KRITIS-Anforderungen vs. B3S-Standards für Gesundheitsdienstleister in Deutschland

„Wie andere lebenswichtige öffentliche Dienstleistungen in Deutschland, einschließlich Wasser und Strom, hat die deutsche Regierung Krankenhäuser als kritische Infrastruktur oder KRITIS eingestuft.“

Bis 2021 müssen alle Krankenhäuser in Deutschland die vom BSI als Reaktion auf die zunehmenden Angriffe während der weltweiten Pandemie festgelegten Cybersicherheitsstandards erfüllen und übertreffen. Das BSI hat einen neuen Branchenstandard geschaffen – B3S. Diese neue Methode umfasst 168 Standards. Alle Krankenhäuser in Deutschland, unabhängig von ihrer Größe, müssen die B3S-Standards erfüllen.

Ein wesentlicher Teil der B3S-Standards umfasst die Überwachung, die Reaktion auf Vorfälle und die Berichterstattung. Um diese Anforderungen zu erfüllen, stellen Krankenhäuser entweder eigenes Personal ein oder beauftragen eine Managed Detection and Response-Lösung wie NovaMDR von ForeNova.

Was sind die KRITIS-Anforderungen für Krankenhäuser?

Krankenhäuser, die unter die KRITIS-Kennzeichnung fallen, sollten das ISO 27000-Rahmenwerk nutzen, um mehrere kritische Anforderungen zu erfüllen, einschließlich der Ermöglichung geeigneter, vom BSI definierter Sicherheitskontrollen.

Diese vom BSI geforderten Kontrollen umfassen:

• Ermöglichung von Erkennungs- und Reaktionsfähigkeiten
• Meldung von Cybersicherheitsverletzungen an das BSI innerhalb von 72 Stunden nach dem Vorfall
• Einführung eines Informationssicherheitsmanagementsystems (ISMS)
• 7×24-Stunden-Sicherheitsbereitschaft, um auf alle Vorfälle reagieren zu können

Hier sind weitere kritische Komponenten, die Krankenhäuser für KRITIS ausführen müssen:

Registrierung beim BSI

KRITIS-Betreiber müssen sich beim BSI registrieren lassen und einen Hauptansprechpartner für Compliance-, Cybersicherheits- und Sicherheitsverletzungsmeldungen benennen.

Implementierung von Sicherheitsmaßnahmen und Intrusion Detection Systemen

KRITIS-Krankenhäuser müssen alle adaptiven Kontrollen, Prozesse und Verfahren, die zum Schutz der IT-Systeme vor Cyberangriffen notwendig sind, unter Einhaltung der BSI-Mindeststandards aktivieren und aufrechterhalten.

Berichtspflicht und Informationsaustausch mit dem BSI

KRITIS-Betreiber müssen größere IT-Vorfälle innerhalb von 72 Stunden an das BSI melden und die für das Vorfallsmanagement notwendigen Angaben machen. Alle KRITIS-Krankenhäuser müssen außerdem relevante Informationen mit anderen Krankenhäusern und den BSI-Behörden austauschen.

Das KRITIS-Krankenhaus muss einen umfassenden Notfallplan entwickeln und einsetzen, der Folgendes umfasst:

• Analyse der Auswirkungen auf das Geschäft
• Management der Geschäftskontinuität
• Plan zur Aufrechterhaltung des Geschäftsbetriebs
• Ziele für die Wiederherstellungszeit

KRITIS, ISMS, B3S und ISO 270001 aufeinander abstimmen

Das BSI schreibt vor, dass KRITIS-Krankenhäuser ein ISMS einrichten und aufrechterhalten, das mit den Normen der ISO 27001 übereinstimmt.

Das ISMS folgt den vier in der ISO 27001 definierten Prinzipien: Planen, Umsetzen, Kontrollieren und Optimieren. Es schafft eine unabhängige Struktur zur Verbesserung der IT-Sicherheit, einschließlich zentraler Funktionen wie einem IT-Sicherheitsbeauftragten und einer Risikoanalyse zur Ermittlung von Schwachstellen.

KRITIS-Krankenhäuser müssen insbesondere Nachweise für ihr Risikomanagementprogramm, den Nachweis der Überwachung, die Einhaltung der Vorschriften, das Auditmanagement und andere Elemente des B3S erbringen.

Diese Krankenhäuser müssen externe Prüfer beauftragen und deren Ergebnisse alle zwei Jahre an das BSI melden.

Verständnis der B3S-Standards

Der B3S umfasst 168 Standards für eine belastbare IT und Patientenversorgung. Diese Standards werden in die Kategorien „Muss“, „Sollte“ und „Optional“ eingeteilt.

