IT-Sicherheitsgesetz im Krankenhaus

Am 25.07.2015 ist das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) in Kraft getreten.

Als Betreiber einer „kritischen Infrastruktur im Bereich Gesundheit“ zählen Krankenhäuser zu den Hauptadressaten des Gesetzes. Die Vermeidung von Verfügbarkeitsstörungen, die Wahrung der Integrität, der Authentizität und der Vertraulichkeit der IT-Systeme, ihrer Komponenten und Prozesse müssen nun aufgrund gesetzlicher Verpflichtung durch technische Vorkehrungen abgesichert werden. Tatsächlich erfolgte oder mögliche IT-Sicherheitsvorfälle müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Die Einhaltung und Umsetzung des Gesetzes ist mit einem Bußgeld bis zu 100.000,00 EUR bewehrt.

Die Details, insbesondere was genau als „kritische Infrastruktur“ anzusehen ist, wird das Bundesministerium des Inneren noch in einer Rechtsverordnung festlegen. Erst zwei Jahre danach werden die Regelungen verbindlich — dann aber sofort. Binnen sechs Monaten nach dem Inkrafttreten der Rechtsverordnung muss das Krankenhaus dem BSI unaufgefordert eine Kontaktstelle mitteilen und dessen jederzeitige Erreichbarkeit sicherstellen.

Das Bundesministerium des Inneren muss die Branchenverbände vor Erlass der Rechtsverordnung anhören. Branchenverbände können zudem Vorschläge unterbreiten, wie genau — und damit wie streng — die branchenspezifischen Sicherheitsstandards auszugestalten sind. Über die Branchenverbände — oder durch das Krankenhaus direkt — kann daher nun auf den Umfang des später zu erbringenden Sicherheitsaufwands eingewirkt werden. Auch können jetzt ggf. maßgeschneiderte Lösungen für Krankenhäuser vorgeschlagen werden, die davor schützen, später „unpassende“ Allgemeinstandards umsetzen zu müssen.

Der Bundesrat hat bereits im Gesetzgebungsverfahren darauf aufmerksam gemacht, dass der Zuschussbedarf jedenfalls für die von den Kommunen und Länder getragenen Krankenhäuser steigen wird. Nach einer Darstellung der Bundesregierung kann der zusätzliche Finanzbedarf erst festgestellt werden, nachdem die oben genannte, konkretisierende Rechtsverordnung erlassen ist. Über alle kritischen Betreiber hinweg rechnet die Bundesregierung mit Kosten von über 9 Mio. Euro, die allein bei den Betreibern jährlich entstehen. Bis zum Erlass der Rechtsverordnung kann daher auf eine erhöhte Beteiligung der Krankenhausträger an den entstehenden Kosten gedrungen werden.

Schon jetzt trifft auch Krankenhäuser die Verpflichtung, durch „technische und organisatorische Vorkehrungen sicherzustellen, dass […] kein unerlaubter Zugriff auf die […] genutzten technischen Einrichtungen möglich ist“. Ferner muss die Krankenhaus-IT gegen Datenschutzverletzungen und Störungen technisch gesichert werden. Einzuhalten ist damit der „Stand der Technik“. Ausdrücklich erwähnt wird die Pflicht zur „Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Die Einhaltung der schon jetzt geltenden Pflichten sind mit bis zu 50.000,00 EUR bußgeldbewehrt. Verfügbare Softwareupdates sollten daher z. B. jeweils zeitnah eingespielt werden. Soweit Drittunternehmen in IT-Aufgaben eingebunden sind oder soweit Drittunternehmen Zugriff auf Daten haben (z. B. im Falle von externen Abrechnungsbüros oder einer Fernwartung über externe Softwarehäuser), sollten diese vertraglich zur Einhaltung der neuen Vorschriften verpflichtet werden.

Das neue IT-Sicherheitsgesetz bringt jedoch auch Möglichkeiten mit sich: So ist es nun etwa erlaubt, eine „kleine freiwillige Vorratsdatenspeicherung“ bis zu sechs Monaten durchzuführen, um Sicherheitsrisiken auszuschließen und mögliche technische Angriffe zu entdecken und abwehren zu können — jedenfalls soweit Telekommunikationsdienste betroffen sind. Dies kann in Sondersituationen hilfreich sein.