MEDIZINISCHE INFORMATIONSSICHERHEIT

Herausforderungen der medizinischen Informationssicherheit in Kliniken und Krankenhäusern

Jetzt kostenloses Beratungsgespräch vereinbaren
Medizinische Informationssicherheit

Medizinische Informationsicherheit

Herausforderungen der medizinischen Informationssicherheit in Kliniken und Krankenhäusern

Medizinische Informationssicherheit
Jetzt kostenloses Beratungsgespräch vereinbaren

Cyber- und Informationssicherheit im Gesundheitswesen:
Zwischen Anforderungsflut und Ressourcenmangel

Cyber- und Informationssicherheit im Gesundheits
wesen: Zwischen Anforderungsflut und Ressourcenmangel

Mehr Resilienz für Krankenhäuser und Kliniken

Seit sechs Jahren sieht sich das Gesundheitssystem mit einer kontinuierlichen Verschärfung der Anforderungen an Cyber- und Informationssicherheit konfrontiert. Die derzeitige Bundesregierung hat die aktuelle geopolitische Lage zum Anlass genommen, die Krisenfestigkeit der zivil-stationären Gesundheitsversorgung per Gesetz zu stärken und die Anforderungen an die stationäre Gesundheitsversorgung noch weiter zu erhöhen. Ein aktueller Referentenentwurf zum „Gesundheitssicherstellungsgesetz“ soll noch dieses Jahr vorgelegt werden. Dabei hat eine DKI-Studie aus dem Jahr 2025 eklatante Mängel in diesem Bereich aufzeigen können.

Neue finanzielle Perspektiven für Cyber- und Informationssicherheit?

Die Finanzierungsgrundlage für Kliniken und Krankenhäuser hat sich seit dem KHZG nicht verbessert. Die Kassen sind nach wie vor leer. Die DKI-Studie zur Resilienz im Bereich stationäre Gesundheitsversorgung liefert jedoch valide Zahlen zu der Frage, was eine Stärkung der Resilienz von Kliniken und Krankenhäusern denn eigentlich kosten würde. So bleibt also die Hoffnung, dass das Gesundheitsministerium unter Ministerin Warken, im Rahmen der Erstellung des Referentenentwurfs zum „Gesundheitssicherstellungsgesetz“ auch die Frage der Bereitstellung finanzieller Mittel für Kliniken und Krankenhäuser ausreichend beachtet.

Stichdaten relevanter Vorgaben mit Bezug zur Informationssicherheit in der medizinischen Versorgung

NIS-2 / §30 BSIG, das Risikomanagement im Fokus

Aufgrund der im BSIG vorgegebenen Schwellenwerte sind die meisten Kliniken und Krankenhäuser nun als „besonders wichtige“ Einrichtungen eingestuft. Das bedeutet für die meisten Krankenhäuser und Kliniken auf absehbare Zeit neben der Einführung technischer Maßnahmen, wie einer Multi-Faktor-Authentifizierung oder der Einrichtung eines Systems zur Angriffserkennung auch den Aufbau eines Notfall- bzw. Krisenmanagements sowie eines Risikomanagements.

Nachdem der §391 SGB V bereits indirekte Anforderungen an ein Risikomanagement über den Verweis auf den branchenspezifischen Sicherheitsstandard „medizinischen Versorgung“ des BSI eingebracht hat, so fordert Paragraph §30 des BSIG nun gezielt den Aufbau von Konzepten zur Risikoanalyse sowie Konzepten zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen mit Bezug auf die Informationssicherheit in Krankenhäuser und Kliniken. Der B3S der medizinischen Versorgung liefert hier zwar eine mögliche Grundlage, verweist aber letztendlich auch nur auf die die führenden Normen in diesem Bereich, der DIN EN ISO/IEC 27001 sowie der DIN EN IEC 80001-1, sodass sich Kliniken und Krankenhäuser am Ende an diesen beiden Standards messen lassen müssen.

