KHZG - Fördermöglichkeiten für IT-Sicherheit: In diesem Artikel stellen wir dar, was das KHZG fördert - und stellen dem gegenüber, das was das Sozialgesetzbuch V wiederum fordert.
Welche IT-Sicherheit wird gefördert?
Das Krankenhauszukunftsgesetz (KHZG) fördert IT-Sicherheit - genauer: Informationssicherheit auf zwei verschiedene Weisen:
Fördertatbestand 10
Dieser Fördertatbestand fördert Prävention, Detektion, Mitigation und Awareness gegenüber Informationssicherheitsvorfällen - also solcher Vorfälle, bei denen wichtige Informationen gefährdet sind. Egal ob auf Papier oder in Computern.
Hierbei kommen häufig unterschiedliche Begriffe vor: Informationssicherheit, IT-Sicherheit, Cybersecurity, Datenschutz. Wir haben Ihnen hier einmal zusammengestellt, was diese genau bedeuten.
Die Förderrichtlinie listet hier - bedauerlicherweise etwas vorschnell - eine Reihe von Technologien wie "Next Generation Firewalls", "Micro-Virtualisierung", "Intrusion Prevention Systeme" u.ä.
Sie enthält jedoch auch ein wichtiges Schlüsselwort - ISMS: also ein Informationssicherheitsmanagementsystem. Dies ist kein Software- oder Hardwaresystem, sondern eine Reihe von ineinander greifenden organisatorischen Regeln, die dafür sorgen, dass alle Bemühungen um mehr Informationssicherheit gut organisiert sind.
Die 15%-Regel
Grundsätzlich gilt lt. Förderrichtlinie: Alle beantragten Förderprojekte müssen mind. 15% ihres Volumens für Maßnahmen zur Informationssicherheit ausgegeben!
Aber welche Sicherheitsmaßnahmen sollten Sie jetzt in ihren Förderprojekten planen? Das wird klar, wenn man sich zum KHZG noch zus. den § 75c SGB V sowie den B3S anschaut. Und darum geht es in den nächsten Teilen.
Welche IT-Sicherheit wird gefordert?
Der § 75c SGB V fordert (verkürzt), dass sich alle Krankenhäuser ab dem 01.01.2022 um Informationssicherheit kümmern müssen und dies bspw. durch Implementierung des B3S (des branchenspezifischen Sicherheitsstandards der DKG e.V.) angehen. Der B3S wiederum fordert den Aufbau eines ISMS auf Basis des Internationalen Norm für Informationssicherheit: der ISO 27001.
Hier schließt sich also der Kreis: Das KHZG fördert ein ISMS - § 75c fordert es.
Spätestens an dieser Stelle ist klar: Die Anschaffung von chromglänzender neuer Hardware mag über das KHZG förderbar sein. Sinnvoll ist sie nicht zwingend! Denn das ISMS müssen alle Krankenhäuser ja trotzdem aufbauen. Und wenn man es nicht über das KHZG fördern lässt - dann muss man es aus der eigenen Tasche bezahlen.
Interessant festzuhalten ist hier das folgende:
Mit dem § 75c SGB V sind alle deutschen Krankenhäuser den KRITIS-Krankenhäusern gleichgestellt, also denjenigen Krankenhäusern, die sich schon seit 2018 verpflichtend um Informationssicherheit kümmern müssen, weil sie mehr als 30.000 stationäre Fälle pro Jahr haben.
Nur die Rechtsgrundlage ist eine andere: bei den KRITIS-Krankenhäusern ist es der § 8a BSIG zusammen mit der KritisV - für alle anderen Krankenhäuser ab sofort der § 75c SGB V.
Der B3S
Aber wie baut man so ein ISMS auf? Der B3S beschreibt die Vorgehensweise in Kapitel 3.3 recht genau. (Eine Aufarbeitung dieses Themas würden diesen Artikel sprengen. Bitte gerne per Kommentar Interesse bekunden, wir reichen das dann nach.)
Wichtig zu wissen sind hier drei Dinge:
- Der B3S regelt genau, welche sog. "kritischen Dienstleistungen" in einem Krankenhaus sicherheitsrelevant sind. Diese müssen Sie mit Hilfe Ihres ISMS schützen. Die wichtigste ist die "Stationäre Versorgung" (B3S Kap. 1.4).
- Der B3S ermöglichst einen sog. "iterativen Ansatz" zur Umsetzung (B3S Kap. 5). Das bedeutet, dass die Umsetzung vergleichsweise klein starten kann - und dann nach und nach ausgebaut wird.
