Informationssicherheit im Gesundheitswesen

Das Gesundheitswesen ist Teil der Kritischen Infrastrukturen (KRITIS) in Deutschland und setzt daher sichere Informations- und Kommunikationsstrukturen voraus: Die Verfügbarkeit der Systeme sowie die Integrität, Authentizität und Vertraulichkeit der verarbeiteten Gesundheitsdaten müssen gewährleistet werden. Dies macht IT-Sicherheit für Krankenhäuser, Pharmahersteller und Labore essentiell.

Stellen Sie Ihr Unternehmen IT-sicher auf! Gern begleiten wir Sie dabei von der Sicherheitsanalyse bis hin zur Umsetzung aller erforderlichen Maßnahmen.

Betreiber Kritischer Infrastrukturen im Gesundheitssektor

Als Kritische Infrastruktur (KRITIS) im Sektor Gesundheit zählen folgende Dienstleistungen:

  • stationäre medizinische Versorgung
  • Versorgung mit verbrauchbaren, lebenserhaltenden Medizinprodukten
  • Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten 
  • medizinische Labore

Die genauen Anlagenkategorien und Schwellenwerte im Sektor Gesundheit sind in Anhang 5, Teil 3, Spalte B und D der BSI-Kritisverordnung (BSI-KritisV) aufgeführt. Sofern diese erreicht oder überschreiten werden, sind Betreiber Kritischer Anlagen verpflichtet dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Kontaktstelle zu benennen, erhebliche IT-Störungen zu melden und dem BSI die Umsetzung der Informationssicherheit nach dem „Stand der Technik“ alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen.

Informationssicherheit in Krankenhäusern

Krankenhäuser im Sinne des § 108 SGB V, die den in der BSI-KritisV festgelegten Schwellenwert von 30.000 vollstationären Fällen pro Jahr erreichen oder überschreiten, gelten als KRITIS. Andere Krankenhäuser, die die in der BSI-KritisV festgelegten Schwellwerte nicht erreichen, sind durch den § 75c SGB V seit dem 1. Januar 2022 verpflichtet, angemessene organisatorische und technische Vorkehrungen nach dem „Stand der Technik“ zu treffen. 

In beiden Fällen kann für den Aufbau eines Informationssicherheits-Managementsystem (ISMS) auf die „Branchenspezifischen Sicherheitsstandards“ (B3S) zurückgegriffen werden, bspw. den Branchenspezifischen Sicherheitsstandard „Medizinische Versorgung“ der Deutschen Krankenhausgesellschaft (DKG), dessen Eignung gemäß § 8a Abs. 2 BSI-Gesetz festgestellt wurde. Der B3S „Medizinische Versorgung“ orientiert sich an der ISO/IEC 27000-Normenfamilie, insbesondere an der ISO/IEC 27001 und der ISO 27799, weiteren branchenspezifischen Anforderungen wie der Norm IEC 80001-1, dem „Stand der Technik“ und weiteren relevanten wesentlichen Risiken.

KRITIS-Krankenhäuser müssen alle zwei Jahre einen Nachweis für die Umsetzung der Informationssicherheit beim BSI einreichen. Nicht-KRITIS-Krankenhäuser müssen ihre Umsetzung spätestens alle zwei Jahre an den aktuellen Stand der Technik anpassen. Eine Zertifizierung nach ISO/IEC 27001 ist für den Nachweis der notwendigen Maßnahmen in Krankenhäusern jedoch nicht notwendig.

Informationssicherheit in Arztpraxen und Medizinischen Versorgungszentren (MVZ)

Seit dem 30. Juni 2020 werden Anforderungen zur Gewährleistung der IT-Sicherheit durch Richtlinien der Kassen(zahn)ärztlichen Bundesvereinigungen (inklusive Telematik) für Vertrags(zahn)ärztliche Leistungserbringer festgelegt.

Die Anforderungen müssen geeignet sein, Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztlichen Leistungserbringer in Bezug auf die Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele zu vermeiden. Die Anforderungen müssen dem „Stand der Technik“ entsprechen und sind jährlich an den aktuellen Stand sowie an das Gefährdungspotential anzupassen.

Die umzusetzenden Anforderungen richten sich nach der Größe der jeweiligen Praxis und sind in den jeweiligen Anlagen der Richtlinie nach § 75b SGB V geregelt:

  • Praxis: bis zu fünf ständig mit der Datenverarbeitung betraute Personen
  • Mittlere Praxis: 6 bis 20 ständig mit der Datenverarbeitung betraute Personen
  • Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: Über 20 ständig mit der Datenverarbeitung betraute Personen oder eine Praxis, die in über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).

Gerne unterstützen wir mittlere und große Praxen bzw. Medizinische Versorgungszentren (MVZ) bei der Identifikation und Umsetzung der Anforderungen.

