Image
Digitale Produkte treiben die Entwicklung auch im Gesundheitssektor. IT-Sicherheit wird daher immer wichtiger.
Foto: Kadmy - stock.adobe.com
Digitale Produkte treiben die Entwicklung auch im Gesundheitssektor. IT-Sicherheit wird daher immer wichtiger.

IT-Sicherheit

Gesundheit digital: Was nun für die Cybersecurity gilt

Die Digitalisierung des Gesundheitssektors entwickelt sich dynamisch und immer neue Innovationen erfordern einen umfassenden Ansatz in Sachen Cybersecurity.

Gesundheits-Apps, E-Patientenakte und vernetzte Medizinprodukte: Digitale Lösungen treiben die Entwicklung auch im Gesundheitssektor und machen eine Absicherung im Sinne der Cybersecurity immer wichtiger. Doch welche Vorgaben zu beachten, welche Nachweise zu erbringen sind, ist für Anbieter und Betreiber oft nicht leicht zu überblicken. Die folgenden Ausführungen sollen bei der Orientierung helfen.

Die Digitalisierung des Gesundheitssektors ist in vollem Gange: Digitale Produkte erobern den Markt; Künstliche Intelligenz hält Einzug, Innovationen in Bereichen wie Pflege, Medizin, Gentherapie oder Nanotechnologie sind weitere Treiber. Gleichzeitig ist die Markteinführung neuer Healthcare-Produkte an strenge IT-Sicherheitsbestimmungen gebunden – zu Recht, da sie äußerst sensible Daten zu Gesundheit und Leben von Menschen berühren oder die Therapie beeinflussen.

Kritische Infrastruktur Gesundheitswesen: Die Kritis-Verordnung

Besondere Anforderungen an die IT-Sicherheit gelten bereits für bestehende Einrichtungen des Gesundheitswesens, sofern sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als Kritische Infrastrukturen klassifiziert sind. Im Gesundheitssektor betrifft das nicht nur die stationäre medizinische Versorgung, sondern auch die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, verschreibungspflichtigen Arzneimitteln, Blut- und Plasmakonzentraten sowie die Laboratoriumsdiagnostik ab einer bestimmten Größe. Die jeweiligen Schwellenwerte sind in der BSI-Kritisverordnung definiert. Als Richtgröße gilt hier der Regelschwellenwert von 500.000 von der Einrichtung versorgten Personen.

Laut BSI-Gesetz (§ 8a) müssen die jeweiligen Betreiber nach Stand der Technik angemessene organisatorische und technische Vorkehrungen treffen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer maßgeblichen informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Gegenüber dem Bundesamt ist die IT-Sicherheit alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen. Zusätzlich kann das BSI auch selbst Sicherheitsüberprüfungen durchführen oder durchführen lassen. Bei Nichteinhaltung der gesetzlichen Vorgaben drohen empfindliche Geldstrafen.

Ausweitung der Verordnung auf alle Krankenhäuser: „Kritis light“

Seit Januar 2022 gelten diese IT-Sicherheitsvorgaben nicht nur für stationäre medizinische Einrichtungen im Sinne der KRITIS-Verordnung, sondern für alle Krankenhäuser. Auch wenn die Nachweispflicht gegenüber dem BSI hier entfällt, müssen Betreiber im Ernstfall mit Schadensersatzforderungen und Haftungsrisiken rechnen. Daher sollten die im Sozialgesetzbuch V (§ 75) hinterlegten Anforderungen in jedem Fall umgesetzt und wie gefordert alle zwei Jahre an den aktuellen Stand der Technik angepasst werden. Orientierung bieten dabei die branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus.

Der digitale Patient Krankenhaus

Krankenhäuser entwickeln sich medizintechnisch und in Sachen Digitalisierung enorm weiter. Damit nehmen aber auch die Bedrohungen durch Cyberkriminelle zu.
Artikel lesen

Wann immer also in Krankenhäusern und Einrichtungen der Kritischen Infrastruktur neue Systeme oder Komponenten innerhalb der Kernfunktionen eingesetzt werden, sind diese auch unter KRITIS-Sicherheitsaspekten zu bewerten und in die Prüfprozesse einzubeziehen.

