Neues IT-Sicherheitsgesetz zum Schutz „kritischer Infrastrukturen“ seit Juli gültig: Was es für Ärzte und Kliniken bedeutet

Gerda Kneifel

Interessenkonflikte

29. Juli 2015

Julia Dönch

Zum 25. Juli – ziemlich genau 1 Jahr nach dem Diebstahl der Patientenakte von Michael Schumacher aus dem Universitätsklinikum in Grenoble – ist in Deutschland ein neues IT-Sicherheitsgesetz in Kraft getreten. Es soll den Datenschutz und die Sicherheit der IT-Systeme in Unternehmen stärken, die von Bedeutung für das Gemeinwohl der Bevölkerung sind. Das betrifft unter anderem den zunehmend digitalisierten Sektor Gesundheitswesen, also womöglich auch Krankenhäuser.

„Krankenhausbetreiber müssen eigenverantwortlich prüfen, ob sie kritische Infrastrukturen betreiben, für die das Gesetz gilt“, erläutert Julia Dönch, Rechtsanwältin bei der BDO Legal Rechtsanwaltsgesellschaft mbH. „Welche kritischen Infrastrukturen im Gesundheitswesen darunter fallen, wird im Einzelnen aber erst durch die Rechtsprechung entschieden werden: Kommt zum Beispiel durch den Ausfall der Krankenhaus-IT ein Patient zu Schaden, könnte eine fehlende Beachtung des IT-Sicherheitsgesetzes möglicherweise zu einer Haftung des Krankenhauses führen. Die Entscheidung über Einzelfragen im Zusammenhang mit dem Gesetz ist also weit nach hinten verschoben.“

Kritische Infrastrukturen im Visier

 
Krankenhaus- betreiber müssen eigenverantwortlich prüfen, ob sie kritische Infra- strukturen betreiben, für die das Gesetz gilt. Julia Dönch
 

Das neue Gesetz hat die Sicherheit von Daten und informationstechnischen Systemen in Unternehmen zum Ziel – dies über die Gesundheitsbranche hinaus und mit Blick auf die IT-Sicherheit des Bundes.

Gemacht ist es für alle Branchen und Bereiche, die über „kritische Infrastrukturen“ verfügen. Dahinter verbergen sich nach § 10 Abs. 1 des Gesetzes alle Anlagen oder Einrichtungen aus Sektoren wie Energie, Verkehr, Wasser, Ernährung, Finanz- und Versicherungswesen und Gesundheit, die „von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden“.

Zu solchen kritischen Infrastrukturen könnten im Gesundheitswesen unter anderem Anlagen oder Einrichtungen zur Verarbeitung von Patientendaten, zum Betrieb von Laborsystemen oder auch von Mess- und Kontrollsystemen zur Patientenversorgung zählen.

 
Da das Gesetz aber lediglich für Unternehmen gilt, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, ist die spannende Frage, was der Maßstab sein wird für die ,hohe Bedeutung‘. Julia Dönch
 

Zwar verfügen fast alle Einrichtungen von Kliniken über Labore bis hin zu Arztpraxen über kritische Infrastrukturen. „Da das Gesetz aber lediglich für Unternehmen gilt, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, ist die spannende Frage, was der Maßstab sein wird für die ,hohe Bedeutung'“, erläutert Dönch.

„Fällt ein IT-gestütztes Mess- und Kontrollsystem in einem Krankenhaus aus, könnte das Krankenhaus auch argumentieren, dass der Versorgungsengpass von einem anderen Krankenhaus aufgefangen werden kann. Letztendlich werden solche Fragen erst detaillierter geklärt werden, wenn vor Gericht um die Einhaltung der Verpflichtungen aus dem IT-Sicherheitsgesetz gestritten wird.“

Inwieweit ein anderes Krankenhaus den Engpass ausgleichen kann, könnte beispielsweise eine Frage der Distanz sein: „Möglich ist, dass sich ein Umkreis von x Kilometern herauskristallisiert, innerhalb dem Patienten über andere Krankenhäuser versorgt werden können. Es bleibt bei allem die Frage, wie ernst künftig die Bedeutung für das Gemeinwesen genommen wird.“

Was ist zu tun?

Ärzte in niedergelassenen Praxen können sich aus Sicht der Juristin zurücklehnen, denn ihnen ist wohl kaum eine hohe Bedeutung für das Gemeinwesen mit einer Gefährdung der Bevölkerung beim Ausfall kritischer Infrastrukturen nachzuweisen.

Größere Krankenhäuser, beispielsweise in strukturschwachen Regionen, sollten sich hingegen rüsten. Sie haben laut § 8a Abs. 1 von Juli 2015 an 2 Jahre Zeit, „organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen”, sofern sie für die Funktionstüchtigkeit ihrer kritischen Infrastrukturen notwendig sind.

Die Klinikbetreiber müssen also ihre Technik auf den neuesten Stand bringen. Wie der derzeit aussieht, darüber müssen sie sich selbst schlau machen. Sicherheitspatches, Verschlüsselungs- und Authentifizierungsverfahren, Maßnahmen zur Angriffsprävention oder auch möglichst wenig Schnittstellen zum Internet beziehungsweise eine Firewall sind die üblichen Vorkehrungen, die getroffen werden müssen. Die genauen Sicherheitsanforderungen an das IT-System können beim Bundesamt für Sicherheit in der Informationstechnik (BSI) abgerufen werden.