Kostenloser Download: Was hat sich bei der Aktualisierung der 80001-1 geändert?
Relevante Verordnungen, Gesetze, Standards & Normen für die medizinische Informationssicherheit Zusammenfassung des Dokumenteninhalts
§ 391 SGB V IT-Sicherheit in Krankenhäusern Gesetzliche Gesetzliche Vorgaben zur Gewährleistung der Informationssicherheit die in ihrer aktualisierten Form auch einen Bezug zwischen den Investitionskosten und dem zu erwartenden Schaden erstellt. Der nach §30 Absatz 8 des BSI-Gesetz freigegebene branchenspezifische Standard für die medizinische Versorgung wird hier ausdrücklich als Referenz erwähnt.
B3S-Medizinische Versorgung Der Branchenstandard stellt einen Umsetzungsleitfaden dar um insbesondere die Umsetzung des § 30 BSI-Gesetz zu gewährleisten.
BSIG Die nationale Regelung zur Umsetzung der NIS-2 EU-Richtlinie 2022/2554.
BSI-Kritisverordnung Bildet die Schwellenwerte ab und definiert ab wann eine Klinik oder ein Krankenhaus als kritische Infrastruktur gilt.
DIN EN 14971 (abgeleitet) Anwendung des Risikomanagements auf Medizinprodukte (einschließlich Software als Medizinprodukt) welche Terminologien sowie Grundsätze für einen Risikomanagement Prozess für Hersteller festlegt.
DIN EN IEC 80001-1 Macht Vorgaben zum Risikomanagement für IT-Netze, welche Medizinprodukte enthalten. Durch einen Bezug auf das Risikomanagement der Hersteller leitet sich hier die DIN EN 14971 ab.
DIN EN ISO 27799 Die DIN EN ISO/IEC 27001 Ergänzung zum Thema medizinische Informatik, welche sich vor allem damit beschäftigt, wie Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Gesundheitsdaten am besten geschützt werden können.
DIN EN ISO/IEC 27001 Standardwerk zum Aufbau eines Informationssicherheits-Managementsystem (ISMS).
DIN EN ISO/IEC 27002 Implementation Guideline für den Annex A der 27001.
EU-Verordnung 2017/745 (Medical Device Regulation) Erhält durch die Definition von „Systemen und Behandlungseinheiten“, deren Verwendungszweck und Anforderungen an die individuellen Bestandteile, eine Relevanz für die Informationssicherheit in medizinischen IT-Netzen und stellt die Verknüpfung zur MPBetreibV sowie der DIN EN IEC 80001-1 dar.
MPBetreibV (Medizinprodukte Betreiberverordnung) Gesetzliche Vorgaben für den Betrieb von Medizinprodukten, welche aktive Medizinprodukte (Medizingeräte) miteinschließt..

Relevante Verordnungen, Gesetze, Standards & Normen für die Medizinische Informationssicherheit

Ein smartes Risikomanagement bietet Chancen

Das Management von Risiken im Bereich IT, Medizintechnik und Informationssicherheit sind bei weitem nicht die einzigen Risikomanagement-Disziplinen mit denen sich ein Krankenhaus konfrontiert sieht. Neben dem klinischen Risikomanagement sollte auch ein betriebliches Risikomanagement vorhanden sein. Hier bietet sich für Kliniken und Krankenhäuser eine große Chance, wenn sie Konzepte sowie Techniken des Risikomanagements aufeinander abstimmen und so Arbeitsaufwände minimieren oder gar zusammenlegen. Neben der prozessualen Vereinheitlichung wie durch die Nutzung einheitlicher Risikomatrizen bietet sich auch eine inhaltliche Verknüpfung einzelner Disziplinen an.

Was ist jetzt zu tun?

