicheren, das ist die Aufgabe von Cyber Sicherheit.

Gesetzliche Grundlagen für Digitalisierung und Informationssicherheit im Krankenhaus

Rechtliche Folgen unzureichender Cybersicherheit

Die unmittelbaren Folgen eines erfolgreichen Cyberangriffs sind immens. Sie reichen von Betriebsunterbrechungen, Reputationsverlusten und dem Diebstahl sensibler Patientendaten über die wirtschaftlichen Kosten der Bewältigung von Einschränkungen und der Wiederherstellung des Normalbetriebs bis hin zur Gefährdung von Patienten. Doch auch unabhängig davon, ob ein Angriff stattgefunden hat oder nicht, drohen Krankenhausbetreibern und Berufsträgern eine Reihe von rechtlichen Konsequenzen bei Verstößen gegen die IT-Sicherheitsanforderungen. Dazu gehören unter anderem vertragsärztliche Folgen, Schadensersatzforderungen, Bußgelder, und die Rückforderung von Fördergeldern. Im äußersten Fall drohen strafrechtliche Konsequenzen.

Überblick zu den rechtlichen Folgen

Richtig in Cyber-Sicherheit investieren

Während die Digitalisierung im Gesundheitswesen voranschreitet, steigen auch die Risiken von Cyber-Angriffen. Wie können sich Krankenhäuser als besonders lukrative Ziele angemessen schützen? Welche Fördermittel können sie nutzen, um die IT-Sicherheit auf den neuesten Stand zu bringen? Jörg Asma und Dr. Benedict Gross erläutern im Interview, worauf es bei der Finanzierung und der Umsetzung von Maßnahmen ankommt.

„Krankenhäuser stehen unter Digitalisierungsdruck, dürfen dabei aber die Sicherheit nicht vernachlässigen. Cybersecurity ist eine zentrale Voraussetzung für die nachhaltige Digitalisierung des Gesundheitssystems.“

Jörg Asma,Partner und verantwortlich für Digitalisierung und Sicherheit im Gesundheitswesen bei PwC Deutschland

Weitere Dienstleistungen zur Digitalisierung und Sicherheit im Krankenhaus

Follow us

Contact us

Jörg Asma

Jörg Asma

Partner Cyber Security, PwC Germany

Tel.: +49 221 2084-103

Dr. Benedict Gross

Dr. Benedict Gross

Senior Manager, PwC Germany

Tel.: +49 89 5790-5575

Hide