Informationssicherheit im Gesundheitswesen

Das Gesundheitswesen ist Teil der Kritischen Infrastrukturen (KRITIS) in Deutschland und setzt daher sichere Informations- und Kommunikationsstrukturen voraus: Die Verfügbarkeit der Systeme sowie die Integrität, Authentizität und Vertraulichkeit der verarbeiteten Gesundheitsdaten müssen gewährleistet werden. Dies macht IT-Sicherheit für Krankenhäuser, Pharmahersteller und Labore essentiell.

Stellen Sie Ihr Unternehmen IT-sicher auf! Gern begleiten wir Sie dabei von der Sicherheitsanalyse bis hin zur Umsetzung aller erforderlichen Maßnahmen.

Betreiber Kritischer Infrastrukturen im Gesundheitssektor

Als Kritische Infrastruktur (KRITIS) im Sektor Gesundheit zählen folgende Dienstleistungen:

stationäre medizinische Versorgung
Versorgung mit verbrauchbaren, lebenserhaltenden Medizinprodukten
Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten
medizinische Labore

Die genauen Anlagenkategorien und Schwellenwerte im Sektor Gesundheit sind in Anhang 5, Teil 3, Spalte B und D der BSI-Kritisverordnung (BSI-KritisV) aufgeführt. Sofern diese erreicht oder überschreiten werden, sind Betreiber Kritischer Anlagen verpflichtet dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Kontaktstelle zu benennen, erhebliche IT-Störungen zu melden und dem BSI die Umsetzung der Informationssicherheit nach dem „Stand der Technik“ alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen.

Mitarbeiterin in Krankenhauskleidung sitzt vor einem Bildschirm und arbeitet am PC.

Informationssicherheit in Krankenhäusern

Krankenhäuser im Sinne des § 108 SGB V, die den in der BSI-KritisV festgelegten Schwellenwert von 30.000 vollstationären Fällen pro Jahr erreichen oder überschreiten, gelten als KRITIS. Andere Krankenhäuser, die die in der BSI-KritisV festgelegten Schwellwerte nicht erreichen, sind durch den § 391 SGB V (vorher § 75c SGB V) seit dem 1. Januar 2022 verpflichtet, angemessene organisatorische und technische Vorkehrungen nach dem „Stand der Technik“ zu treffen.

In beiden Fällen kann für den Aufbau eines Informationssicherheits-Managementsystem (ISMS) auf die „Branchenspezifischen Sicherheitsstandards“ (B3S) zurückgegriffen werden, bspw. den Branchenspezifischen Sicherheitsstandard „Medizinische Versorgung“ der Deutschen Krankenhausgesellschaft (DKG), dessen Eignung gemäß § 8a Abs. 2 BSI-Gesetz festgestellt wurde. Der B3S „Medizinische Versorgung“ orientiert sich an der ISO/IEC 27000-Normenfamilie, insbesondere an der ISO/IEC 27001 und der ISO 27799, weiteren branchenspezifischen Anforderungen wie der Norm IEC 80001-1, dem „Stand der Technik“ und weiteren relevanten wesentlichen Risiken.

KRITIS-Krankenhäuser müssen alle zwei Jahre einen Nachweis für die Umsetzung der Informationssicherheit beim BSI einreichen. Nicht-KRITIS-Krankenhäuser müssen ihre Umsetzung spätestens alle zwei Jahre an den aktuellen Stand der Technik anpassen. Eine Zertifizierung nach ISO/IEC 27001 ist für den Nachweis der notwendigen Maßnahmen in Krankenhäusern jedoch nicht notwendig.

Informationssicherheit in Arztpraxen und Medizinischen Versorgungszentren (MVZ)

Seit dem 30. Juni 2020 werden Anforderungen zur Gewährleistung der IT-Sicherheit durch Richtlinien der Kassen(zahn)ärztlichen Bundesvereinigungen (inklusive Telematik) für Vertrags(zahn)ärztliche Leistungserbringer festgelegt.

Die Anforderungen müssen geeignet sein, Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztlichen Leistungserbringer in Bezug auf die Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele zu vermeiden. Die Anforderungen müssen dem „Stand der Technik“ entsprechen und sind jährlich an den aktuellen Stand sowie an das Gefährdungspotential anzupassen.

Die umzusetzenden Anforderungen richten sich nach der Größe der jeweiligen Praxis und sind in den jeweiligen Anlagen der Richtlinie nach § 390 SGB V (vorher § 75b SGB V) geregelt:

Praxis: bis zu fünf ständig mit der Datenverarbeitung betraute Personen
Mittlere Praxis: 6 bis 20 ständig mit der Datenverarbeitung betraute Personen
Großpraxis oder Praxis mit Datenverarbeitung im erheblichen Umfang: Über 20 ständig mit der Datenverarbeitung betraute Personen oder eine Praxis, die in über die normale Datenübermittlung hinausgehenden Umfang in der Datenverarbeitung tätig ist (z. B. Groß-MVZ mit krankenhausähnlichen Strukturen, Labore).

Gerne unterstützen wir mittlere und große Praxen bzw. Medizinische Versorgungszentren (MVZ) bei der Identifikation und Umsetzung der Anforderungen.

