Krankenhäuser fallen unter IT-Sicherheitsgesetz

Seit Juni gelten auch bestimmte Krankenhäuser als „kritische Infrastruktur“ im Sinne des IT-Sicherheitsgesetz. Wer mehr als 30.000 Behandlungsfälle pro Jahr aufweist, muss in Sachen IT-Sicherheit und Datenschutz nachrüsten.

Insgesamt müssen sich nun 110 Krankenhäuser nun nach den Vorgaben des IT-Sicherheitsgesetzes richten. Das IT-Sicherheitsgesetz ist zwar seit 2015 gültig. Allerdings galten die Bereiche Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr noch nicht als „kritische Infrastruktur“. Mit einer am 31.5.2017 angenommenen Änderung ist dies mit Wirkung zum 1.6.2017 angepasst worden.

Gesundheitswesen muss in Datenschutz investieren

Wie schon vom Deutschen Ärztetag gefordert, muss das Gesundheitswesen verstärkt in den Datenschutz und die IT-Sicherheit investieren. Die Ärzteschaft nahm u.a. die weltweit grassierende Randsomware „WannaCry“ für ihre Forderungen zum Anlass. WannaCry hatte auch Krankenhäuser angegriffen und teilweise lahmgelegt.

Worauf die Betreiber der betroffenen Krankenhäuser achten müssen, darüber informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zusammenfassend müssen Betreiber kritischer Infrastrukturen in ihrer Einrichtung eine Kontaktstelle für die Behörden schaffen, die bei einem meldepflichtigen Zwischenfall die Behörden informiert und die Kommunikation mit diesen führt. IT-Störungen müssen die betroffenen Krankenhäuser fortan an das BSI melden. Die eingesetzte Technik muss dem aktuellen Stand entsprechen. Diese Vorgabe findet sich schon seit langem im deutschen Datenschutzrecht. Zudem müssen die Krankenhäuser den aktuellen Stand der eingesetzten Technik im Zwei-Jahres-Turnus gegenüber dem BSI nachweisen.

Soll Sicherheitsgesetz auch auf kleinere Krankenhäuser ausgeweitet werden?

Der Ärzteverband „Marburger Bund“ kritisiert das Vorhaben – weil nur die großen Krankenhäuser davon erfasst werden. Kleinere Krankenhäuser müssen die strikteren Sicherheitsvorgaben nicht einhalten, obwohl auch sie bspw. in Deutschland von der WannaCry-Attacke betroffen waren und Schäden in Millionenhöhe zu verzeichnen haben. Kleinere Krankenhäuser nicht als kritische Infrastruktur einzubinden gehe folglich an der Versorgungsrealität vorbei, so die Ärzte des Marburger Bundes.

Es ist ohnehin fraglich, ob zur Bewertung als kritische Infrastruktur langfristig die Behandlungszahlen herangezogen werden. Electronic und Digital Healthcare wachsen, ebenso wie Nutzung von Wearables zur Aufzeichnung der Gesundheitsdaten. In absehbarer Zeit können für Ärzte erforderliche Daten bei Bedarf (in Echtzeit) übermittelt werden, unbenommen wie groß das Krankenhaus ist. Neue elektronische und digitale Behandlungsmethoden mögen aktuell noch großen Krankenhäusern vorbehalten sein. Mit weiterem Fortschritt, erschwinglicherer Technik und breiterer Ausbildung für das Personal wird Electronic und Digital Healthcare nicht großen Einrichtungen vorbehalten bleiben. Am Ende der Entwicklung werden auch Hausärzte mit der entsprechenden Technik ausgestattet sein. Die Beschränkung des IT-Sicherheitsgesetzes auf große Krankenhäuser dürfte daher nur von kurzer Dauer sein.

Ärztetag fordert dezentrale Speicherung und höchsten Datenschutz

Dezentrale Speicherung digitaler Patientenakten, keine zentrale Cloud-Lösung und höchsten Datenschutz. Das fordert der Deutsche Ärztetag für die Digitalisierung des Gesundheitswesens.

Nachdem die Ransomware „Wannacry“ weltweit zehntausende Computer befallen hatte, sieht der Deutsche Ärztetag Handlungsbedarf bei der Digitalisierung des Gesundheitswesens. Wannacry verschlüsselte massenweise Dateien und legte u.a. in Großbritannien mehrere Krankenhäuser lahm.

Nein zur zentralen Cloud-Lösung, ja zum höchsten Datenschutz

Deutschlands Mediziner wollen keine zentrale Cloud-Lösung für die Daten ihrer Patienten. Angriffe wie mit Wannacry würden zeigen, dass Patientendaten in einer Cloud nicht sicher seien. Entsprechendes findet sich auch in den Beschlussfassungen des 120. Deutschen Ärztetages. Anstatt einer zentralen Datenbank in Form einer Cloud schlägt der Ärztetag vor, die Patientendaten dezentral bei den jeweiligen behandelnden Ärzten und der Patienten zu speichern. Dies soll eine dezentrale Punkt-zu-Punkt-Kommunikation unter Berücksichtigung höchster Datenschutzstandards gewährleisten.

Darüber hinaus sollen in der Medizin keine Softwareprodukte, einschließlich Apps, mehr zum Einsatz kommen dürfen, die nicht diesen Anforderungen genügen. Dies soll in einem noch zu beschließenden digitalen Medizinproduktegesetz als Zulassungsvoraussetzung normiert werden.

Ärzte weisen insbesondere auf Hacking-Gefahr hin

Explizit beziehen sich die Ärzte auf jüngste Vorfälle wie Wannacry, aber auch auf Meldungen über gehackte Medizinprodukte wie Insulinpumpen und Herzschrittmacher. Zwei kürzlich publizierte Studien haben über 8000, teils schwere, Sicherheitslücken bei Herzschrittmachern und weiteren medizinischen Produkten offengelegt. Nur 17% der Hersteller haben überhaupt Maßnahmen zum Schutz der Geräte und Daten unternommen. Dabei können unterlassene Sicherheitsmaßnahmen und fehlender Datenschutz für den Patienten im schlimmsten Fall tödliche Folgen haben. Nur 9% der Hersteller testen ihre Produkte jährlich auf potentielle Sicherheitslücken. Die Studien beziehen sich auf Medizinprodukte aus den USA.