- Risikobasierter Ansatz: alle Aktivitäten im Bereich der Informationssicherheit sollen priorisiert werden nach dem Risiko (B3S Kap. 4), das sie mindern. Das bedeutet, dass die zentralen Fragen immer lauten müssen:
- Welche Gegebenheiten stellen jetzt im Moment das höchste Risiko für die Patientensicherheit dar?
- Was gefährdet derzeit die Behandlungseffektivität am meisten?
- Wie ist die Vertraulichkeit von wichtigen Informationen möglichst effektiv verbesserbar?
- Wo ist die Integrität (Unverfälschtheit) und Authentizität (Echtheit) von wichtigen Informationen gerade in Gefahr?
- Gibt es heikle Situationen, in denen wichtige Informationen nicht verfügbar sind, wenn sie es sein müssten?
Genau dieser risikobasierte Ansatz, den der B3S vorschlägt (und der aus der zu Grunde liegenden Norm ISO 27001 stammt) bringt hier Vorteile. Denn über diesen Ansatz können Sie diejenigen Maßnahmen ermitteln, die Sie in den oben genannten 15% ansetzen müssen.
Die zentrale Frage hierzu ist:
Welches sind die imminentesten Sicherheitsrisiken, die durch die geplanten und zu beantragenden Förderprojekte entstehen?
Dies können Sie über einen einfachen Risikoprozess herausfinden und so ihre Förderanträge detaillieren.
KHZG - Fördermöglichkeiten für IT-Sicherheit: wie gelingt ein Nachweis?
Es ist zu erwarten, dass Krankenhäuser nachweisen müssen, dass sie sich um Informationssicherheit gekümmert haben. Diese Nachweispflicht ergibt sich (im Gegensatz zu dem KRITIS-Krankenhäusern) nicht aus § 8a BSIG. Im Gegenteil: Das BSI ist für die Nicht-KRITIS-Krankenhäuser überhaupt nicht zuständig.
Aber woher sollte dann eine Nachweispflicht kommen?
Zwei Dinge sind hier denkbar:
- Betriebliche Haftpflichtversicherungen von Krankenhäusern werden den Nachweis der Erfüllung von § 75c verlangen, bevor sie Schäden regulieren, die etwas mit Cyberangriffen zu tun haben.
- Die KHZG-Förderprojekte müssen sicherlich auch Projekterfolge nachweisen - und die digitale Reifegradmessung wird sich auch um das Thema Informationssicherheit kümmern.
Um sich einen "wasserdichten Nachweis" für Informationssicherheit zu besorgen, gibt es jetzt zwei Möglichkeiten:
MÖGLICHKEIT 1: Sie gehen genau so vor wie alle KRITIS-Krankenhäuser: alle zwei Jahre bestellen Sie ein Prüfer-Team, das gem. § 8a Abs. 3 BSIG diese Prüfungen abnehmen darf. Sie erhalten einen ausführlichen Prüfbericht. Diesen können Sie sich in die Schublade legen und ihn bei Bedarf vorweisen. Und hoffen, dass er ausreicht, denn dieser Prüfbericht ist differenziert und enthält eine Menge an Grautönen. Ein klares Siegel "sicher" oder "nicht sicher" ist so ein Prüfbericht nicht.
MÖGLICHKEIT 2: Sie lassen Ihr Haus nach ISO 27001 zertifizieren - die Anforderungen aus dem B3S, die nicht sowieso schon in der ISO 27001 vorkommen, fügen Sie hinzu. ISO 27001 erlaubt dies explizit über Anhang A.18.1.1.
Aus unserer Sicht ist Variante 1 möglich, aber wackelig. Variante 2 ist die sichere Bank.
Unser Tipp
Informationssicherheit nach Maßgabe des B3S müssen Sie in der nächsten Zeit sowieso angehen. Also lassen Sie es sich über das KHZG bezuschussen.
Es ist zu erwarten, dass die Messung des Digitalen Reifegrades in Krankenhäusern, die derzeit angeschoben wird, auch den Stand der Informationssicherheit messen wird. Seien Sie darauf vorbereitet.
Und zu guter Letzt:
Wenn Sie für Ihre KHZG-Förderprojekte mind. 15 Prozent für Informationssicherheit einplanen, dann wählen Sie hier einen risikobasierten Ansatz, um auszuwählen, was Sie dafür anschaffen. Erliegen Sie bitte nicht der Versuchung, einfach in einen "Next Generation Firewall" zu investieren. Es kann sein, dass der Ihnen gar nicht so viel bringt.
Den Nachweis des Ganzen erbringen Sie über einen individuellen Prüfbericht (wacklig) oder ein ISO 27001-Zertifikat (sicherer).
KHZG - Fördermöglichkeiten für IT-Sicherheit sind da!
Haben Sie Fragen zum Thema? Dann vereinbaren Sie doch einfach einen unverbindlichen Gesprächstermin mit uns!
