Gemeinsam gegen Cyberangriffe: Ganzheitliche IT-Sicherheit für Krankenhäuser

Autor: Thomas Kitlitschko

Krankenhäuser stehen bei der Absicherung ihrer IT-Landschaft vor besonderen Herausforderungen. Die Vielzahl, Heterogenität und die verteilte Struktur digitaler Krankenhauslösungen erschweren die Absicherung der IT-Systeme und bieten Cyberkriminellen eine große Angriffsfläche. Knappe Budgets und fehlendes Fachpersonal verschärfen die Situation zusätzlich. Es ist deshalb kein Wunder, dass es immer wieder zu Cybervorfällen in Klinikumgebungen kommt.

„Wir beobachten jeden Monat drei bis fünf schwerwiegende Cyberangriffe auf Krankenhäuser“, sagt Jürgen Kreuz, Gründer des IT-Sicherheitsspezialisten SECaaS.IT, der als Security-as-a-Service-Provider zahlreiche Kliniken betreut.

Verschärfte Vorschriften und neue Haftungsregeln

Auch der Gesetzgeber hat die Bedeutung der IT-Sicherheit für das Gesundheitssystem erkannt. Bereits im Jahr 2020 wurden mit dem „Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur“ (Patientendaten-Schutz-Gesetz – PDSG) die Anforderungen an Krankenhäuser und andere Gesundheitseinrichtungen deutlich verschärft und erweitert. Der mit dem PDSG eingeführte §75c im Sozialgesetzbuch fünf (SGB V) verpflichtete Krankenhäuser seit dem 01. Januar 2022 dazu, angemessene technische und organisatorische Vorkehrungen nach dem Stand der Technik zu treffen, um Cyberrisiken zu minimieren und einen störungsfreien Betrieb sicherzustellen. Dieser Paragraph wurde zwar 2024 mit dem „Gesetz zur Beschleunigung der Digitalisierung im Gesundheitswesen“ (Digital-Gesetz – DigiG) wieder gestrichen, aber durch den inhaltlich weitgehend identischen §391 SGB V ersetzt. Die Verpflichtung, ein angemessenes Sicherheitsniveau gewährleisten und nachweisen zu können, bleibt daher bestehen.

Mit der Umsetzung der EU-Sicherheitsrichtlinie NIS 2 (Network and Information Security 2) in nationales Recht, die voraussichtlich 2026 erfolgt, erhöhen sich zudem die Haftungsrisiken deutlich. Bei Nichteinhaltung der Vorschriften drohen Bußgelder von bis zu 10 Millionen Euro. Die Richtlinie stellt außerdem klar, dass die Verantwortung für die IT-Sicherheit bei der Geschäftsleitung liegt, und fordert regelmäßige Security-Schulungen für Geschäftsführer, aber auch für alle anderen Mitarbeiter.

Was Krankenhäuser jetzt tun sollten

Angesichts der verschärften Bedrohungslage, der zunehmenden gesetzlichen Anforderungen und der Haftungsrisiken sollten Krankenhausleitung und IT-Sicherheitsverantwortliche nicht mehr länger zögern, sondern sofort Maßnahmen ergreifen. Dabei hat sich ein Fünf-Punkte-Plan bewährt:

1. Analyse der Ist-Situation
Zunächst gilt es, den aktuellen Stand der IT-Sicherheit zu evaluieren, Sicherheitslücken zu identifizieren und Risiken zu bewerten. Auf Basis dieser Erkenntnisse ist ein Projektplan zu erstellen, in dem die erforderlichen Maßnahmen definiert, priorisiert und terminiert werden.

2. Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 und B3S
Ein ISMS nach ISO 27001 ist für alle Krankenhäuser Vorschrift, für KRITIS-Einrichtungen gelten zusätzliche Prüf- und Nachweispflichten. Als Leitfaden für die Umsetzung hat sich der Branchenspezifische Sicherheitsstandard (B3S) „Medizinische Versorgung“ bewährt.

3. Zertifizierung nach ISO 27001
Krankenhäuser müssen nicht nur für ein angemessenes Sicherheitsniveau sorgen, sondern dies auch nachweisen können. Dies gelingt am sichersten über eine Zertifizierung nach ISO 27001.

4. Einführung eines Systems zur Angriffserkennung
Angriffserkennungssysteme sind von Krankenhäusern verpflichtend einzuführen. Dies kann beispielsweise durch die Implementierung einer SIEM-Lösung (Security Incident and Event Management) erfolgen.

5. Förderung der Security-Awareness
Regelmäßige Sicherheitsschulungen gehören ebenfalls zu den verpflichtenden Maßnahmen. Sie sollten entsprechend geplant, durchgeführt und dokumentiert werden.

