Gesundheitswirtschaft: Mehr Sicherheit auf der neuen Datenautobahn
Die Gesundheitsversorgung ist untrennbar mit der Informationssicherheit verbunden. Stichworte: die elektronische Patientenakte, die Auswertung von Gesundheitsdaten per App oder Video-Sprechstunde oder die Möglichkeit, Patientendaten freiwillig der medizinischen Forschung zur Verfügung zu stellen (Datenspende). Über 70 Millionen gesetzlich Versicherte, Vertragsärzte, Apotheken, Krankenhäuser und Krankenkassen können bereits die neue Datenautobahn nutzen. Weitere Berufsgruppen aus der Behandlungskette wie Pflegeeinrichtungen, Vorsorge- und Rehabilitationseinrichtungen werden folgen.
Die Kehrseite der Digitalisierung sind aufwändige Verteidigungsstrategien gegen Cyberkriminelle und politisch motivierte Angreifer. Bekannt sind Ransomware-Angriffe auf Netzwerke von Trägergesellschaften mit Krankenhäusern und Altenpflegeeinrichtungen – ebenso die Verschlüsselung von Datenbanken und Diebstähle größerer Bestände von Patientendaten oder die Manipulation von medizintechnischen Geräten durch Fernzugriffe. Versorgungszentren, Praxen und Krankenhäuser sind daher herausgefordert, Managementsysteme speziell für die Informationssicherheit zu implementieren. Es gilt, die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von personalisierten Daten nicht nur im Not- oder Katastrophenfall zu gewährleisten, sondern um vor allem den Regelbetrieb abzusichern.
Das Leitmotiv: Der Stand der Wissenschaft und Technik
Mit dem IT-Sicherheitsgesetz hat der Gesetzgeber bereits Schutzmechanismen für die KRITIS-Sektoren im deutschen Gesundheitswesen festgeschrieben. Gemäß der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KRITISV) sind die Betreiber „kritischer Dienstleistungen (kDL)“ verpflichtet, IT-Störungen oder erhebliche Beeinträchtigungen dem Bundesamt für Sicherheit und Information (BSI) zu melden, die IT-Sicherheit auf dem „Stand der Technik“ gemäß einem branchenspezifischen Sicherheitsstandard umzusetzen und dies im zweijährigen Turnus gegenüber dem BSI nachzuweisen (§ 8a BSIG Abs. 3). Ähnliche Regelungen gibt es inzwischen europaweit.
Dreh- und Angelpunkt ist der „Stand der Wissenschaft und Technik“. Dieser zu einem definierten Zeitpunkt vorherrschende Wissenstand ist die Leitidee vieler nationaler oder internationaler Verordnungen, Standards und Normen wie DIN, ISO, DKE oder ISO/IEC. Mit den 2021 überarbeiteten IT-Sicherheitsgesetz (IT-SiG 2.0) sind die Anforderungen verschärft worden. Als Folge muss z.B. der im Mai 2019 veröffentlichte, für die pharmazeutisches Industrie relevante Standard (B3S Pharma) an den Stand der Wissenschaft und Technik neu angepasst werden.
Richtlinie nach § 75b SGB V zur Gewährleistung der IT-Sicherheit
Eine Standardisierung der IT-Sicherheit in der Gesundheitswirtschaft, die über die KRITIS-Betreiber hinaus in die Breite geht, sind beispielsweise die Anforderungen für gesetzliche Arzt- und psychotherapeutischen Praxen. Das Ziel ist auch hier, den erforderlichen Stand der Technik im Sinne von Artikel 32 der Datenschutzgrundverordnung (DSGVO) umzusetzen. Die von der Kassenärztliche Bundesvereinigung Dezember 2020 beschlossene Richtlinie nach § 75b SGB V fordert zentrale Schutzziele der Informationssicherheit in den IT-Systemen wie Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Die Anforderungen betreffen sowohl die Software als auch die Hardware der Praxen und sie sind zugeschnitten auf kleinere Praxen, mittelgroße Praxen sowie Großpraxen mit über 20, ständig mit der Datenverarbeitung befasste Personen.
