IT-Sicherheit im Krankenhaus
Heilversuche
Große Krankenhäuser unterliegen schon seit Jahren den KRITIS-Regeln für IT-Sicherheit. Ab Ende des Jahres benötigen aber auch kleinere Häuser ein umfassendes Sicherheitskonzept.
Die gesetzlichen Regelungen zur IT-Sicherheit in Krankenhäusern betrafen zunächst nur Kliniken, die zu den kritischen Infrastrukturen (KRITIS) gehörten, also all jene, die mindestens 30000 stationäre Patienten im Jahr behandeln. Inzwischen gibt es aber auch Vorgaben, die von Betreibern kleinerer Häuser umgesetzt werden müssen – Fördermittel stehen bereit.
Das erste IT-Sicherheitsgesetz von 2015 berücksichtigt – anders als es der Name vermuten lässt – ausschließlich die IT-Sicherheit in kritischen Infrastrukturen (siehe S. 74). Es verpflichtet Betreiber dieser Einrichtungen, dem Stand der Technik der IT-Sicherheit zu entsprechen. Diesen Nachweis können sie erbringen, indem sie ein Informationssicherheitsmanagementsystem (ISMS), beispielsweise nach ISO 27001, einführen und zertifizieren lassen. Branchenneutrale ISMS nach ISO-Norm sind allerdings berüchtigt dafür, dass dieser Prozess sehr aufwendig ist.