Datensicherheit: Ein Ziel – unterschiedliche Verfahren

Der Schutz der für das Gemeinwesen wichtigen Kritischen Infrastrukturen ist aber nur ein Aspekt der IT-Sicherheit im Gesundheitswesen. Da die Sicherheit der sensiblen Daten auch im Alltagsbetrieb jederzeit gegeben sein muss, sind in allen betroffenen Bereichen Cybersecurity-Anforderungen, Zulassungsvoraussetzungen und Prüfprozesse zu definieren und laufend auf dem aktuellen Stand der Technik zu halten. Die gesetzlichen Rahmenbedingungen dafür sind im Sozialgesetzbuch zusammengefasst. Als nationale Behörde für Cybersicherheitszertifizierung ist das BSI die zentrale Instanz. Allerdings – und das macht es für Antragsteller schwierig zu überblicken – gibt es nicht den einen Prüf- oder Zertifizierungsprozess für die IT-Sicherheit von Gesundheitsprodukten. Die IT-Sicherheitsprüfungen erfolgen immer in Absprache mit dem BSI oder durch das Bundesamt selbst, sind aber in die jeweiligen Zulassungsprozesse der verschiedenen Services eingegliedert. Zuständig sind jeweils unterschiedliche Institutionen: Etwa die Gesellschaft für Telematik für Anwendungen in der Telematikinfrastruktur oder das Bundesinstitut für Arzneimittel und Medizinprodukte für digitale Gesundheitsanwendungen, netzwerkfähige Medizinprodukte und Pflegegeräte – dazu im Folgenden einige Erläuterungen.

Telematikinfrastruktur: Mehrstufige Prüfprozesse stärken Cybersecurity

Zu den Herausforderungen im Healthcare-Sektor gehört die komplexe Struktur aus Betreibern, Leistungserbringern, Kostenträgern und Versicherten. Die Digitalisierung bietet die Chance, die einzelnen Akteure neu zu vernetzten, die Kommunikation und Abläufe dadurch erheblich zu beschleunigen und verbessern. Basis dieser neuen digitalen Vernetzung ist in Deutschland die Telematikinfrastruktur (§ 306 SGB). Dienste wie die elektronische Patientenakte oder der E-Medikationsplan setzen auf dieser interoperablen Kommunikations- und Sicherheitsarchitektur auf. Für Aufbau und Weiterentwicklung der Telematikinfrastruktur (TI) ist die Gesellschaft für Telematik, gematik, verantwortlich, zu deren Aufgaben auch die Definition und Durchsetzung verbindlicher Standards für Dienste, Komponenten und Anwendungen gehört.

Multi-Faktor-Authentifizierung schützt Krankenhäuser

So profitieren Krankenhäuser und Gesundheitseinrichtungen vom Einsatz einer Multi-Faktor-Authentifizierung und beugen Cyber-Attacken vor.
Artikel lesen

Bei der IT-Sicherheitsbewertung arbeitet die gematik GmbH eng mit dem BSI zusammen. Dazu werden alle TI-Komponenten und Dienste in einem mehrstufigen Prüfungsverfahren gemeinsam mit den Anbietern umfangreichen Tests unterzogen, bevor Sicherheitsevaluationen oder genaue Sicherheitsgutachten erstellt werden. Die einzelnen Anforderungen sind in sogenannten Produktsteckbriefen für die Zulassung der Anbieter in Anbietersteckbriefen hinterlegt.

Auch nach der Zulassung wird der sichere und störungsfreie Betrieb überwacht. Eine unberechtigte Nutzung der Telematikinfrastruktur wie auch die Nichtmeldung von Störungen oder Sicherheitsmängeln kann mit hohen Geldstrafen bis zu 300.000 EUR geahndet werden.

Videosprechstunde – Anbieter von Videodiensten

Während neue TI-Dienste wie die die elektronische Patientenakte (EPA) sicher noch etwas Zeit benötigen, um auch beim Versicherten anzukommen, sind mit Beginn der Pandemie die Nutzerzahlen für andere digitalen Dienstleistungen förmlich explodiert: 1,4 Millionen Videosprechstunden wurden allein im ersten Halbjahr 2020 durchgeführt. Im Jahr 2019 waren es dagegen erst knapp 3.000.

Voraussetzung für eine Teilnahme als Videodienstanbieter ist die Erfüllung aller Anforderungen an die technischen Verfahren. Die Anforderungen an Anbieter, Teilnehmer und Vertragsärzte wurden in einer entsprechenden Vereinbarung der Kassenärztlichen Bundesvereinigung und des Spitzenverbandes Bund der Krankenkassen festgelegt.

Unter anderem muss die Kommunikation zwischen Patient und Arzt oder Pflegekraft durch eine Ende-zu-Ende-Verschlüsselung gesichert sein und der Videodienst darf keine schwerwiegenden Sicherheitsrisiken aufweisen. Die nötigen Nachweise und Zertifikate zur IT-Sicherheit sind in der Vereinbarung im Einzelnen aufgeführt, Vorlagen für die Bescheinigungen und der Fragebogen mit Prüfkriterien in der Anlage hinterlegt.

Digitale Gesundheitsanwendungen: Die App auf Rezept

Deutschland bietet seit 2020 als erstes Land überhaupt digitale Apps auf Rezept. Diese digitalen Gesundheitsanwendungen (DiGA) sind definiert als Medizinprodukte niedriger Risikoklassen zur Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten oder zur Erkennung, Behandlung, Linderung oder Kompensierung von Behinderungen und Verletzungen. Die Hauptfunktion muss dabei auf digitalen Funktionen basieren (§ 33a SGB). Voraussetzung für eine Kostenübernahme durch die Krankenkassen ist die Aufnahme im Verzeichnis des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM).

