Rückläufige Cyberangriffe auf Krankenhäuser – aber keine Entwarnung

veröffentlicht am 17. Mai 2024 | Lesedauer ca. 3 Minuten

Auf Krankenhäuser sind in den vergangenen Jahren zahlreiche Cyberangriffe verübt worden. Das geht aus der Antwort (20/10907) der Bundesregierung auf eine Kleine Anfrage (20/10657) der Unionsfraktion hervor. Die Zahlen seien allerdings rückläufig. Eine Unterscheidung bei den Angriffszielen zwischen Akteuren der Wirtschaft und dem Gesundheitssystem sieht die Bundesregierung nicht. Die Krankenhäuser, aber auch der Bund und die Länder seien in der Pflicht, regulatorische und praktische Maßnahmen zu treffen, um Cyberattacken künftig frühzeitig zu erkennen und zu vermeiden.

Für Krankenhäuser und Pflegeeinrichtungen steigt mit der öffentlichen Berichterstattung und den bekannt werdenden Fällen von Cyberattacken die Sorge um die Sicherheit von Daten sowie die Zuverlässigkeit von Versorgungsangeboten.

Auf die Kleine Nachfrage der Fraktion CDU/CSU – Drucksache 20/10657 – hat die Bundesregierung am 03.04.2024 – Drucksache 20/10907 – Fragen zu Sachstand und Handlungsbedarf beantwortet.
Allgemein machte die Bundesregierung die Bedeutung der IT-Sicherheit in der Gesundheitsversorgung deutlich, die sie durch regulatorische Maßnahmen, wie Gesetze und praktische Maßnahmen, wie Awareness-Maßnahmen und Beratungen, sicherstellen will.

Gefährdung der Krankenhäuser

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland jährlich einen umfassenden Überblick über die Bedrohungen im Cyberraum. Dieser Bericht mache deutlich, dass bei Angriffszielen für Cyberattacken nicht zwischen Zielen in der Wirtschaft und solchen in der Daseinsvorsorge des Gesundheitssektors unterschieden werde. Vielmehr seien diese Bereiche gleichermaßen betroffen. Dabei können sich erfolgreiche Cyberangriffe negativ auf die Grundwerte der IT-Sicherheit und die Sicherheit der Daten auswirken.

Auf Nachfrage stellte die Bundesregierung dar, dass Cyberattacken auf Krankenhäuser, die unter die BSI – KritisV fallen, in den vergangenen Jahren vielfach vorgenommen worden seien. Jedoch sei die Anzahl von „informationstechnischen Angriffen” seit 2019 stetig gesunken. So waren im Jahr 2019 noch 61 Vorfälle vermerkt, im Jahr 2023 lediglich 21 Vorfälle. Im Jahr 2024 seien es im Zeitraum 1.1.2024 bis 18.3.2024 bisher 3 Vorfälle.

Die Hilfs- und Unterstützungsangebote durch das BSI sowie zusätzliche finanzielle Unterstützung durch das Bundesministerium für Gesundheit (BMG) haben laut der Bundesregierung zu einer Verbesserung der Situation beigetragen.

Trotz rückläufiger Zahlen müssen Krankenhäuser sich rüsten: Die Krankenhäuser, die mit mehr als 30.000 vollstationären Fällen pro Jahr als kritische Anlage nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) gelten, müssen Umsetzungen auf dem „Stand der Technik“ durchführen. Mit der Einführung des § 75c SGB V durch das Patientendaten-Schutz-Gesetz vom 14.10.2020 wurden zudem ab dem 1.1.2022 alle Krankenhäuser auch unterhalb des KRITIS-Schwellwerts zur Einhaltung von dem Stand der Technik angemessenen Vorkehrungen zur Verbesserung der Cybersicherheit verpflichtet, sodass seither ein Mindestsicherheitsniveau für alle Krankenhäuser in Deutschland vorgeschrieben ist.

Beim Einsatz von IT-Systemen im Gesundheitswesen sind daher organisatorische und technische Vorkehrungen durch die Krankenhäuser zu ergreifen, die die Folgen eines Ausfalls oder Beeinträchtigung des Krankenhausbetriebs verhindern sollen und zudem den besonderen Schutzbedarf der verarbeiteten Patienteninformationen beachten. Daher sind beispielsweise im Branchenspezifischen Sicherheitsstandard „Medizinische Versorgung” für Krankenhäuser bereits Aspekte zum Betrieblichen Kontinuitätsmanagement (Business Ccontinuity Management) enthalten.

Während die Betreiber kritischer Infrastrukturen Nachweise über die Absicherung nach dem Stand der Technik erbringen müssen und die erkannten Lücken schließen, will das BSI Regulierungsinstrumente einsetzen, um Cyberattacken zu erkennen, abzuwehren und zu unterbinden. Daneben werden Branchenverbände bei der Erstellung „Branchenspezifischer Sicherheitsstandards” (B3S) unterstützt. Die Standards „Medizinische Versorgung” sind dabei nicht nur an KRITIS- Betreiber gerichtet, sondern an alle Krankenhäuser.

Trotz sinkender Fallzahlen sind Krankenhäuser weiterhin in der Pflicht, ihre Cybersicherheit umfassend auszubauen und zu gewährleisten, nicht zuletzt zum Schutze der Patientendaten und der Versorgungssicherheit. Kommen Sie gerne auf uns zu!

Quellen:

- BT- Drucksache 20/10657 (Kleine Anfrage der Fraktion der CDU/CSU)
- BT- Drucksache 20/10907 (Antwort Bundesregierung)

AUTORINNEN

Carina Richters	Pauline Rauch

Aus dem Themenspecial

Informationssicherheit
im Krankenhaus

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

WIR BERATEN SIE GERN!

NEWSLETTER

Newsletter Gesundheits- und Sozialwirtschaft

Unternehmer-briefing

Kein Themenspecial verpassen mit unserem Newsletter!

Jetzt anmelden – 25. Forum Global am 20. Juni 2024 in Nürnberg » |