„Das Ganze muss, wie meistens im Gesundheitssystem, kostenneutral stattfinden“, gibt Dr. Stephan Porten, Fachanwalt für Medizinrecht bei der BDO Legal Rechtsanwaltsgesellschaft mbH, zu bedenken, „aber die geforderten Maßnahmen wurden in vielen Fällen ja ohnehin schon umgesetzt.“

Und Dönch ergänzt: „Krankenhäuser, die in der Vergangenheit in ihr IT-System investiert und es auf aktuellem Stand gehalten haben, dürften weniger Aufwand zu befürchten haben. Wer aber zum Beispiel seinen Server ungeschützt auf dem Flur stehen hat, der muss im Zweifel nicht nur für Software-, sondern auch für Hardware-Schutz Geld in die Hand nehmen.“

 
Der Datenschutz bleibt neben der Sicherheit der IT-Systeme im Gesundheitswesen häufig eine Schwachstelle. Julia Dönch
 

Nicht ganz ohne Aufwand wird auch die Einrichtung der geforderten Kontaktstelle zum Bundesamt SI vonstatten gehen. Denn das Gesetz sieht im § 8b Abs. 4 vor, dass „erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden“ sind.

Diese Meldestelle muss permanent erreichbar sein – und besetzt von einem Beauftragten mit entsprechender IT-Expertise. „Das lässt sich wohl mit dem vorhandenen Personal einrichten, wenn es eine eigene IT-Abteilung im Hause gibt. Wer externe Dienstleister beschäftigt beziehungsweise sich die IT-Fachleute mit anderen Kliniken teilt, wird aber auch hier draufzahlen müssen“, so Porten.

Und damit die Infrastruktur auch auf dem neuesten Stand bleibt, sieht das IT-Sicherheitsgesetz eine regelmäßige Zertifizierung vor, die alle 2 Jahre dem BSI vorgelegt werden muss. Auch das kostet natürlich Geld, doch gibt es bislang zumindest keine Vorgaben bezüglich der Auditoren. Es muss nicht immer der TÜV sein, auch Einzelsachverständige sind grundsätzlich zugelassen.

Patientendaten als Wirtschaftsgut

Doch nicht nur die Sicherheit der IT-Systeme, auch die Sicherheit der zunehmend digitalisierten Patientendaten soll verbessert werden. „Der Datenschutz bleibt neben der Sicherheit der IT-Systeme im Gesundheitswesen häufig eine Schwachstelle“, moniert Porten. „Ärzte und Pflegepersonal haben zwar langsam ein Bewusstsein für Datenschutz entwickelt. Es muss aber noch einiges getan werden.“ Noch mehr Wert muss aus Sicht der Anwälte etwa auf eine klare Bestimmung der Leseberechtigungen bestimmter Dokumente gelegt werden.

 
Es gibt mittlerweile recht einfache technische Lösungen, bei denen ein Betreiber von IT-Infrastrukturen gewarnt werden kann, sobald größere Datenmengen abgerufen werden. Julia Dönch
 

Hinzu kommt, dass Patientendaten zunehmend zu einem begehrten Wirtschaftsgut werden. „Der Fall von Schumacher hat gezeigt, was Patientendaten wert sein können – und es ist nicht der erste Fall seiner Art. Natürlich sind die Begehrlichkeiten im Fall von Prominenten größer, aber  auch die Daten anderer Patienten sind ein wertvolles Wirtschaftsgut“, weiß Porten. „Sie sind von großer Bedeutung nicht nur für Pharmaindustrien, sondern auch für Krankenkassen, etwa zur Qualitätskontrolle oder auch zur kommerziellen Versorgungsforschung.“

Über den Handel mit Daten hinaus nimmt auch die Cyberkriminalität wie etwa Hacker-Angriffe zu. Über die Ausmaße in der Gesundheitswirtschaft ist kaum etwas bekannt – abgesehen von der Tatsache, dass beides stattfindet. „Es gibt mittlerweile recht einfache technische Lösungen, bei denen ein Betreiber von IT-Infrastrukturen gewarnt werden kann, sobald größere Datenmengen abgerufen werden oder sich ein Mitarbeiter bestimmte Daten häufiger anschaut“, erklärt Dönch. „So wären auch Warnungen möglich, wenn eine bestimmte Akte – wie zum Beispiel die von Schumacher –  geöffnet wird.“

Daten-Diebstähle und Angriffe lassen sich also theoretisch leicht dokumentieren. Und die Meldepflicht gegenüber dem BSI ist weniger als Maßregelung, denn als ein Appell zu verstehen. Wer Opfer von Hackern wird, hat unmittelbar nichts zu befürchten, wenn er den Angriff meldet – das IT-Sicherheitsgesetz sieht für diesen Fall nicht die Verhängung von Bußgeldern oder andere Strafmaßnahmen vor. Es geht vielmehr darum, mehr über Häufigkeit und eventuelle Muster von Cyberkriminalität – auch im Gesundheitssystem – zu erfahren.

 

Kommentar

3090D553-9492-4563-8681-AD288FA52ACE
Wir bitten darum, Diskussionen höflich und sachlich zu halten. Beiträge werden vor der Veröffentlichung nicht überprüft, jedoch werden Kommentare, die unsere Community-Regeln verletzen, gelöscht.

wird bearbeitet....