Datenschutz und IT-Risikoanalyse für KRITIS- Betreiber im Krankenhaus

Krankenhäuser gehören aufgrund Ihrer Bedeutung für das Wohlergehen der Bevölkerung zu den kritischen Infrastrukturen. Mit dem IT-Sicherheitsgesetz hat der Gesetzgeber Mindestanforderungen für den Schutz Kritischer Infrastrukturen vorgegeben und die Deutsche Krankenhausgesellschaft hat auf Basis dieser Anforderungen den B3S Standard Medizinische Versorgung für die Verbesserung der IT- Sicherheit in deutschen Krankenhäusern entwickelt. Der B3S Standard steht auch den Krankenhäusern zur Verfügung, die nicht als KRITIS-Betreiber reguliert sind. Die Informationstechnik unterstützt im Krankenhaus von heute u.a.

• die Krankenhausprozesse
• die Verwaltung von Patientendaten und
• die Durchführung medizinischer Eingriffe.

Damit ist diese Infrastruktur nicht unerheblichen Risiken ausgesetzt, welchen seitens der Krankenhausbetreiber begegnet werden muss. Kern der Umsetzung des B3S ist die Implementierung und der Betrieb eines Informationssicherheitsmanagementsystems (ISMS) entsprechend den Anforderungen der ISO 27001 Norm ergänzt um die branchenspezifischen Anforderungen der ISO 27799. Damit können die Anforderungen aus diesen Standards und dem B3S zu

• Datenschutz,
• Risikomanagement und
• Informationssicherheit

umfassend umgesetzt, analysiert, bewertet, überwacht und permanent verbessert werden.