Sichere IT-Systeme und die darin verarbeiteten Informationen in der Gesundheitsversorgung sind von höchster Bedeutung. Die störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse muss sichergestellt sein. Gleiches betrifft auch die Authentizität der Informationen. Die Verordnung verpflichtet die Betreiber von Kritischen Infrastrukturen, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und dem BSI innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Des Weiteren müssen die Betreiber schwere IT-Sicherheitsvorfälle ausnahmslos melden. Insbesondere für die Gesundheitsbranche bedeutet das große Herausforderungen.
Zur Verbesserung der digitalen Infrastruktur von Krankenhäusern, wurde mit dem Krankenhauszukunftsgesetz (KHZG) ein Milliarden schweres Investitionsprogramm aufgelegt. Das „Zukunftsprogramm Krankenhäuser“ umfasst ein Volumen von insgesamt ca. 4,3 Milliarden Euro (3 Milliarden aus Bundesmitteln zuzüglich, 1,3 Milliarden sollen die Länder bereitstellen, siehe KHZG).
- Fallzahlen von 30.000 vollstationären Patienten pro Jahr bei Kliniken und Krankenhäusern
- ca. 4.7 Mio abgegebenen Packungen (verschreibungspflichtig) im Jahr bei Apotheken 1.5 Mio Aufträge bei Laboren
- als Schwellwerte, ab denen das IT-Sicherheitsgesetz greift
-
ZIELSETZUNG
Ziel dieses Fördertatbestandes ist es, die IT- bzw. Cybersicherheit in Krankenhäusern, die nicht zu den kritischen Infrastrukturen gehören sowie in Hochschulkliniken zu verbessern. Durch die zunehmende Digitalisierung und die damit verbundenen Prozesse sollen deshalb auch Krankenhäuser, die nicht zur kritischen Infrastruktur nach dem BSI-Gesetz (BSI-KritisV-Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) gehören, berücksichtigt werden.
Dabei sind sichere IT-Systeme und die darin verarbeiteten Informationen in der Gesundheitsversorgung von höchster Bedeutung. Die störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse muss sichergestellt sein. Gleiches betrifft auch die Authentizität der Informationen.
ANFORDERUNGEN MUSS UND KANN
Die Anforderungen und darin beispielhaft genannten Sicherheitssysteme sind nicht ausschließlich einem der Bereiche Prävention, Detektion, Mitigation, Response oder Awareness zuzuordnen. So kann eine einzelne Anwendung mehrere Bereiche abdecken.
Das Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit muss sich einem der folgenden Ziele oder einer Kombination davon widmen. Zudem gibt es Kann-Anforderungen für die Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit.
Prävention
Zu bedenken sind unter anderem:
- Systeme zur Zonierung von Netzwerken
- Next Generation Firewalls
- sichere Authentisierungssysteme
- MicroVirtualisierung/Sandbox-Systeme
- Schnittstellen-Kontrolle
- Intrusion Prevention Systeme
- Network Access Control
- Schwachstellenscanner
- Softwareversionsmanagement
- Datenschleusen
- Datendioden
- VPN-Systeme
- verschlüsselte Datenübertragung
- verschlüsselte mobile Datenträger
- Etablierung ISMS
-
Detektion
Zu bedenken sind unter anderem:
- Security Operation Center
- Log Management Systeme
- Security Information Event Management Systeme
- Intrusion Detection Systeme
- lokaler Schadsoftwareschutz mit zentraler Steuerung
- Schadsoftwareschutz in Mailsystemen bzw. bei Mailtransport
-
Awareness
Steigerung und Aufrechterhaltung der Awareness gegenüber Informationssicherheits-Vorfällen bzw. der Bedeutung von IT-/Cybersicherheit (u.a. regelmäßige Risikoanalysen, Schulungsmaßnahmen, Informationskampagnen, Awareness-Messungen).