KRITIS-Umsetzungen in Berliner Krankenhäusern

Im Oktober berichtete die Presse, dass die Sicherheitsüberprüfung von Krankenhäusern nicht wie vorgesehen erfolgen können, da nicht genügend prüfende Stellen existieren. Das ist ein Problem, da Krankenhäuser zu den kritischen Infrastrukturen zählen und damit ihre IT in besonderer Weise gegen Hackerangriffe schützen müssen. Ich habe die Berichterstattung zum Anlass genommen den Senat zur Situation der Berliner Krankenhäuser zu befragen. Nun liegt die Antwort vor (Drucksache 18/21633).

Teil eins der Antwort: Berliner Behörden sind hierbei nicht beteiligt. Die Meldepflichten bestehen ausschließlich gegenüber dem Bundesamt für Sicherheit in der Informationstechnik. Deshalb liegen dem Senat Informationen zu Sicherheitsüberprüfungen und Audits nicht vor.

Teil zwei der Antwort: Der Senat informiert aber auch, dass Berlin durch organisatorische und finanzielle Maßnahmen unterstützt. So wurden im ersten Halbjahr des Jahres 2019 in zwei Berliner Krankenhäusern Übungen durchgeführt, in denen die Zusammenarbeit der IT-Sicherheit mit dem Krisenmanagement geübt wurde. Die Erkenntnisse aus den Übungen werden genutzt werden, den anderen Berliner Krankenhäusern Hinweise zu geben, wie sie die Vorsorge weiter ausbauen können. Die Übungen werden auch im Jahr 2020 fortgesetzt.

Mein Fazit auch nach den Erfahrungen mit der Charité im Ausschuss für Datenschutz: Es bewegt sich einiges im Bereich IT-Sicherheit, aber die weitere Sensibilisierung aller Beteiligten ist fortlaufend nötig.

1. Welche Gesundheitsinstitutionen und Krankenhäuser in Berlin fallen unter die Voraussetzungen und Schwellwerte der BSI-KritisV?
2. Welche der in Frage 1 aufgeführten Institutionen haben dem BSI ihre Sicherheitsprüfungen und Audits im Rahmen der KRITIS-Umsetzung nachgewiesen?
3. Welche der in Frage 1 aufgeführten Institutionen haben dem BSI ihre Sicherheitsüberprüfungen und Audits bisher nicht nachweisen können und welche Gründe lagen dafür jeweils vor?

Krankenhäuser sind in grundsätzlich allen Bereichen verpflichtet, notwendige Sicherheitsstandards einzuhalten. Sie agieren im Bereich der IT-Sicherheit eigenverantwortlich. Die Senatsverwaltung für Gesundheit, Pflege und Gleichstellung unterstützt die Krankenhäuser im Rahmen der Verantwortung für den Katastrophenschutz. Die rechtlichen Rahmenbedingungen für die Krankenhäuser ergeben sich aus den bundesrechtlichen Regelungen (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik – BSI-Gesetz – BSIG und Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz BSI-Kritisverordnung – BSI-KritisV). Bestimmte Krankenhäuser müssen einer Meldepflicht gem. § 8b Absatz 4 BSI-Gesetz nachkommen, sofern die anhand der in der BSI-Kritisverordnung festgesetzten Schwellenwerte überschritten werden. In der BSI-Verordnung werden 30.000 vollstationäre Fallzahlen/Jahr als Richtgröße für Krankenhäuser festgelegt. Die Ausführung dieser Vorschriften obliegt dem BSI (Bundesamt für Sicherheit in der Informationstechnik). Berliner Behörden sind hierbei nicht beteiligt. Die Meldepflichten bestehen ausschließlich gegenüber dem Bundesamt für Sicherheit in der Informationstechnik. Deshalb liegen dem Senat Informationen zu Sicherheitsüberprüfungen und Audits nicht vor.

4. Wie unterstützt das Land Berlin die zur KRITIS-Umsetzung verpflichteten Betriebe im Gesundheitssektor? Welche konkrete Zusammenarbeit besteht vor diesem Hintergrund mit dem BSI?

Das Land Berlin unterstützt durch organisatorische und finanzielle Maßnahmen. Bereits in den Jahren 2011 und 2012 wurden in dem Projekt „Risikoanalyse KrankenhausIT“ (RiKrIT) ein Leitfaden und eine Methode entwickelt, mit der kritische IT-Abhängigkeiten in einem Krankenhaus und daraus erwachsende Risiken für die Patientenversorgung und weitere wichtige Prozesse identifiziert und bewertet werden können. Der Leitfaden entstand aus einer Initiative des Senats. Das Vorhaben wurde unter Federführung des Bundesamts für Sicherheit in der Informationstechnik (BSI) und mit Beteiligung des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) sowie dem Unfallkrankenhaus Berlin (ukb) durch Auftragnehmer aus Industrie und Wissenschaft durchgeführt. Dieser Leitfaden steht allen Krankenhäusern als Handlungsinstrument zur Verfügung. Damit wurden die Grundlagen geschaffen, nach denen die Krankenhäuser in eigener Verantwortung eine Risikoanalyse im IT-Bereich durchführen können.

Im ersten Halbjahr des Jahres 2019 wurden in zwei Berliner Krankenhäusern Übungen durchgeführt, in denen die Zusammenarbeit der IT-Sicherheit mit dem Krisenmanagement geübt wurde. Die Erkenntnisse aus den Übungen werden genutzt werden, den anderen Berliner Krankenhäusern Hinweise zu geben, wie sie die Vorsorge weiter ausbauen können. Die Übungen werden auch im Jahr 2020 fortgesetzt. Der Bund eröffnet Berlin durch den Strukturfonds II Möglichkeiten der Finanzierung von Maßnahmen der IT-Sicherheit. Mit den im Artikel 2 des „Gesetzes zur Stärkung des Pflegepersonals (Pflegepersonal-Stärkungsgesetz – PpSG)“ vom 11. Dezember 2018 (Bundesgesetzblatt Jahrgang 2018 Teil I Nr. 45, ausgegeben zu Bonn am 14. Dezember 2018) enthaltenen Änderungen des Krankenhausfinanzierungsgesetzes (KHG) wurde durch den Bund beschlossen, die bereits mit dem Strukturfonds I begonnene Förderung zur Verbesserung der Versorgungsstrukturen der Krankenhausversorgung der Länder ab 2019 fortzuführen.

Hierzu werden dem beim Bundesversicherungsamt errichteten Strukturfonds in den Jahren 2019 bis 2022 weitere Mittel in Höhe von bis zu 500 Millionen Euro jährlich aus der Liquiditätsreserve des Gesundheitsfonds zugeführt. Entsprechend einem festgelegten Verteilungsschlüssel entfallen auf das Land Berlin jährlich rd. 24.142 T€ in 2019 bis 2022 (in Summe rd. 96.568 T€). Zusammen mit dem erforderlichen Landesanteil (insges. 48,3 Mio. € beim Titel 0920/89230), der im Entwurf des Doppelhaushalts 2020/2021 und der Finanzplanung bis 2022 berücksichtigt ist, und dem Finanzierungsanteil der Krankenhausträger stehen damit in den nächsten vier Jahren insgesamt rd. 193.000 T€ für Projekte zur Verfügung. Neben strukturellen Maßnahmen, Konzentrationen von Versorgungsstrukturen, Ausbildungseinrichtungen und der Schaffung integrierter Notfallzentren sollen mit diesen Mitteln auch Maßnahmen für IT-Infrastrukturen und IT-Sicherheit der Krankenhäuser gefördert werden.

Die Förderinhalte von IT-Maßnahmen werden in Teil 2 § 11 Abs. 1 Nummer 4 der Verordnung zur Verwaltung des Strukturfonds im Krankenhausbereich (Krankenhausstrukturfonds-Verordnung – KHSFV) konkretisiert. Gefördert werden IT-Vorhaben, wenn ….

„4. die Beschaffung, Errichtung, Erweiterung oder Entwicklung informationstechnischer oder kommunikationstechnischer Anlagen, Systeme oder Verfahren oder bauliche Maßnahmen erforderlich sind, um
a) die Informationstechnik der Krankenhäuser, die die Voraussetzungen des Anhangs 5 Teil 3 der BSI Kritisverordnung erfüllen, an die Vorgaben von § 8a des BSI-Gesetzes anzupassen oder
b) telemedizinische Netzwerkstrukturen insbesondere zwischen Krankenhäusern der Schwerpunkt und Maximalversorgung einschließlich der Hochschulkliniken einerseits und Krankenhäusern der Grund- und Regelversorgung andererseits zu schaffen; im Rahmen der geförderten telemedizinischen Netzwerkstrukturen sind Dienste der Telematikinfrastruktur im Gesundheitswesen nach § 291a des Fünften Buches Sozialgesetzbuch zu nutzen, sobald diese zur Verfügung stehen, …“.

5. Wie bewertet der Senat die IT-Sicherheitsvorkehrungen in den Betrieben des Gesundheitssektors und den Schutz von Patientendaten?

Die Bewertung der IT-Sicherheitsvorkehrungen und des insoweit bestehenden Schutzes der in den 6337 Arztpraxen im Land Berlin verarbeiteten Patientendaten ist keine Aufgabe des Senats, sondern der in diesen Betrieben jeweils für die Datenverarbeitung Verantwortlichen, der gegebenenfalls vorhandenen betrieblichen Datenschutzbeauftragten und der Berliner Beauftragten für Datenschutz und Informationsfreiheit in ihrer Funktion als Aufsichtsbehörde.

Dessen unbeschadet sind die Anforderungen an die IT-Sicherheitsvorkehrungen in den Arztpraxen bislang nicht standardisiert. Aufgrund des vom Bundestag verabschiedeten und voraussichtlich in Kürze in Kraft tretenden Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz, DVG, BR-Drs. 557/19) werden die Kassenärztlichen Bundesvereinigungen verpflichtet, bis zum 30. Juni 2020 die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung in einer Richtlinie verbindlich festzulegen. Darüber hinaus werden die Kassenärztlichen Bundesvereinigungen verpflichtet, ab dem 30. Juni 2020 Anbieter im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik auf deren Antrag zu zertifizieren, wenn diese über die notwendige Eignung verfügen, um die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer bei der Umsetzung der Richtlinie sowie deren Anpassungen zu unterstützen (Artikel 1 Nummer 10 DVG = § 75b des Fünften Buches Sozialgesetzbuch).

Die Krankenhäuser sind eigenverantwortlich für die Sicherheit ihrer IT Systeme und ihrer Patientendaten. Für den Bereich der Telematikinfrastruktur ist gemäß § 291 b Abs. 1 SGB V die Gesellschaft für Gematik für die Erstellung von Vorgaben zum sicheren Betrieb der Telematikinfrastruktur und für die Überwachung der Umsetzung dieser Vorgaben ebenso zuständig, wie sie die funktionalen und technischen Vorgaben einschließlich eines Sicherheitskonzepts für die Telematikinfrastruktur zu erstellen hat.

Print Friendly, PDF & Email

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.