In den Datenbanken von Krankenhäusern werden hoch sensible (Patienten-)Daten verarbeitet, deren Schutz sehr ernst genommen werden muss. Im neuen §75c SGB V wird die bereits seit 2017 bestehende Verpflichtung für KRITIS-Krankenhäuser (§ 8a BSI-Gesetz) jetzt auch auf Nicht-KRITIS-Krankenhäuser ausgeweitet.
In Absatz 1 von §75c SGB V heißt es:
„Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen.“
Erfahren Sie mehr im Dokument
„Umsetzungshinweise nach § 75c SGB V“ des Deutsche Krankenhausgesellschaft e. V.
Für eventuelle Datenpannen, die auf unzureichende Sicherheitsmaßnahmen zurückzuführen sind, sollen zukünftig in Unternehmen, Staatsbetrieben und womöglich auch Behörden die entsprechenden Führungskräfte haftbar gemacht werden. Cyberversicherungen haften im Schadensfall nur, wenn seitens Ihres Hauses alle erforderlichen Maßnahmen umgesetzt wurden. Durch unserer umfangreiche ITQ-Prüfung können wir Ihnen die Schwachstellen in Ihrer Infrastruktur und Ihren Systemen aufzeigen und Ihnen notwendige Maßnahmen empfehlen.
Cybersicherheit und Hackerangriffe sind mittlerweile leider feste Bestandteile in der heutigen, digitalisierten (Arbeits-)Welt. Auswirkungen wie tagelange Systemausfälle, erpresserische Lösegeldforderungen, Datenverluste und die aufwändige, kostenintensive Wiederherstellung des Vertrauens haben bereits zahlreiche Unternehmen jeglicher Größe zu spüren bekommen. Wie die Berichterstattung in der Tagespresse und Nachrichtensendungen zeigt, handelt es sich dabei um ein Problem, das die gesamte Gesellschaft betrifft – im Privaten wie auch im geschäftlichen Umfeld.
Auf diese Entwicklung muss dringend reagiert werden. Auch im aktuellen Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland wird deutlich, dass eine Verschärfung der Gefährdungslage für das Gesundheitswesen, insbesondere für Krankenhäuser folgt. Inzwischen ist es unverzichtbar, die wichtigsten Handlungsfelder zur Abwehr von digitalen Gefahren zu identifizieren und sich kontinuierlich zu verbessern.
Die pegasus GmbH prüft Ihre IT-Infrastruktur „auf Herz und Nieren“
Mittlerweile geht die optimale Absicherung gegen Cyber-Angriffe jeglicher Art weit über die Endpoint-Security hinaus. Die Angriffsvektoren und Schwachstellen im Bereich der IT sind vielschichtig – angefangen beim User, über Ihre genutzten Rechenzentren / Cloud-Systeme und deren Übertragungswege, bis hin zum E-Mail-Verkehr und zu den Backups. Nur das Bewusstsein über mögliche Angriffsflächen, macht uns handlungsfähig.
Kennen Sie all Ihre Schwachstellen? Anhand einer umfangreichen Auditierung – orientiert an den BSI-Richtlinien – können wir Ihnen die Defizite in Ihren Systemen aufzeigen. Gleichzeitig sprechen wir Ihnen mit Hilfe des BSI-Maßnahmenkatalogs Empfehlungen zur Behebung der aufgedeckten Schwachstellen aus. Mit unserer ITQ-Basisprüfung erhalten Sie einen umfassenden Überblick über die erforderlichen Maßnahmen, um Ihre IT-Security auf den aktuellen Stand zu bringen.
Auch Versicherungen haften nicht immer
Cyberversicherungen für Unternehmen greifen nur, wenn Ihrerseits alle technischen und organisatorischen Maßnahmen zum Schutz der Daten vorgenommen wurden. Sowohl gesetzlich als auch in den meisten Rahmenbedingungen eines Versicherungsvertrages sind Vorraussetzung definiert, die seitens Unternehmen erfüllt werden müssen, um sich bestmöglich vor Cyber-Attacken zu schützen. Zu diesen Maßnahmen zählen unter anderem
- Mitarbeiterschulungen und Security Awareness Trainings,
- regelmäßige Sicherheits-Updates der Betriebssysteme und Software,
- Programme zum Schutz vor Schadsoftware wie Viren oder Trojaner (Endpoint-Security) sowie
- ein aussagekräftiger Notfallplan für den Ernst- und Schadensfall.
Erfüllen Sie in Ihrem Krankenhaus alle Erfordernisse? Mit Hilfe unserer ITQ-Prüfung erhalten Sie Kenntnis über eventuelle Schwachstellen und können durch geeignete Maßnahmen Ihren Schutz optimieren. So erreichen Sie nicht nur den bestmöglichen Schutz gegen Cyberkriminelle, sondern legitimieren gleichzeitig Ihre Versicherungsansprüche im Schadensfall.