Partnerschaft für ganzheitliche IT-Sicherheit

Die IT-Landschaft von Krankenhäusern ist kaum mit klassischen IT-Infrastrukturen in Büro- und Industrieumgebungen zu vergleichen. Krankenhausleitung und IT-Verantwortliche brauchen daher Partner, die über ein vertieftes Verständnis für die spezifischen Anforderungen an die IT und deren Schutz im Krankenhausumfeld verfügen.

Als Beratungsunternehmen für Prozessoptimierung, Planung und Changemanagement hat sich ontron deshalb SECaaS.IT als Technologiepartner gewählt – ein Unternehmen, das über ebenso viel Erfahrung im Klinikumfeld verfügt wie ontron selbst.

„Unsere vereinten Spezialisten von ontron und SECaaS.IT wissen ganz genau, wie die IT im Krankenhaus funktioniert und welche Sicherheitsfaktoren wir betrachten müssen“, betont Marc Müller, Geschäftsführer ontron GmbH.

Krankenhäuser profitieren nun von einem ganzheitlichen Service- und Technologieangebot, das von der Beratung über die Implementierung bis hin zum Aufbau einer nachhaltigen Sicherheitskultur reicht und alle oben genannten Bereiche abdeckt. Die weitgehende, zum Teil KI-gestützte Automatisierung der Lösung erlaubt es, die Zeit bis zu einer Zertifizierung nach ISO 27001 von typischerweise einem bis zwei Jahren auf rund drei bis sechs Monate zu verkürzen und spart zudem personelle Ressourcen.

„Wir können den Aufwand im Vergleich zu einem typischen Projekt um 70 bis 90 Prozent reduzieren“, erklärt SECaaS.IT-Gründer Kreuz. Die Zertifizierung nach ISO 27001 sei danach nur noch eine Formsache: „Wir haben eine Zertifizierungsrate von 100 Prozent.“

Fazit: IT-Sicherheit ist keine Kür

Die aktuelle Bedrohungslage hat die Cyberrisiken für Krankenhäuser deutlich erhöht, auch im Bereich der Medizingeräte. Verschärfte gesetzliche Bestimmungen verstärken den Druck auf Klinikleitung und IT zusätzlich. Die Einführung eines ISMS und die Zertifizierung nach ISO 27001 sind deshalb ebenso unabdingbar wie Systeme zur Angriffserkennung und Security-Awareness-Programme. Mit seiner langjährigen Erfahrung im Prozess- und Changemanagement für Krankenhäuser unterstützt ontron Einrichtungen auf diesem Weg. Gemeinsam mit dem starken Technologiepartner SECaaS.IT sorgen wir dafür, dass Kliniken den Schutz ihrer Daten und Prozesse schnell, einfach und effizient verbessern und alle gesetzlichen Bestimmungen einhalten können.

Buchen Sie noch heute ein Beratungsgespräch und abonnieren Sie unseren Newsletter, um aktuelle Einblicke in Projekte, Lösungen und Managementthemen zu erhalten.

Artikel per e-mail teilen

Autor der Veröffentlichung

Thomas Kitlitschko

Geschäftsführer

thomas.kitlitschko@ontron.de

Thomas Kitlitschko verfügt über mehr als 20 Jahre Erfahrung in der Projektentwicklung und IT-Beratung. Sein Schwerpunkt liegt auf der Steuerung anwendungsorientierter Transformationsprojekte und der Entwicklung bedarfsgerechter und zukunftsorientierter Kundenlösungen.

Gemeinsam gegen Cyberangriffe: Ganzheitliche IT-Sicherheit für Krankenhäuser

Verschärfte Vorschriften und neue Haftungsregeln

Was Krankenhäuser jetzt tun sollten

Partnerschaft für ganzheitliche IT-Sicherheit

Fazit: IT-Sicherheit ist keine Kür

Digitalisierung und Nachhaltigkeit im Krankenhaus: Wie SAP Facility Management die Klinikabläufe revolutioniert

Energiemanagement in SAP – wie Digitalisierung für mehr Transparenz, Effizienz und Nachhaltigkeit sorgen kann

Stets bereit: Der neue ontron Kunden-Service-Desk

Abonnieren Sie unseren E‑Mail‑Newsletter,
um über neue Erkenntnisse und erfolgreiche Ansätze informiert zu werden

Verschärfte Vorschriften und neue Haftungsregeln

Was Krankenhäuser jetzt tun sollten

Partnerschaft für ganzheitliche IT-Sicherheit

Fazit: IT-Sicherheit ist keine Kür

Abonnieren Sie unseren E‑Mail‑Newsletter, um über neue Erkenntnisse und erfolgreiche Ansätze informiert zu werden

Abonnieren Sie unseren E‑Mail‑Newsletter,
um über neue Erkenntnisse und erfolgreiche Ansätze informiert zu werden