Informationssicherheit für Anbieter digitaler Gesundheitsanwendungen

Für Anbieter digitaler Gesundheitsanwendungen gilt das Digitale Versorgung-Gesetz (DVG) bzw. die Digitale Gesundheitsanwendungen-Verordnung (DiGAV). Zudem gibt es vom BSI die Technische Richtlinie 03161 „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ (BSI TR-03161) mit Teil 1 für Mobile Anwendungen, Teil 2 für Webanwendungen und Teil 3 für Hintergrundsysteme. Diese können als Leitfaden bei der Erstellung sicherer Anwendungen unterstützen.

Anbieter digitaler Gesundheitsanwendungen müssen abhängig vom Schutzbedarf der Daten Basis- und Zusatzanforderungen für die Datensicherheit umsetzen. Zu den Basisanforderungen zählt die Umsetzung eines Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001 oder gemäß ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2). Auf Verlangen ist dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) ein entsprechendes anerkanntes Zertifikat oder ein vergleichbarer Nachweis vorlegen. 

Zudem müssen Hersteller erstattungsfähiger digitaler Gesundheitsanwendungen für diese, inklusive aller Backend-Komponenten, einen Penetrationstest (kurz Pentest) durchführen und auf Nachfrage entsprechende Nachweise über die Durchführung der Pentests und die Behebung der dabei gefundenen Schwachstellen vorlegen können.

So unterstützen wir Sie:

Wir unterstützen Sie bei der Risikoanalyse und ISMS-Einführung

Als IT-Sicherheitsexperten führen wir für Sie Sicherheitsanalysen durch und unterstützen Sie bei der Einführung und beim Betrieb eines Informationssicherheits-Managementsystems (ISMS). Wir begleiten Sie in allen Phasen des ISMS-Prozesses, von der Definition des Geltungsbereiches über die Etablierung einer angemessenen Organisationsstruktur und der Durchführung einer Risikoanalyse bis hin zur Umsetzung der Maßnahmen. Selbstverständlich werden dabei branchenspezifische Anforderungen berücksichtigt.

Gerne unterstützen wir Sie auch bei der Schulung von Mitarbeitenden oder führen für Sie interne Audits durch.

Wir unterstützen Sie bei der Durchführung von Pentests

Gesundheitsdaten sind besonders sensible und schützenswerte Daten. Hersteller von erstattungsfähigen digitalen Gesundheitsanwendungen müssen daher durch einen Pentest den entsprechenden Nachweis erbringen, dass keine Sicherheitslücken, Programmierfehler oder falsche Konfigurationen in der Anwendung vorliegen, die es Angreifern oder unbefugten Personen ermöglichen, auf Daten zuzugreifen.

Unsere Experten aus dem Bereich Pentest beraten Sie gerne zum Ablauf eines Pentests sowie zu den verschiedenen Prüfmöglichkeiten und führen diese Tests für Sie durch.

Mehr erfahren


Deshalb sollten Sie die DSN GROUP als Partner auswählen!

Mit der DSN GROUP haben Sie einen kompetenten Partner im Bereich Informationssicherheit.

Unsere Berater*innen verfügen über langjährige Erfahrung in der Beratung im Bereich der ISO/IEC 27000-Normenfamilie, IT-Grundschutz, diverser branchenspezifischer Anforderungen sowie der Bereitstellung von externen Informationssicherheits-Beauftragten (ISB).

Wir beraten kleine, mittlere und große Unternehmen sowie öffentliche Stellen und kirchliche Einrichtungen. Dazu zählen auch KRITIS-Betreiber verschiedener Sektoren, die wir zur Umsetzung der Anforderungen des IT-Sicherheitsgesetzes beraten. Außerdem sind wir als Schulungsanbieter für Auditoren gemäß § 8a BSIG tätig.

Stellen Sie Ihr Unternehmen IT-sicher auf! Gern begleiten wir Sie dabei von der Sicherheitsanalyse bis hin zur Umsetzung aller erforderlichen Maßnahmen. Als DSN GROUP freuen wir uns, Ihnen ein entsprechend umfangreiches Angebot machen zu können! Kontaktieren Sie uns.

Ihr Ansprechpartner

Vereinbaren Sie mit uns einen Beratungstermin. Wir freuen uns auf Ihre Anfrage!

Thomas Wennemann

Thomas Wennemann

Leiter Informationssicherheit | Beratung

E-Mail: twennemann@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-346

Häufig gestellte Fragen (FAQ) zur Informationssicherheit im Gesundheitswesen

Auch interessant:

Weitere Leistungen aus dem Bereich Informationssicherheit finden Sie über diese Buttons. Bei Fragen stehen wir Ihnen jederzeit zur Verfügung.

Kennen Sie schon unseren Blog?

Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: