Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
Handelsblatt Inside

Gastkommentar Vier Bausteine von Informationssicherheit

Ab Oktober beantworten Kliniken Fragen zu ihrer Informationssicherheit. Der IT-Fachmann Markus Holzbrecher-Morys erläutert den Fragenkatalog.
  • Markus Holzbrecher-Morys
27.08.2021 - 16:35 Uhr Kommentieren
Markus Holzbrecher-Morys leitet das Dezernat für IT, Datenaustausch und E-Health der Deutschen Krankenhausgesellschaft (DKG). Der diplomierte Informatiker ist zudem Sprecher im Bereich Medizinische Versorgung bei UP KRITIS, dem Branchenarbeitskreis für Kritische Infrastrukturen, zu denen auch Krankenhäuser gehören. Quelle: DKG/Otto
Der Autor

Markus Holzbrecher-Morys leitet das Dezernat für IT, Datenaustausch und E-Health der Deutschen Krankenhausgesellschaft (DKG). Der diplomierte Informatiker ist zudem Sprecher im Bereich Medizinische Versorgung bei UP KRITIS, dem Branchenarbeitskreis für Kritische Infrastrukturen, zu denen auch Krankenhäuser gehören.

(Foto: DKG/Otto)

Berlin Krankenhäuser bilden das Rückgrat der medizinischen Versorgung in Deutschland, die Pandemie hat uns dies nochmals vor Augen geführt. Sie sind „Kritische Infrastrukturen“ (KRITIS), im Sinne des BSI-Gesetzes gelten für Krankenhäuser mit mindestens 30.000 stationären Fällen pro Jahr sogar besondere gesetzliche Anforderungen, um eine Datensicherheit zu gewährleisten. Dabei ist Informationssicherheit eine Aufgabe für alle Krankenhäuser – unabhängig von ihrer Größe oder Fallzahl.

Der Gesetzgeber hat mit dem Krankenhauszukunftsgesetz (KHZG) einen Impuls im Kontext der Digitalisierung gesetzt, der zwar den bestehenden Investitionsstau nicht auflösen kann, aber einen konkreten Anstoß für die Digitalisierung der Krankenhäuser in den kommenden drei Jahren setzt. Dass dabei 15 Prozent der Fördersumme je Fördertatbestand für IT-Sicherheit verausgabt werden müssen, mag zunächst holzschnittartig klingen, spiegelt jedoch mehr oder weniger zum ersten Mal die Erkenntnis des Gesetzgebers wider, dass Informationssicherheit zusätzlichen Aufwand bedeutet. Dieser Aufwand ist in den derzeit bestehenden Finanzierungsmodellen noch nicht abgebildet und muss zusätzlich berücksichtigt werden.

In einer Onlineveranstaltung des Health Innovation Hub (HIH), der Denkfabrik des Bundesgesundheitsministeriums für digitale Medizin, wurde Anfang August nun erstmals darüber informiert, wie die Informationssicherheit in den Kliniken gemessen wird. Das KHZG sieht zwei Messzeiträume vor, einen im Herbst 2021, einen zweiten im Herbst 2023.

Für die Messung steht das Reifegradmessmodell namens Digital Radar zur Verfügung. Die Klinikverantwortlichen füllen online einen Fragebogen aus, mit dem sechs verschiedene Bereiche abgefragt werden. Die Abfrage zur Informationssicherheit wird in vier Themenblöcke unterteilt, die nachfolgend erläutert werden:

Schulungen und Richtlinien

Informationssicherheit in den Krankenhäusern zu etablieren, ist ein Prozess, bei dem sowohl das Management als auch die gesamte Belegschaft eingebunden und sensibilisiert werden muss. Es ist in vielen Einrichtungen selbstverständlich, regelmäßig die vorgegebenen Abläufe im Brandfall durch einen Feueralarm zu üben. Genauso selbstverständlich muss die regelmäßige Schulung und Sensibilisierung der Mitarbeitenden in den Krankenhäusern für das Thema Informationssicherheit werden. Fragen zu Sicherheitsrichtlinien in der Klinik und zu der Schulung der Mitarbeitenden im Rahmen der Reifegradmessung sind daher sinnvoll.

Sicherheitstools

Es ist noch nicht bekannt, welche Sicherheitstools der ersten Messung ab Oktober 2021 abgefragt werden. Da für KRITIS-Krankenhäuser ab dem 1. Mai 2023 der Einsatz von Systemen zur Angriffserkennung und Vermeidung nach dem IT-Sicherheitsgesetz 2.0 verpflichtend wird, dürfte sich dies im Abfrageergebnis zu den Sicherheitstools im Herbst 2023 widerspiegeln.

Kontinuitätsmanagement

Der Einsatz von Maßnahmen zur Aufrechterhaltung der Betriebsfähigkeit eines Krankenhauses, das sogenannte Kontinuitätsmanagement (BCM), ist schon heute Teil der Anforderungen des Branchenspezifischen Sicherheitsstandards (B3S). Er wurde im Jahr 2019 von der DKG veröffentlicht und seitens des BSI als geeignet anerkannt. Hierbei geht es nicht nur um Notfallkonzepte für den Ausfall entsprechender Systeme und Prozesse, vielmehr steht die Stabilisierung der eingesetzten Infrastruktur gegen Störeinflüsse im Mittelpunkt. Fragen zum Kontinuitätsmanagement sind daher sinnvoll.

Verfügbarkeit und Zufriedenheit mit informationstechnischer Ausstattung und Service

Nicht zuletzt steht und fällt der Einsatz neuer Technologien, Prozesse und Systeme mit der Akzeptanz der Nutzer. Verfügbarkeit und Zufriedenheit mit der informationstechnischen Ausstattung sind zwar gegebenenfalls schwierig zu quantifizieren, können aber in der „Standortbestimmung“ beim Thema Digitalisierung Hinweise auf wahrgenommene Defizite liefern. Dass die Überprüfung der für die Umsetzung von Informationssicherheit notwendigen Grundlagen bei der Reifegradmessung eine wichtige Rolle spielt, erscheint uns nachvollziehbar.

Mehr: Wenn etwa Gesundheitsinformationen nicht im Sinne der Patienten genutzt werden, kommt das unterlassener Hilfeleistung gleich, kritisiert Jens Baas.

E-Mail Pocket Flipboard
0 Kommentare zu "Gastkommentar: Vier Bausteine von Informationssicherheit"

Das Kommentieren dieses Artikels wurde deaktiviert.