Eine Standardisierung der IT-Sicherheit in der Gesundheitswirtschaft, die über die KRITIS-Betreiber hinaus in die Breite geht, sind beispielsweise die Anforderungen für gesetzliche Arzt- und psychotherapeutischen Praxen. Das Ziel ist auch hier, den erforderlichen Stand der Technik im Sinne von Artikel 32 der Datenschutzgrundverordnung (DSGVO) umzusetzen. Die von der Kassenärztliche Bundesvereinigung Dezember 2020 beschlossene Richtlinie nach § 75b SGB V fordert zentrale Schutzziele der Informationssicherheit in den IT-Systemen wie Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Die Anforderungen betreffen sowohl die Software als auch die Hardware der Praxen und sie sind zugeschnitten auf kleinere Praxen, mittelgroße Praxen sowie Großpraxen mit über 20, ständig mit der Datenverarbeitung befasste Personen.
Patientendaten-Schutz-Gesetz
Das „Patientendaten-Schutz-Gesetz (PDSG) für elektronische Patientendaten in der Telematikinfrastruktur“ ist als weitere Weichenstellung für eine widerstandsfähige Informationssicherheit zu sehen. Ab Januar 2022 ist jedes Krankenhaus verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu treffen und Patienteninformationen zu sichern. Krankenhäuser können die Verpflichtungen erfüllen, indem sie einen aktuellen, vom BSI akzeptierten Sicherheitsstandard (z.B. IT-Grundschutz des BSI) anwenden. KRITIS-Betreiber haben die Möglichkeit, auf branchenspezifische Sicherheitsstandards (z.B. B3S Gesundheitsversorgung im Krankenhaus, B3S Pharma oder B3S Laboratoriumsdiagnostik) zurückzugreifen, um ein Informationssicherheits-Managementsystem (ISMS) aufzubauen und gegenüber dem BSI nachzuweisen. Wie lässt sich ein robustes Niveau der IT- und Informationssicherheit erreichen?
Das „Patientendaten-Schutz-Gesetz (PDSG) für elektronische Patientendaten in der Telematikinfrastruktur“ ist als weitere Weichenstellung für eine widerstandsfähige Informationssicherheit zu sehen. Ab Januar 2022 ist jedes Krankenhaus verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu treffen und Patienteninformationen zu sichern. Krankenhäuser können die Verpflichtungen erfüllen, indem sie einen aktuellen, vom BSI akzeptierten Sicherheitsstandard (z.B. IT-Grundschutz des BSI) anwenden. KRITIS-Betreiber haben die Möglichkeit, auf branchenspezifische Sicherheitsstandards (z.B. B3S Gesundheitsversorgung im Krankenhaus, B3S Pharma oder B3S Laboratoriumsdiagnostik) zurückzugreifen, um ein Informationssicherheits-Managementsystem (ISMS) aufzubauen und gegenüber dem BSI nachzuweisen. Wie lässt sich ein robustes Niveau der IT- und Informationssicherheit erreichen?
Schutzkonzepte
Voraussetzung für die Einführung eines ISMS ist – neben den technischen und organisatorischen Vorkehrungen – vor allem der bewusste Umgang (Awareness) mit sensiblen Informationen durch die Mitarbeiter. Hinzu kommt die Datensicherheit, die gemeinsam mit dem Datenschutz die vielfach zitierte „Informationssicherheit“ beschreibt. Zahlreiche IT-Angriffe legen immer wieder Schwachstellen offen, die nicht nur durch unzureichende technische Maßnahmen, sondern vor allem durch das Fehlen geeigneter Maßnahmen aus einem Managementsystem eingetreten sind.
Zwei Standards für den Aufbau eines ISMS
Im deutschsprachigen Raum sind mit der Norm ISO/IEC 27001 und dem „IT-Grundschutz“ des BSI zwei Standards für den Aufbau eines ISMS in Organisationen verbreitet. Beide Standards konzentrieren sich nicht allein auf die Umsetzung technischer Maßnahmen, sondern auch auf die Dokumentation aller relevanten Risiken für den jeweiligen Geschäftsbetrieb. Erst diese Grundlagen und das Ineinandergreifen der technischen und organisatorischen Maßnahmen schaffen die Vorrausetzung für ein robustes Sicherheitsniveau.