Die Standards werden in fünf Kategorien eingeteilt:

• Interoperabilität: Sicherstellung des Datenzugriffs über mehrere Plattformen hinweg
• Datensicherheit: Ermöglichung der Verschlüsselung über alle Datenquellen hinweg
• Privatsphäre: Erfüllung aller Datenschutzbestimmungen
• Zustimmungsmanagement: Ermöglichung von Patenteinwilligungssystemen
• Datenqualität: Aufrechterhaltung der Integrität, Vertraulichkeit und Verfügbarkeit aller Daten.

Krankenhäuser in Deutschland, die bereits ISO 27001 und ein ISMS implementiert haben, sind am besten darauf vorbereitet, die Anforderungen des BSI und des IT-SIG 2.0-Sicherheitsgesetzes zu erfüllen.

Hauptunterschiede zwischen KRITIS und B3S

KRITIS ist einfach eine Kennzeichnung für ein Krankenhaus, die auf der Anzahl der Fälle basiert, um „State-of-the-Art“-Cybersicherheitsfähigkeiten zu ermöglichen, die mit den BSI-Richtlinien übereinstimmen. Die KRITIS-Richtlinie besagt auch, dass das Krankenhaus ein ISMS-System einrichten muss, das dem ISO 270001-Rahmen entspricht. B3S bietet zusätzliche Standards, die Krankenhäuser erfüllen müssen, um den BSI-Richtlinien zu entsprechen.

Auswirkungen von B3S auf kleinere Krankenhäuser

Kleinere Krankenhäuser, die nicht unter KRITIS fallen, müssen bis zum 1. Januar 2022 sicherstellen, dass ihre IT-Sicherheit den aktuellen Standards entspricht. Das Sozialgesetzbuch (SGB V) § 75c führt zum 1. Januar 2022 neue IT-Sicherheitsvorschriften für Krankenhäuser ein, die sich am BSI-Gesetz orientieren. Ab diesem Zeitpunkt müssen alle Krankenhäuser die strengen KRITIS-IT-Sicherheitsanforderungen einhalten, unabhängig von ihrer Größe.

• „Kleine Krankenhäuser müssen ab Januar 2022 elektronische Patientenakten (ePA), digitale Überweisungen und e-Rezepte einführen.“
• Diese Änderungen werden Herausforderungen bei der Speicherung und Verwaltung von Patientendaten mit sich bringen, die ein häufiges Ziel von Cyberangriffen sind. Sie müssen geeignete Datenverarbeitungssysteme implementieren und dabei strenge Datenschutzrichtlinien einhalten.
• Während KRITIS-Krankenhäuser gegenüber dem BSI nachweispflichtig sind, besteht für kleine Krankenhäuser keine solche Verpflichtung nach § 75c SGB V oder dem PDSG.
• „Im Oktober 2020 tritt in Deutschland das Patientendatenschutzgesetz (PDSG) in Kraft, das alle Krankenhäuser betrifft und sich auf die IT-Sicherheit bezieht.“

Die Vorbereitung auf einen Angriff erfordert eine präventive Denkweise

Die Anpassung an die B3S-Standards für IT-Sicherheitsmaßnahmen ist entscheidend für die Einhaltung der Vorschriften, da die meisten Vorfälle zu Datenschutzverletzungen führen. Diese Verstöße können durch Cyberangriffe oder den unsachgemäßen Umgang mit personenbezogenen Daten verursacht werden.

• So wurde beispielsweise ein Krankenhaus in Den Haag zu einer Geldstrafe in Höhe von 460.000 Euro verurteilt, weil es allen Mitarbeitern ohne entsprechende Berechtigung Zugang zu Patientendaten gewährt hatte.
• Auch ein portugiesisches Krankenhaus wurde 2018 wegen desselben Problems zu einer Geldstrafe von 400.000 Euro verurteilt.
• Das deutsche Bundesland Rheinland-Pfalz verhängte außerdem eine Geldstrafe in Höhe von 105.000 Euro gegen ein Krankenhaus wegen mehrerer Datenschutzverstöße im Zusammenhang mit der Aufnahme von Patienten.

Fördermittel für Krankenhäuser verfügbar

„Von 2019 bis 2024 werden 500 Millionen Euro pro Jahr – insgesamt vier Milliarden Euro – für die Erfüllung der KRITIS-Anforderungen für große Krankenhäuser bereitgestellt.“ Für kleinere Krankenhäuser stehen zusätzlich 4,3 Milliarden Euro über den Krankenhauszukunftsfonds zur Verfügung, für die bis Dezember 2021 Förderanträge gestellt werden können.“

Betreiber müssen mindestens 15 Prozent ihrer Mittel investieren.

Welche Bedeutung hat das IT-SIG 2.0 für deutsche Gesundheitseinrichtungen?

IT-SIG 2.0, das deutsche IT-Sicherheitsgesetz 2.0, ist für Einrichtungen des Gesundheitswesens von entscheidender Bedeutung, da es eine strengere Cybersicherheit für kritische Infrastrukturen, einschließlich Krankenhäuser, vorschreibt. Diese Verordnung gewährleistet den Schutz sensibler Patientendaten und die Verfügbarkeit medizinischer Systeme vor Cyberangriffen, die die Patientenversorgung stören und Leben gefährden könnten. Sie zwingt die Einrichtungen des Gesundheitswesens dazu, starken Cybersicherheitspraktiken für die betriebliche Widerstandsfähigkeit Vorrang einzuräumen.