Informationssicherheit für Anbieter digitaler Gesundheitsanwendungen

Für Anbieter digitaler Gesundheitsanwendungen gilt das Digitale Versorgung-Gesetz (DVG) bzw. die Digitale Gesundheitsanwendungen-Verordnung (DiGAV). Zudem gibt es vom BSI die Technische Richtlinie 03161 „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ (BSI TR-03161) mit Teil 1 für Mobile Anwendungen, Teil 2 für Webanwendungen und Teil 3 für Hintergrundsysteme. Diese können als Leitfaden bei der Erstellung sicherer Anwendungen unterstützen.

Anbieter digitaler Gesundheitsanwendungen müssen abhängig vom Schutzbedarf der Daten Basis- und Zusatzanforderungen für die Datensicherheit umsetzen. Zu den Basisanforderungen zählt die Umsetzung eines Informationssicherheits-Managementsystem (ISMS) gemäß ISO/IEC 27001 oder gemäß ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2). Auf Verlangen ist dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) ein entsprechendes anerkanntes Zertifikat oder ein vergleichbarer Nachweis vorlegen.

Zudem müssen Hersteller erstattungsfähiger digitaler Gesundheitsanwendungen für diese, inklusive aller Backend-Komponenten, einen Penetrationstest (kurz Pentest) durchführen und auf Nachfrage entsprechende Nachweise über die Durchführung der Pentests und die Behebung der dabei gefundenen Schwachstellen vorlegen können.

Informationssicherheit bei der Nutzung von Cloud-Dienstleistungen für das Gesundheitswesen

Leistungserbringer im Sinne des SGB IV, Kranken- und Pflegekassen sowie ihre jeweiligen Auftragsverarbeiter müssen bei der Verarbeitung von Sozial- und Gesundheitsdaten mittels eines Cloud-Computing Dienstes die Vorschriften des §393 SGB V Cloud-Einsatz im Gesundheitswesen beachten. Neben der sicheren Standortwahl des Cloud-Anbieters, muss die Informationssicherheit durch nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen gewährleistet werden. Zusätzlich wird ein C5-Testat der datenverarbeitenden Stelle gefordert.

Der Cloud Computing Compliance Criteria Catalogue (C5) ist ein Kriterienkatalog des BSI, der speziell Kriterien zur Informationssicherheit von Cloud-Diensten enthält. Dabei hat sich das BSI an gängigen Normen wie u. a. der ISO/IEC 27001, der ISO/IEC 27017 und dem IT-Grundschutz Kompendium orientiert, um entsprechende Kriterien festzulegen.

Ein qualifizierter Wirtschaftsprüfer beurteilt für einen rückwirkenden Zeitraum, ob alle Anforderungen der C5-Basiskriterien angemessen (C5-Typ1-Testat, nur bis zum 30.06.2025 gültig) bzw. angemessen und wirksam sind (C5-Typ2-Testat, erforderlich ab dem 01.07.2025) und stellt das Testat für den Cloud-Computing-Dienst aus.

Cloud-Kunden aus dem Gesundheitswesen müssen von ihrem Cloud-Anbieter den C5-Prüfbericht anfordern und kontrollieren, ob dieser den Vorgaben des BSIs hinsichtlich der Relevanz, der Vollständigkeit, Verlässlichkeit, Neutralität und Verständlichkeit entspricht.

Darüber hinaus muss der Kunde die im Prüfbericht des C5-Testats enthaltenen korrespondieren Kriterien für Kunden umzusetzen. Sowohl auf Seiten des Cloud-Computing Dienstes als auch auf Seiten des Kunden sind Maßnahmen zu treffen, die die Informationssicherheit des Cloud-Anbieters garantieren.

Mit dem §393 SGB V verfolgt der Gesetzgeber das Ziel, digitale Lösungen zu ermöglichen, um den Behandlungsalltag im Gesundheitswesen zu vereinfachen und gleichzeitig die Ziele der Informationssicherheit zu gewährleisten.

Wir unterstützen Sie gerne bei der Prüfung der Angemessenheit Ihrer technischen und organisatorischen Maßnahmen, bei der Durchsicht des C5-Prüfbericht Ihres Cloud-Anbieters sowie bei der Umsetzung der korrespondierenden Kriterien für Kunden.

So unterstützen wir Sie:

Risikoanalyse und ISMS-Einführung

Wir unterstützen Sie bei der Risikoanalyse und ISMS-Einführung

Als IT-Sicherheitsexperten führen wir für Sie Sicherheitsanalysen durch und unterstützen Sie bei der Einführung und beim Betrieb eines Informationssicherheits-Managementsystems (ISMS). Wir begleiten Sie in allen Phasen des ISMS-Prozesses, von der Definition des Geltungsbereiches über die Etablierung einer angemessenen Organisationsstruktur und der Durchführung einer Risikoanalyse bis hin zur Umsetzung der Maßnahmen. Selbstverständlich werden dabei branchenspezifische Anforderungen berücksichtigt.

