Die Diskussion darüber, ob gesetzliche Maßnahmen die IT-Sicherheit und Cyber-Sicherheit in einer Gesellschaft verbessern können, ist kontrovers. Fakt ist jedoch, dass mit der zunehmenden Digitalisierung im Gesundheitswesen das Risiko von Cyberangriffen steigt. Diese Angriffe werden nicht nur immer raffinierter, sondern auch die Angreifer werden immer geschickter.
Die Liste der Krankenhäuser, die bereits Ziel erfolgreicher Angriffe wurden, wird immer länger. Jüngst dazu kamen u. a. die Marienhaus Kliniken, der Medizincampus Bodensee, das UK Frankfurt und die Katholische Hospitalgesellschaft Ostwestfalen.
Besonders problematisch ist, dass nicht nur kritische Infrastrukturen, sondern auch Plankrankenhäuser betroffen sind, die unter die Schwellenwerte fallen.
Network and Information Security Directive
Die Europäische Union hat die Richtlinie NIS-2 (Network and Information Security Directive) eingeführt, um den Schutz kritischer Infrastrukturen zu verbessern. Ziel ist es, ein hohes und einheitliches Sicherheitsniveau in der gesamten EU sicherzustellen. In Deutschland erweitert diese neue Richtlinie die Regulierung für kritische Infrastrukturen (KRITIS).
Die NIS-2-Richtlinie ist seit Januar 2023 in Kraft und muss bis spätestens 17. Oktober 2024 in deutsches Recht umgesetzt werden. Der Zeitplan für die Umsetzung ist jedoch ungewiss.
Große Herausforderungen für Krankenhäuser
Insbesondere im deutschen Gesundheitssektor wird die NIS-2-Richtlinie von größerer Bedeutung sein als zuvor. Bisher galten die obligatorischen Informationssicherheitsmaßnahmen gemäß der KRITIS-Verordnung nur für Kliniken, die den Schwellenwert von 30.000 vollstationären Fällen pro Jahr überschritten und daher unter KRITIS fielen. Im Gegensatz dazu spielen bei NIS-2 diese Schwellenwerte keine Rolle. Die neue Direktive gilt stattdessen für alle Gesundheitseinrichtungen, die mehr als 50 Mitarbeitende beschäftigen oder einen Jahresumsatz bzw. eine Bilanzsumme von mehr als zehn Millionen Euro aufweisen.
Krankenhäuser, die bereits als kritische Infrastruktur eingestuft sind, stehen bereits vor erhöhten Herausforderungen im Bereich der Cybersicherheit. Auch wenn alle anderen Plankrankenhäuser gemäß § 75c SGB V den aktuellen Stand der Technik in puncto Informationssicherheit umsetzen mussten, waren diese bisher von den Meldepflichten befreit und konnten weitgehend unbehelligt vorgehen.
Branchenspezifischer Sicherheitsstandard (B3S)
Um sicherzustellen, dass ihre Informationssysteme robust und sicher sind, steht der sogenannte branchenspezifische Sicherheitsstandard (B3S) bei der Deutschen Krankenhausgesellschaft zur Verfügung. Dieser Standard wird in enger Zusammenarbeit mit dem Branchenarbeitskreis „Medizinische Versorgung“ kontinuierlich weiterentwickelt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüft.
Für diejenigen, die den B3S noch nicht implementiert haben, wirft die Einführung von NIS-2 einige Fragen auf. Insbesondere stellt sich die Frage nach den spezifischen technischen und organisatorischen Maßnahmen, die Krankenhäuser konkret umsetzen müssen. Die neuen Verpflichtungen erfordern beispielsweise die Einführung eines dreiteiligen Meldepflichtregimes für Sicherheitsvorfälle sowie die Implementierung eines effektiven Risikomanagements.
Meldung und Gegenmaßnahmen
Im Falle eines Vorfalls müssen Krankenhäuser die zuständigen nationalen Behörden und das entsprechende Computer Emergency Response Team unverzüglich informieren. Diese Meldung sollte detaillierte Informationen zum Vorfall selbst, den betroffenen Systemen und den ergriffenen Gegenmaßnahmen enthalten. Gleichzeitig sieht die Richtlinie vor, dass Krankenhäuser nach einem zuvor festgelegten Notfallplan unverzüglich Gegenmaßnahmen ergreifen. Zur Einhaltung der NIS-2-Richtlinie sind Krankenhäuser auch dazu verpflichtet, ihre Sicherheitsmaßnahmen in regelmäßigen Abständen zu überprüfen und zu bewerten. Es ist erforderlich, diese Maßnahmen entsprechend anzupassen, wenn neue Richtlinien veröffentlicht werden oder sich die Cyberbedrohungen ändern.
Angemessene Vorkehrungen
Um ihre Anwendungen, Daten und IT-Systeme umfassend zu schützen, müssen Krankenhäuser angemessene Vorkehrungen treffen. Hierzu gehören klassische Instrumente wie die Einführung von Firewalls, Antivirensoftware oder Backup-Lösungen, die die meisten bereits vorhalten. Diese Sicherheitsmaßnahmen müssen auf einer umfassenden Risikoanalyse basieren, die auch die Identifikation potenzieller Bedrohungen und Schwachstellen umfasst. Hierfür ist der Einsatz von Security Information and Event Management (SIEM) sinnvoll, aber nicht vollständig kausal.
Der Faktor Mensch
Ein weiteres Augenmerk der Richtlinie NIS-2 liegt auf dem menschlichen Faktor – Stichwort Social Engineering. Immer wieder versuchen Cyberkriminelle, Mitarbeitende zu manipulieren und so einen Zugang zu IT-Systemen, Anwendungen oder sensiblen Informationen zu erhalten. Vor diesem Hintergrund sieht NIS-2 vor, dass Krankenhäuser ihre Mitarbeitenden in Sachen Cybersicherheit kontinuierlich schulen müssen. Es gilt, ein Security Awareness-Programm zu implementieren, das Belegschaft und Geschäftsführung gleichermaßen für potenzielle Gefahren sensibilisiert und bewährte Verfahren vermittelt, die darauf abzielen, Sicherheitsvorfällen vorzubeugen und angemessen darauf zu reagieren.
Fazit
Die Verantwortlichen in Krankenhäusern sollten NIS-2 einen hohen Stellenwert einräumen. Zum einen muss die Geschäftsführung die Umsetzung der Maßnahmen überwachen und haftet für Verstöße. Die Pflicht zur Überwachung und die Pflicht zur persönlichen Teilnahme an Schulungen sind nicht (vollständig) delegierbar. Zum anderen drohen bei Verstößen, beispielsweise gegen das erforderliche Risikomanagement oder die Meldepflicht von Sicherheitsvorfällen, empfindliche Bußgelder – von Imageschäden ganz zu schweigen.
So schützen Sie Ihr Krankenhaus