IT-SIG 2.0 spielt auch eine entscheidende Rolle bei der Vorgabe, dass Krankenhäuser die erforderlichen adaptiven Kontrollen, einschließlich der Erkennung von Eindringlingen, implementieren müssen oder mit erheblichen Geldstrafen rechnen müssen. Dieses Mandat sieht auch zusätzliche Sicherheitsanforderungen für Krankenhäuser vor, indem es zusätzliche Berichterstattung und Datenschutz in Übereinstimmung mit der GDPR vorsieht.

Strengere Compliance-Anforderungen

IT-SIG 2.0 schreibt Krankenhäusern vor, notwendige adaptive Kontrollen wie Intrusion Detection zu implementieren oder erhebliche Geldbußen zu riskieren.

Schutz von Patientendaten

IT-SIG 2.0 erzwingt eine strenge Cybersicherheit, um sensible Patientendaten vor unbefugtem Zugriff oder Verstößen zu schützen.

Betriebliche Kontinuität

Das Gesetz zielt darauf ab, die Widerstandsfähigkeit von IT-Systemen gegen Cyberangriffe zu gewährleisten, Ausfallzeiten zu minimieren und den Zugang zu Patientendaten in wichtigen Gesundheitsdiensten aufrechtzuerhalten.

Verstärkte Rechenschaftspflicht

Einrichtungen des Gesundheitswesens müssen nachweisen, dass sie die IT-SIG-2.0-Vorschriften einhalten, und bei Nichteinhaltung drohen Strafen.

Hinweis: Unternehmen sollten Security Information Event Management (SIEM) für die Erkennung von Angriffen, die Verwaltung von Fällen und die Verteilung von Playbooks einsetzen, um die Anforderungen der IT-SIG 2.0 für den Sicherheitsbetrieb zu erfüllen, zu denen die kontinuierliche Überwachung, die Reaktion auf Vorfälle und die Berichterstattung über die Einhaltung von Vorschriften gehören.

Die Rolle von MDR bei der Unterstützung von Krankenhäusern bei der Einhaltung von KRITIS- und B3S-Vorschriften?

KRITIS- und Nicht-KRITIS-Anbieter im Gesundheitswesen, die mit Personalengpässen zu kämpfen haben, profitieren von einer Partnerschaft mit einem MDR-Anbieter wie ForeNova. MDR hilft Gesundheitsdienstleistern unabhängig von ihrer Größe. Alle Gesundheitsdienstleister müssen ihre verschiedenen Sicherheitskontrollen überwachen, um ihre digitalen Vermögenswerte, Patienteninformationen und Mitarbeiterdaten zu schützen.

Hier sind einige wesentliche Punkte zum Wert von MDR und B3S:

• Die B3S-Standards für das Gesundheitswesen erfordern eine Sicherheitsüberwachung aller Anwendungen, Netzwerke, Geräte, Datenbanken und Portale im Gesundheitswesen.
• Gesundheitsdienstleister, die unter IT-SIG 2.0 fallen, müssen sicherstellen, dass ordnungsgemäße Intrusion Detection und Sicherheitsmaßnahmen, kontinuierliche Überwachung und Berichterstattung rund um die Uhr funktionieren.
• Wie in B3S definiert, müssen alle Krankenhäuser über Notfallpläne und -prozesse verfügen, um auf alle Cybersecurity-Ereignisse, einschließlich Datenschutzverletzungen, reagieren zu können.

Schlussfolgerung

Letztlich bedrohen Cyberangriffe im Gesundheitswesen Leben und die Zivilgesellschaft. IT-Mindeststandards wie die KRITIS-Anforderungen können die Sicherheit von Krankenhäusern erhöhen. Die Betreiber von Einrichtungen müssen diese Standards einhalten, um einen langfristigen Schutz vor Angriffen zu gewährleisten. Das Hauptziel besteht darin, zu verhindern, dass der Krankenhausbetrieb durch Cyber-Bedrohungen gestört wird.

ForeNova, ein in der EU ansässiger MDR-Anbieter, kennt die komplexe Welt der Compliance im Gesundheitswesen. Sich überschneidende Mandate, redundante Sicherheitskontrollen und Kostenüberschreitungen plagen jeden Gesundheitsdienstleister, auch Krankenhäuser. Diese Krankenhäuser kämpfen damit, ihre Kosten für den Sicherheitsbetrieb zu senken und gleichzeitig die Anforderungen von BSI, IT-SIG 2.0 und KRITIS zu erfüllen. Wer mit den ständigen Veränderungen bei B3S Schritt halten will, wird von einer Zusammenarbeit mit ForeNova erheblich profitieren.