Skip to main content

Neues IT-Sicherheitsgesetz für das Gesundheitswesen: "Verantwortliche sollten das Thema ernst nehmen"

Dr.-Ing. Constanze Woldenga, Expertin für den Bereich IT-Sicherheit in Krankenhäusern und Healthcare-Spezialistin für die akquinet AG, erläutert im Interview die wesentlichen Aspekte des neuen IT-Sicherheitsgesetzes und die sich daraus ergebenden Anforderungen an Krankenhäuser.


Frau Dr. Woldenga, worum geht es bei dem neuen IT-Sicherheitsgesetz?

Das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz IT-Sicherheitsgesetz, ist eines der bedeutendsten Gesetze der letzten Jahre zum Thema IT-Sicherheit. Unsere Gesellschaft ist heute maßgeblich von technischen Systemen abhängig. Wir profitieren von den Vorteilen der Digitalisierung, sehen uns aber gleichzeitig neuen Gefahren, wie beispielsweise Datenverlust durch Hackerangriffe, gegenüber. Daher fordert das Gesetz Betreiber "Kritischer Infrastrukturen" (KRITIS) auf, ihre IT-Systeme umfassend zu überprüfen und sie zur Vermeidung von Störungen dem Stand der Technik entsprechend anzupassen.

Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dazu zählen neben den staatlichen Organisationen und Einrichtungen auch solche aus den Bereichen Energieversorgung, Finanzwesen, Informationstechnik und Telekommunikation, Ernährung und auch aus dem Gesundheitswesen. Für sie muss die IT-Sicherheit oberste Priorität haben, um die hohe Qualität und Stabilität ihrer Dienstleistungen im Normalfall, aber auch in Krisenzeiten aufrechtzuerhalten.

Welche konkreten Forderungen stellt das Gesetz an Betreiber Kritischer Infrastrukturen und insbesondere an das Gesundheitswesen?

Das neue IT-Sicherheitsgesetz fordert die Einhaltung von Mindestanforderungen an die IT-Sicherheit, das bedeutet, die wesentlichen IT-Systeme nach dem aktuellen Stand der Technik angemessen abzusichern und die Einhaltung dieser Sicherheitsstandards in geplanten Abständen nachzuweisen. Darüber hinaus werden die Betreiber von Kritischen Infrastrukturen verpflichtet, Beeinträchtigungen, Störungen und sowie Sicherheitsvorfälle direkt an die zuständige Stelle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu melden. Dabei müssen Betreiber von Kritischen Infrastrukturen unaufgefordert die Anforderungen aus dem IT-Sicherheitsgesetz umsetzen. Transparenz spielt hier also eine entscheidende Rolle.

Aufgrund der besonderen gesellschaftlichen Relevanz des Gesundheitswesens sind aber grundsätzlich alle Unternehmen des Gesundheitswesens angehalten, das Thema IT-Sicherheit ernst zu nehmen und vorbereitend die Anforderungen aus dem Gesetz in ihrer Planung zu berücksichtigen. Denn nur so kann schlussendlich eine durchgängige Behandlungsqualität für die Patienten sichergestellt werden. Da die Erfüllung der Anforderungen innerhalb von zwei Jahren nach Inkrafttreten der Rechtsverordnung zum Gesundheitswesen umgesetzt und nachgewiesen werden muss, stehen die Verantwortlichen damit unter einem enormen zeitlichen Druck.

Worin sehen Sie die wichtigsten Handlungsfelder für Krankenhäuser?

Krankenhaus-Verantwortliche müssen zu jeder Zeit einen klaren Blick auf drei bedeutende Handlungsfelder haben: Risikomanagement, (durchgängiges) Informationsmanagement und Datenmanagement.

Im Rahmen dieser Handlungsfelder müssen die Verantwortlichen folgende Fragen alle eindeutig mit Ja beantworten können. Können sie dies nicht, besteht dringender Handlungsbedarf für eine Überprüfung der bestehenden IT-Systeme und Prozesse.

  • Sind Ihnen die klassischen Schwachstellen Ihrer Systemlandschaft bekannt?
  • Besteht ein (Echtzeit-) Überblick über kritische Vorfälle?
  • Ist ein effizientes Berechtigungsmanagement angelegt, das beispielsweise nur die wirklich notwendigen Zugriffe auf sensible Daten zulässt?
  • Stufen Sie die Sicherheit Ihrer Personen- und Geschäftsdaten als hoch ein?

Aber ganz abgesehen von der zusätzlichen Relevanz, die das Thema IT-Sicherheit durch das neue IT- Sicherheitsgesetz bekommt, steigen die Anforderungen an sichere Systeme und Prozesse kontinuierlich. Cyber-Angriffe auf Einrichtungen des Gesundheitswesens häufen sich und das Bewusstsein für dieses Thema nimmt in der Öffentlichkeit zu. Gleichzeitig wird das Umfeld im Gesundheitswesen durch die Digitalisierung immer komplexer, was eine kontinuierliche Überprüfung und Anpassung der Systeme unerlässlich macht. Und schlussendlich steht immer der Schutz des Patienten im Vordergrund.

