Aktueller Sicherheitsvorfall zeigt die Verwundbarkeit von Krankenhaus-IT

Ein aktueller Sicherheitsvorfall zeigt erneut, wie verwundbar Krankenhäuser mit der zunehmenden Digitalisierung ihrer Abläufe werden und welchen Risiken ihre IT-Strukturen und Behandlungsprozesse dabei ausgesetzt sind.

Wie bei ähnlichen Vorkommnissen in den zurückliegenden Jahren wurden aktuell eine Reihe von Einrichtungen der DRK Trägergesellschaft Südwest  Opfer eines Befalls mit Schadsoftware. Die durch diese erfolgte Verschlüsselung von Daten im IT-Verbund der Trägergesellschaft hat zu weitreichenden Beeinträchtigungen des Krankenhausbetriebs geführt.

Entsprechend der Verpflichtung aus Art. 33 der EU Datenschutz-Grundverordnung hat die Trägergesellschaft die Verletzung des Schutzes personenbezogener Daten dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) als zuständige Aufsichtsbehörde angezeigt. Der Landesbeauftragte hat daraufhin ein förmliches Verfahren zur Aufklärung der Angelegenheit eingeleitet.

„Informationstechnik ist in den administrativen und medizinischen Prozessen für eine zeitgemäße Patientenversorgung unverzichtbar. Der aktuelle Vorfall belegt jedoch, wie verwundbar Krankenhäuser mit der Digitalisierung ihre Abläufe werden und wie wichtig es deshalb ist, geeignete und wirksame Vorkehrungen zum Schutz der Patientendaten bereits präventiv zu ergreifen“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Kugelmann. „IT-Strukturen und Patientendaten müssen daher über eine ausreichende Widerstandsfähigkeit gegenüber Cyber-Attacken und einen angemessenen Schutz verfügen. Andernfalls drohen Schäden für die Gesundheit und den Datenschutz von Patientinnen und Patienten und wirtschaftliche Schäden.“

Krankenhäuser, die aufgrund der Zahl ihrer Behandlungsfälle als „kritische Infrastruktur (KRITIS)“ gelten, unterliegen schon nach den Vorgaben des Informationssicherheitsrechts der Pflicht, bestimmte Sicherheitsvorkehrungen zu treffen. Die Deutsche Krankenhausgesellschaft hat in diesem Zusammenhang den branchenspezifischen Sicherheitsstandard zur Informationssicherheit im Krankenhaus erstellt. „Die Notwendigkeit des Schutzes kritischer Infrastrukturen steht außer Zweifel“, so Prof. Kugelmann, „das Recht der Patienten, dass ihre Daten vor Beeinträchtigungen geschützt sind, kann aber nicht von Behandlungszahlen abhängig gemacht werden, sondern muss immer in allen stationären Einrichtungen gewährleistet werden. Deshalb decken sich in diesem Zusammenhang die Anforderungen des Datenschutzes und der Informationssicherheit. Auch Einrichtungen unterhalb der KRITIS-Schwelle müssen daher geeignete Schutzmaßnahmen nach dem Stand der Technik vorsehen. Die EU Datenschutz-Grundverordnung verpflichtet sie dazu.“

Weitere Informationen:
Sicherheit in der Informationstechnik Kritischer Infrastrukturen (§ 8a BSI-Gesetz)

Deutsche Krankenhausgesellschaft: Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus