Patienten in medizinischen Einrichtungen erfolgreich zu versorgen, setzt lückenlose Fürsorge und Vorsicht voraus. Das gilt nicht nur für die unmittelbare Behandlung, sondern auch für den sicheren Umgang mit sensiblen Patientendaten. Angesichts wegweisender Neuerungen im Bereich Medizintechnologie und einer sich kontinuierlich verschärfenden Bedrohungslandschaft steht als Frage im Raum, wie der Stand der Dinge bei der Sicherung der IT-Systeme und -Infrastruktur in Krankenhäusern ist. Ein Überblick über die Reichweite und Grenzen wirksamer IT-Sicherheit.
Eine Vielzahl von Krankenhäusern und Betreibergesellschaften sind dabei, Sicherheitsvorkehrungen zu implementieren und zu konsolidieren. Die Herausforderungen sind enorm: Neue, oftmals digitale und vernetzte Technologien werden implementiert, um den Geschäftsbetrieb zu optimieren, beeinflussen aber zugleich auch die Sicherheitsrisiken, denen ein Krankenhaus ausgesetzt ist. Hinzu kommt, dass sich der zunehmende Einsatz von Cloud-Technologien auf die Sicherung von IT-Systemen und -Infrastrukturen auswirkt. Nicht zuletzt verändert parallel dazu die Intensität und Vielfalt von Bedrohungen durch Cyberkriminalität und Sicherheitslücken.
Contents
Branchenspezifische Standards erfüllen
Wer als Krankenhausbetrieb den Fokus auf die Qualität der Patientenversorgung und die IT-Sicherheit richtet, ist per se an den branchenspezifischen Sicherheitsstandard B3S für das Gesundheitswesen gebunden. Er basiert auf den anerkannten Standards ISO 27001 (Informationssicherheitsmanagement), ISO 27002 (Informationssicherheitskontrollen) und ISO 27799 (Gesundheitsinformatik). Die Normen ISO 27001 und ISO 27002 dienen als Leitfaden für die Einführung eines Informationssicherheits-Managementsystems und geben Hinweise auf die zu implementierenden Sicherheitskontrollen. ISO 27799 ist speziell für Organisationen des Gesundheitswesens und andere Verwahrer von Gesundheitsinformationen konzipiert.
Damit lässt sich ein Mindestmaß an Sicherheit vorhalten, das die Vertraulichkeit, Integrität und Verfügbarkeit persönlicher Gesundheitsdaten der Patienten in Behandlung wahrt. Diese können zur Festlegung eines Mindestsicherheitsniveaus verwendet werden, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Gesundheitsdaten der Patienten zu gewährleisten. Es ist jedoch zu betonen, dass es oft nicht ausreicht, lediglich die Vorschriften einzuhalten. Jede Organisation sollte ihre spezifischen Bedürfnisse, Prioritäten und Schwachstellen prüfen und eine individuelle Sicherheitsstrategie zur Risikominimierung festlegen.
Risikoszenarien antizipieren und abfedern
Krankenhausmanager sollten auf akute und zukünftige Bedrohungsszenarien vorbereitet sein und dazu die personellen, organisatorischen und technischen Ressourcen optimieren. Neben internen kritischen Funktionen wie Geschäftsprozessen, Mitarbeitern und eingesetzter Technologie empfiehlt es sich, alle Drittanbieter in regelmäßige Bedrohungsanalysen einzubeziehen, um zu verstehen, wo Schwachstellen lauern. Auf dieser Grundlage können Angriffsszenarien skizziert und Playbooks für die Reaktion auf Vorfälle erstellt werden. Darin wird detailliert vorgeschrieben, wie auf ein bestimmtes Szenario zu reagieren ist, um Betriebsunterbrechungen durch IT-Gefahren möglichst zu vermeiden. Maßgeblich sollte dabei immer das primäre Geschäftsziel eines Krankenhauses sein: die Bereitstellung einer hochwertigen Gesundheitsversorgung für Patienten.
Verantwortlichkeiten klar definieren
Für Sicherheitsinvestitionen sollte eine Kosten-Nutzen-Analyse durchgeführt werden, bei der die finanziellen Auswirkungen eines Sicherheitsrisikos den Kosten für die Umsetzung von Abhilfemaßnahmen gegenübergestellt werden. Risiken zu akzeptieren, kann eine zulässige Strategie sein, solange die Gesetzgebung berücksichtigt wird – insbesondere mit Blick auf personenbezogene Gesundheitsdaten europäischer Bürger. In der Regel sind der CIO und die IT-Abteilung für die digitale Infrastruktur eines Krankenhauses sowie für die Entwicklung und Umsetzung einer IT-Strategie verantwortlich. Sie sollten daher kontinuierlich an die Geschäftsleitung berichten, damit sie risikobasierte Entscheidungen treffen kann und die Richtung der IT-Strategie vorgeben kann. Oberste Priorität haben dabei immer der Patient und das Erzielen guter Behandlungsergebnisse mit digitaler Unterstützung, die die Möglichkeiten moderner Medizintechnologie sicherheitsbewusst einsetzt.