Gerne unterstützen wir Sie auch bei der Schulung von Mitarbeitenden oder führen für Sie interne Audits durch.

Durchführung von Pentests

Wir unterstützen Sie bei der Durchführung von Pentests

Gesundheitsdaten sind besonders sensible und schützenswerte Daten. Hersteller von erstattungsfähigen digitalen Gesundheitsanwendungen müssen daher durch einen Pentest den entsprechenden Nachweis erbringen, dass keine Sicherheitslücken, Programmierfehler oder falsche Konfigurationen in der Anwendung vorliegen, die es Angreifern oder unbefugten Personen ermöglichen, auf Daten zuzugreifen.

Unsere Experten aus dem Bereich Pentest beraten Sie gerne zum Ablauf eines Pentests sowie zu den verschiedenen Prüfmöglichkeiten und führen diese Tests für Sie durch.

Mehr erfahren

Deshalb sollten Sie die DSN GROUP als Partner auswählen!

Mit der DSN GROUP haben Sie einen kompetenten Partner im Bereich Informationssicherheit.

Unsere Berater*innen verfügen über langjährige Erfahrung in der Beratung im Bereich der ISO/IEC 27000-Normenfamilie, IT-Grundschutz, diverser branchenspezifischer Anforderungen sowie der Bereitstellung von externen Informationssicherheits-Beauftragten (ISB).

Wir beraten kleine, mittlere und große Unternehmen sowie öffentliche Stellen und kirchliche Einrichtungen. Dazu zählen auch KRITIS-Betreiber verschiedener Sektoren, die wir zur Umsetzung der Anforderungen des IT-Sicherheitsgesetzes beraten. Außerdem sind wir als Schulungsanbieter für Auditoren gemäß § 8a BSIG tätig.

Stellen Sie Ihr Unternehmen IT-sicher auf! Gern begleiten wir Sie dabei von der Sicherheitsanalyse bis hin zur Umsetzung aller erforderlichen Maßnahmen. Als DSN GROUP freuen wir uns, Ihnen ein entsprechend umfangreiches Angebot machen zu können! Kontaktieren Sie uns.

Ihre Ansprechpartner

Vereinbaren Sie mit uns einen Beratungstermin. Wir freuen uns auf Ihre Anfrage!

Thomas Wennemann

Prokurist | Leiter Informationssicherheit

E-Mail: twennemann@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-346

datenschutz nord GmbH, Bremen

Falls sich Ihre Anfrage auf eine Organisation außerhalb Deutschlands bezieht, helfen Ihnen diese Kontakte weiter.

Peter Suhren, Volljurist

Geschäftsführer

E-Mail: psuhren@re-move-this.first-privacy.com

Telefon: +49 421 69 66 32-822

FIRST PRIVACY GmbH, Bremen

Cihan Parlar, LL.M. (Tilburg)

Geschäftsführer

E-Mail: cparlar@re-move-this.first-privacy.com

Telefon: +31 20 211 7116

FIRST PRIVACY B.V., Amsterdam

Häufig gestellte Fragen (FAQ) zur Informationssicherheit im Gesundheitswesen

Was bedeutet der § 391 SGB V (vorher § 75c SGB V) für Krankenhäuser?

Es sind angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie zur Gewährleistung weiterer Sicherheitsziele für die informationstechnischen Systeme, Komponenten und Prozesse zu etablieren. Diese Verpflichtung kann insbesondere erfüllt werden, indem ein „Branchenspezifischer Sicherheitsstandard“ (B3S) für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung angewandt wird. Wir können Sie hierbei unterstützen.

Was ist ein „Branchenspezifischer Sicherheitsstandard“ (B3S) für die Gesundheitsversorgung im Krankenhaus?

Die Deutsche Krankenhausgesellschaft (DKG) hat in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen „Branchenspezifischen Sicherheitsstandard“ (B3S) für die Gesundheitsversorgung im Krankenhaus (B3S-KH) erstellt. Kern der Umsetzung des B3S-KH ist der Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS) nach Maßgabe der ISO/IEC 27001 sowie der ISO 27799. Der B3S-KH sieht Maßnahmen vor, die in Muss-, Soll- und Kann-Anforderungen untergliedert sind. Wir helfen Ihnen, den Status quo zu erfassen und diese Maßnahmen umzusetzen.

Wird die Einführung eines Informationssicherheits-Managementsystems (ISMS) gefördert?

Ja, die Einführung eines Informationssicherheits-Managementsystems (ISMS) kann bspw. im Rahmen des 2020 eingeführten Krankenhauszukunftsgesetzes (KHZG) gefördert werden! Von der Förderung umfasst ist die Berücksichtigung anerkannter Standards für die Informationssicherheit wie der B3S-KH, BSI IT-Grundschutz oder ISO/IEC 27001 nativ.

Auch interessant:

Weitere Leistungen aus dem Bereich Informationssicherheit finden Sie über diese Buttons. Bei Fragen stehen wir Ihnen jederzeit zur Verfügung.

ISMS Audit

Risikoanalyse

Informationssicherheits-Check

FAQ zum NIS2UmsuCG

Kennen Sie schon unseren Blog?

Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: