Branchenspezifischer Sicherheitsstandard für Krankenhäuser bestätigt
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Eignung des von der Deutschen Krankenhausgesellschaft (DKG) vorgelegten "Branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus" bestätigt. In einer Studie wurde zudem der monetäre Umsetzungsaufwand ermittelt.
Krankenhäuser und andere medizinische Einrichtungen sind wiederholt Betroffene gravierender IT-Sicherheitsvorfälle. Neben der Bedrohung durch Ransomware-Angriffe standen dabei auch sensible Patientendaten im Mittelpunkt. Mit dem nun anerkannten Sicherheitsstandard können Krankenhäuser ihre IT-Sicherheitsmaßnahmen nach dem Stand der Technik ausrichten.
"Der Schutz sensibler Patientendaten muss ebenso zuverlässig gewährleistet sein wie die Versorgung von Patientinnen und Patienten mit Unterstützung modernster Computertechnologie. Vor diesem Hintergrund bietet der branchenspezifische Sicherheitsstandard wichtige Rahmenbedingungen, unter denen die Cyber-Sicherheit im Gesundheitswesen weiter erhöht werden kann", erklärte BSI-Präsident Arne Schönbohm.
B3S NICHT NUR FÜR KRITIS-KRANKENHÄUSER
Etwas weniger als zehn Prozent der bundesdeutschen Krankenhäuser sind beim BSI als Kritische Infrastrukturen (KRITIS) im Sinne des IT-Sicherheitsgesetzes registriert. Diese Einrichtungen müssen sich an dem Sicherheitsstandard orientieren. Aber auch den kleineren Kliniken, die nicht als KRITIS-Betreiber reguliert sind, sollte der B3S als Maßstab für die Umsetzung angemessener IT-Sicherheitsmaßnahmen dienen. Das 88-seitige Papier beinhaltet organisatorische und technische Umsetzungshinweise, wie beispielsweise Management-Anforderungen zur Implementierung eines Informationsrisiko-Managements oder auch Vorgaben zum Umgang mit Lieferanten und Dienstleistern.
STUDIE ZUR ERMITTLUNG DES UMSETZUNGSAUFWANDES
Die DKG hat außerdem eine Studie in Auftrag gegeben, die den Umsetzungsaufwand der erforderlichen Sicherheitsmaßnahmen in den Krankenhäusern ermitteln soll. Demnach werden für die Bereiche Investition, Betrieb und Personal für ein Krankenhaus mit 30.000 vollstationären Fällen im Jahr initiale Kosten in der Größenordnung von 1,5 bis 2 Millionen Euro erwartet, in den Folgejahren ist mit jährlichen zusätzlichen Belastungen in der Größenordnung von ca. 500.000 bis 600.000 Euro zu rechnen.