Im deutschsprachigen Raum sind mit der Norm ISO/IEC 27001 und dem „IT-Grundschutz“ des BSI zwei Standards für den Aufbau eines ISMS in Organisationen verbreitet. Beide Standards konzentrieren sich nicht allein auf die Umsetzung technischer Maßnahmen, sondern auch auf die Dokumentation aller relevanten Risiken für den jeweiligen Geschäftsbetrieb. Erst diese Grundlagen und das Ineinandergreifen der technischen und organisatorischen Maßnahmen schaffen die Vorrausetzung für ein robustes Sicherheitsniveau.
Für ein ISMS der Gesundheitswirtschaft werden die IT-Systeme und Komponenten aller Prozesse analysiert, die wesentlich für die Patientenversorgung oder die Kundenanforderungen sind. Der Anhang A der ISO 27001 sowie die ISO 27002 oder auch der BSI-Grundschutz und sein umfangreicher Maßnahmenkatalog können als Blaupause zur Etablierung der „Controls“ eingesetzt werden. Daraus leiten sich die Verfügbarkeitsanforderungen an die einzelnen IT-Systeme und Komponenten ab. Im Anschluss können die technischen und organisatorischen Schutzmaßnahmen – auf Grundlage der vorhandenen Prozesse aus der pharmazeutischen oder medizinischen Qualitätssicherung – umgesetzt werden. Dazu gehört auch das IT-Notfallmanagement mit den Wiederherstellungszeitpunkten. Die regelmäßig wiederkehrende Auditierung und Zertifizierung dieser Standards dienen dann dem Nachweis, dass der „Stand der Technik“ umgesetzt wird.
Einführung eines ISMS
Obwohl der Aufbau und die Einführung eines ISMS umfangreich ist und zahlreiche Absicherungsmaßnahmen implementiert werden müssen, kann die GxP-regulierte Gesundheitswirtschaft und Pharmaindustrie vorhandene QM-Systeme integrieren. Meist sind geforderte Prozesse und Methoden bereits aus Sicht der Arzneimittelgesetzgebung vorhanden. Beispiel sind die auf IT-Sicherheit bezogenen Anforderungen im EU-GMP-Leitfaden, Anhang 11, die für Pharmafirmen gesetzlich verpflichtend sind, wie:
- definierte Rollen und Verantwortlichkeiten
- Festlegung der Aufgaben und Verantwortlichkeiten in Zusammenarbeit mit Lieferanten
- Inventarisierung der computergestützten Systeme
- Beschreibung des Datenaustauschs zwischen verschiedenen Systemen
- Datenintegrität
- (Kontroll-)Maßnahmen für Daten- und Systemintegrität
- Datensicherung und Wiederherstellung
- Physische und logische Zugriffskontrollen
- Änderungssteuerungs- und Konfigurationsmanagement
- periodische Überprüfung z. B. der Funktionen, Abweichungen, Änderungen, Leistung und Zuverlässigkeit der Computersysteme
Praxis-Tipp: Durch die eingeschränkte Verfügbarkeit des B3S Pharma für Nicht-KRITIS-Betreiber und der Redundanz mit anderen ISMS-Ansätzen sollte sich das ISMS zunächst an den nationalen und internationalen ISMS-Standards (ISO 27001, BSI-Grundschutz, NIST usw.) orientieren. Im ersten Schritt sind die Betriebe gut beraten, den Status Quo von Organisation und Technik zu analysieren und zu den jeweiligen kritischen Dienstleistungen in Beziehung zu setzen. Durch den Abgleich mit den Anforderungen eines branchenspezifischen Standards können im zweiten Schritt der Handlungsbedarf und die nötigen Investitionen ermittelt werden, um den Regelbetrieb weiter gegen Cyber-Risiken abzusichern.