Informationen im Krankenhaus schützen

Zum 01. Januar 2021 trat das Patientendaten-Schutz-Gesetz in Kraft. Ein Informationssicherheitsmanagementsystem kann dieses im Krankenhaus umsetzen.
Artikel lesen

Für diese Beantragungen wurde ein dreimonatiges Fast-Track-Verfahren aufgesetzt, die entsprechenden Formulare sind zusammen mit einem Leitfaden über die Website des BfArM abrufbar. Grundsätzliche Vorgaben zur Datensicherheit sind in der Digitalen Gesundheitsanwendungen-Verordnung (§ 4) beschrieben. Dazu gehört u.a. ein Informationssicherheitsmanagement-System auf Basis des BSI-Standard 200-2: IT-Grundschutz-Methodik. Hilfestellung bietet zudem die Technische Richtlinie des BSI zu Sicherheitsanforderungen an digitale Gesundheitsanwendungen.

Regulierungsbedarf bei vernetzten Medizinprodukten

Regulierungsbedarf besteht derzeit noch bei netzwerkfähigen Medizinprodukten. Anders als bei den rein digitalen Gesundheitsanwendungen sind Digitalfunktionen hier meist als Ergänzungen zur bestehenden medizinischen Grundfunktion integriert. Daraus ergibt sich ein äußerst breites und heterogenes Anwendungsspektrum. Zum Teil sind die IT-Sicherheitsanforderungen auch schwieriger zu adressieren, denn diese Netzwerkfunktionen werden häufig über Drittanbieter zugekauft und sind noch nicht bei allen Unternehmen auch in die Qualitätssicherungsprozesse eingebunden. Gleichwohl sind sie als Anbieter haftbar. 

Grundlegende Anforderungen an Cyber-Sicherheitseigenschaften von Medizinprodukten wurden erstmals in der EU-Verordnung 2017/745 über Medizinprodukte definiert, die in Deutschland durch das Medizinprodukterecht-Durchführungsgesetz (MPDG) umgesetzt wird. Bei der Umsetzung dieser – recht allgemein gehaltenen – Vorgaben zur IT-Sicherheit helfen Richtlinien und Verfahrensanleitungen wie:

Das BSI hat die Cybersicherheit vernetzter Medizinprodukte untersucht und in seinem Abschlussbericht dazu auch die anstehenden Aufgaben formuliert.

Die Weiterentwicklung der Regulatorik zur IT-Sicherheit bleibt eine wichtige Aufgabe. Es geht neben der IT-Sicherheit bestehender Produkte vor allem auch darum, Innovationen zum Durchbruch zu verhelfen und ihre schnelle und sichere Markteinführung zu fördern.

Randolf Skerka, SRC GmbH.

Image
fokus_krankenhaus_stuttgart.jpeg
Foto: Klinikum Stuttgart

IT-Sicherheit

Der digitale Patient Krankenhaus

Krankenhäuser entwickeln sich medizintechnisch und in Sachen Digitalisierung enorm weiter. Damit nehmen aber auch die Bedrohungen durch Cyberkriminelle zu.

Image
Cyberangriffe sind auch in den grundsätzlich den kritischen Infrastrukturen (Kritis) zuzurechnenden Sparten Transport und Verkehr ein immer brisanteres Thema.
Foto: Rawpixel.com - stock.adobe.com

IT-Sicherheit

Mit ganzheitlicher Cybersecurity sicher ans Ziel

Im Transport- und Verkehrswesen erhöht ein ganzheitlicher Cybersecurity-Ansatz letztlich auch die Sicherheit der Passagiere.

Image
Kritische Infrastrukturen müssen besonders vor Cyberangriffen geschützt werden – gerade im Zeitalter der Digitalisierung und zunehmenden Vernetzung von Devices.
Foto: Telent

IT-Sicherheit

IT-, OT- und IIoT-Sicherheit – und deren Unterschied

Die Digitalisierung und eine moderne Wirtschaft erfordern wirksame Technologien für die Cybersicherheit. Welche Rolle spielen dabei IT-, OT- und IIoT?

Image
Die Lösung wurde für Einsatzfahrzeuge jeglicher Art entwickelt, etwa für Befehlskraftwagen (BefkW), Einsatzleitwagen (ELW) mit Behördenanbindung und Führungskommandofahrzeuge.
Foto: Panasonic

Videosicherheit

Sichere Komplettlösung für mobile Einsatzkräfte

Gemeinsam mit Technologiepartnern hat Rohde & Schwarz Cybersecurity eine multifunktionale Komplettlösung zur Unterstützung mobiler Einsatzkräfte entwickelt.