PDSG und KRITIS

Großbaustelle Klinik-IT-Sicherheit

Personalengpässe sind nicht die einzige Sorge, die deutsche Kliniken in puncto IT-Sicherheit derzeit massiv umtreiben, so DKG-IT-Chef Markus Holzbrecher-Morys. Zwei Gesetze setzen sie unter Handlungsdruck.

Von Matthias WallenfelsMatthias Wallenfels Veröffentlicht:
Vorsicht, Trojaner ante portas! Die Anforderungen an die IT-Infrastruktur deutscher Kliniken verschärfen sich zum Jahreswechsel.

Vorsicht, Trojaner ante portas! Die Anforderungen an die IT-Infrastruktur deutscher Kliniken verschärfen sich zum Jahreswechsel.

© www.style-photography.de / Zoona

Berlin. „Es stand zu befürchten, dass Kliniken in Deutschland gerade in der Corona-Krise in den Fokus Cyberkrimineller geraten. Dies war zum Glück nicht der Fall, doch auch so ist der Handlungsdruck für die Häuser sehr hoch“, versucht Markus Holzbrecher-Morys, bei der Deutschen Krankenhausgesellschaft (DKG) Geschäftsführer IT, Datenaustausch und E-Health, auf Nachfrage der „Ärzte Zeitung“ eine spontane Bilanz zu ziehen, wo die Kliniken beim Aufrüsten ihrer IT-Infrastruktur stehen.

In der Tat stehen sie unter Zeitdruck, es naht der Jahreswechsel. Der im Zuge des Patientendatenschutzgesetzes (PDSG) im SGB V neu eingeführte Paragraf 75c verpflichtet ab diesem Zeitpunkt ausnahmslos alle Kliniken in Deutschland, „nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.“

Recht unspezifische Vorgaben zum „Stand der Technik“

Das Problem aus Sicht des IT-Experten Holzbrecher-Morys: „Die Vorgabe im 75c nach dem ‚Stand der Technik‘ ist recht unspezifisch, hier sind zusätzliche Hinweise und Umsetzungshilfen notwendig. Darüber hinaus bedarf es großer Anstrengungen, die Anforderungen dann auch umzusetzen. Dies wird nicht von heute auf morgen möglich sein, aber das Ziel ist klar: IT-Sicherheit ist letztlich auch Patientensicherheit.“ Wo stehen die Kliniken in Deutschland also beim Aufrüsten ihrer IT-Infrastruktur? Die DKG will es genau wissen und bereitet dafür eine Umfrage unter ihren Mitgliedern vor.

„Die Umstände sind alles andere als rosig. Zwar können im Zuge des Krankenhauszukunftsgesetzes Fördermittel auch für IT-Sicherheit abgerufen werden. Wir sehen jedoch einen sich verschärfenden Personalmangel gerade in der IT, da einerseits mit steigendem Digitalisierungsgrad immer mehr qualifiziertes Personal notwendig wird, auf der anderen Seite gerade im Moment ehemalige Klinikmitarbeiter in die Industrie oder die Beratung abwandern“, gibt Holzbrecher-Morys Einblick in den Maschinenraum der deutschen Klinik-IT, in dem offensichtlich der Motor an der einen oder anderen Stelle gewaltig stottert.

Unterstützungspaket für Kliniken geplant

Unabhängig vom jeweiligen Umsetzungsstand in den einzelnen Häusern finalisiere die DKG gerade noch ein umfangreiches Unterstützungspaket für die einzelnen Kliniken mit allerhand Ratschlägen und Vorlagen, Musterformularen und Hinweisen für die Umsetzung von IT-Sicherheit für Dienstleisterverträge, die bald auch auf der DKG-Website abrufbar sein sollen.

Überarbeitet wird derzeit der von der DKG in Zusammenarbeit mit Branchenexperten aus dem KRITIS-Umfeld und in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S). Dieser regelt die IT-Sicherheitsanforderungen an die Unikliniken und anderen Häuser mit jährlich mindestens 30.000 stationären Fällen, die als Kritische Infrastruktur gelten und den Anforderungen der KRITIS-Verordnung genügen müssen.

„Konkret geht es dabei um Hinweise und Klarstellungen zur bisherigen Version 1.1, die grundsätzlich beibehalten wird. Die Überarbeitung in der neuen Version 1.2 wird aber auch Ergänzungen enthalten, die die Anforderungen betreffen, die Kliniken ab Mai 2023 im Zuge des IT-Sicherheitsgesetzes 2.0 erfüllen müssen“, verdeutlicht Holzbrecher-Morys. So müssen die betreffenden Klinik-IT-Infrastrukturen über Intrusion Detection Systeme (IDS) verfügen, die Cyber-Angriffe von außen rechtzeitig erkennen und abwehren können.

Mehr zum Thema

Supervision an der Kaffeetasse

Wie die Charité ihren COVID-Kräften Beistand leistet

Das könnte Sie auch interessieren
Digitalisierung? „Muss für Ärzte einen Mehrwert bieten!“

© [M] Scherer: Tabea Marten | Spöhrer: privat

„EvidenzUpdate“-Podcast

Digitalisierung? „Muss für Ärzte einen Mehrwert bieten!“

Digitalisierung und Datenschutz pandemiekonform: SVR-Vorsitzender Professor Ferdinand Gerlach (li.) am 24. März in Berlin bei der Vorstellung des Ratsgutachtens und der Bundesdatenschutzbeauftragte Professor Ulrich Kelber (re.) einen Tag später bei der Vorlage seines Tätigkeitsberichts.

© [M] Gerlach: Wolfgang Kumm / dpa | Kelber: Bernd von Jutrczenka / dpa

„ÄrzteTag“-Podcast

„Wir verlangen Digitalisierung mit Gehirnschmalz!“ (Streitgespräch Teil 1)

Thorsten Kaatze, kaufmännischer Direktor am Uniklinikum Essen

© UK Essen

„ÄrzteTag“-Podcast

Ein „Kochrezept“ für die Digitalisierung einer Uniklinik

Kommentare

Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Jetzt anmelden / registrieren »

Die Newsletter der Ärzte Zeitung

» kostenlos und direkt in Ihr Postfach

Am Morgen: Ihr individueller Themenmix

Zum Feierabend: das tagesaktuelle Telegramm

Newsletter bestellen »

Top-Meldungen
Stress in der Notfallmedizin: Trainingsprogramme aus der Luftfahrt können Ärzte fit machen.

© gpointstudio / stock.adobe.com

Notfallmanagement

Umgang mit Notfällen: Was Ärzte von Piloten lernen können