Welche Sanktionen drohen bei Verstößen gegen das neue IT-Sicherheitsgesetz?

Wir gehen derzeit davon aus, dass nach Ablauf der zweijährigen Übergangsfrist bei Verstößen gegen das Gesetz mit Strafzahlungen zu rechnen ist. Die Nichtbeachtung der Verpflichtung zur Schaffung angemessener technischer und organisatorischer Sicherheitsmaßnahmen oder der Vorgaben zur Meldepflicht von Sicherheitsvorfällen kann als Ordnungswidrigkeit mit Bußgeldern in Höhe von 50.000 bis 100.000 Euro geahndet werden. Abgesehen von diesen Sanktionen müssen Krankenhäuser damit rechnen, dass eine Unterlassung angemessener Maßnahmen zur IT-Sicherheit in weit größerem Maße einen negativen Einfluss auf Image, Reputation oder die Wirtschaftlichkeit der Einrichtung hat.

Sind sich die Verantwortlichen im Gesundheitswesen dessen bewusst? Wie bewerten Sie die Stimmung zum IT-Sicherheitsgesetz derzeit?

In meiner täglichen Arbeit stelle ich fest, dass das Bewusstsein für die Notwendigkeit zur Umsetzung der neuen Anforderungen grundsätzlich vorhanden ist. Dennoch wissen Verantwortliche oft nicht, wo sie ansetzen müssen. IT-Abteilungen von Krankenhäusern sind meist vollkommen mit ihrem Tagesgeschäft oder mit anderen Projekten ausgelastet und haben weder die Zeit noch das Personal, die notwendigen Vorkehrungen zu treffen. So passiert eine Zeit lang erst einmal nichts. Doch diese Art Schockstarre muss überwunden werden, denn seit Inkrafttreten des Gesetzes im Jahr 2015 kann sich niemand mehr aus der Verantwortung ziehen.

Wann sollten IT-Verantwortliche von Krankenhäusern mit der Vorbereitung beginnen und welche Schritte sind dafür notwendig?

Die Umsetzungsfrist von zwei Jahren übt einen beachtlichen Druck auf die Verantwortlichen im Gesundheitswesen aus. Bisher wurde das Thema IT-Sicherheit vor dem oben geschilderten Hintergrund der Arbeitsbelastung oftmals als zweitrangig angesehen, auch wenn die Bedrohungen durch unbefugte Zugriffe allgegenwärtig sind. Doch nun besteht dringender Handlungsbedarf: 24 Monate sind kein langer Zeitraum für eine umfangreiche Überprüfung und Anpassung bestehender IT-Systeme und Prozesse. Verantwortliche sollten daher sofort mit den Vorbereitungen beginnen.

Wir sehen z.B. oft, dass Datensicherheit und Datenschutz in der Umsetzung vieler SAP-Anwendungen zu kurz kommen, was schwerwiegende Folgen für das Patientenwohl nach sich ziehen kann. Die Einbindung eines professionellen SAP-Security-Partners ist hier unerlässlich. Durch eine kompetente Beratung sowie das Absichern der Systeme nach aktuellem Stand der Technik können Einbrüche in die Systeme und Datenmissbrauch vermieden werden.

Ich empfehle daher, die Entscheidung für einen entsprechenden Partner schnell zu treffen und sich so nicht nur angemessen auf das Gesetz vorzubereiten, sondern sich auch einen entscheidenden Wettbewerbsvorteil zu verschaffen.

Was sollten Verantwortliche bei der Auswahl eines IT-Partners berücksichtigen?

Krankenhäuser brauchen einen Partner, der die spezifischen Rahmenbedingungen, Strukturen und Schnittstellen kennt und zudem sofort eine entsprechende Lösung parat hat, die mit den bisher installierten Systemen kompatibel ist. Branchenspezifische Lösungen und Expertise sind zwingend notwendig, da es im Gesundheitswesen fast unmöglich ist, vorhandene Lösungen anderer Branchen einfach umzumünzen. Denn sowohl das Risikomanagement als auch das Berechtigungsmanagement stellen im Gesundheitswesen hochkomplexe Anforderungen an die IT-Systeme.

AKQUINET ist der Experte, wenn es um IT-Sicherheit für SAP-konforme Systeme geht, bietet branchenspezifische Software-Lösungen sowie umfassende Erfahrung aus bestehenden Healthcare-Projekten. Um im Krankenhausalltag Sicherheitsrisiken frühzeitig identifizieren und minimieren zu können, hat AKQUINET ein Berechtigungs-Regelwerk speziell für die branchenspezifische Software IS-H entwickelt. Dieses ergänzt die von SAP zertifizierten und in der GRC-Suite "SAST" bereits integrierten Risikoanalysen und Lösungsvorschläge optimal. Das Monitoring in Echtzeit ist zudem ein essentieller Bestandteil der Absicherung, da so ein schnelles Eingreifen in kritischen Situationen gewährleitet wird. Zudem kennen die erfahrenen Berater-Teams die Herausforderungen, die sich aus dem differenzierten IT-Umfeld und dem neuen IT-Sicherheitsgesetz ergeben und können individuelle Lösungen und passgenauen Service bieten.