Zwar sieht das neue BSIG für den Gesundheitsbereich eine „weiche“ Nachweisfrist von fünf Jahren vor, allerdings kann diese in Sonderfällen, aufgehoben werden, sodass Kliniken und Krankenhäuser zu einem weitaus früheren Zeitpunkt in die Nachweispflicht genommen werden. Entsprechend drohen im Ernstfall schon jetzt hohe Bußgeldzahlungen, sofern Verstöße gegen das BSIG aufgedeckt werden. Aus Sicht von Krankenhäusern oder Kliniken müssen zudem die Anforderungen aus § 391 SGB V schon jetzt zwingend umgesetzt werden, um einen entsprechenden Gesetzesverstoß zu vermeiden.

Gemessen an dieser starken Schraubzwinge, in der Kliniken und Krankenhäuser sich aktuell befinden, sollten stationäre Gesundheitsversorger spätestens jetzt mit dem Aufbau eines Managementsystems zu Wahrung der Informationssicherheit inklusive strukturiertem Risikomanagement beginnen.

Wir haben mit unseren Kunden gute Erfahrungen damit gemacht in genau dieser Situation eine Standortbestimmung durchzuführen und daraus einen Maßnahmenplan zu erarbeiten, der individuell auf Sie zugeschnitten ist.

Nehmen Sie doch gerne Kontakt für ein erstes, unverbindliches Gespräch auf.

Jetzt kostenloses Beratungsgespräch vereinbaren

Warum TTS?

  • Wir bieten Ihnen ein Beratungsteam, dass Sie mit sehr großer Kompetenz und Erfahrung unterstützen kann. Ein Team, mit dem unsere Kunden gerne und vor allem gut zusammenarbeiten
  • Wir sind sehr effizient darin, unterschiedliche regulatorische Vorgaben zu verknüpfen und mit unseren Kunden effizient umzusetzen, um dabei nicht nur Compliance zu erzeugen, sondern auch echte Wertschöpfung
  • Wir unterstützen Organisationen im Gesundheitswesen bei der Erfüllung von KRITIS-Anforderungen, der Umsetzung von § 391 SGB V Anforderungen, B3S-Medizinische Versorgung oder Sicherheit von Medizingeräten nach ISO 80001-1
  • Das Feedback unserer Kunden oder auch von Auditoren bestätigt regelmäßig, dass wir sehr viel Fachexpertise in relevanten Themen wie ISMS, Risikomanagement, BCMS, Compliance oder Cyber-Sicherheit mitbringen
  • Wir unterstützen unsere Kunden auch regelmäßig in Prüfungen oder Audits
  • In den relevanten Themenfeldern ISMS, Risikomanagement, BCMS, Compliance oder Cyber-Sicherheit beraten wir seit mehr als 20 Jahren unsere Kunden
  • Mehr als 100 Betreiber kritischer Infrastrukturen zählen zu unseren Kunden. Darunter auch viele Leistungserbringer im Gesundheitswesen, wie z.B. die Uniklinik RWTH Aachen

Was könnten Themen sein, in denen wir zusammenarbeiten?

Durchführung einer GAP-Analyse

  • Dabei analysieren wir sämtliche Aspekte Ihrer Informationssicherheit und erarbeiten Empfehlungen zur Erfüllung der Verpflichtungen, die sich aus dem § 391 SGB V ergeben

Aufbau / Weiterentwicklung eines geforderten Informationssicherheits-Managementsystems (ISMS) nach DIN ISO 27001

  • Mit unserem ISMS-Baukasten konzipieren oder optimieren wir mit Ihnen zusammen Ihr ISMS und setzen es mit Ihnen in Betrieb
  • Auf Wunsch begleiten wir selbstverständlich Ihren Betrieb für einen angemessenen Zeitraum

Etablierung eines Risikomanagementsystems

  • Wir erarbeiten mit Ihnen geeignete Parameter wie Bewertungs- und Akzeptanzkriterien, eine Richtlinie zum Risikomanagement und auch den Prozess für das Risikomanagement. Auch hierfür verfügen wir über einen vielseitigen Baukasten, der uns effizient Ergebnisse erzielen lässt

Umsetzung von Maßnahmen

  • Wir unterstützen Sie selbstverständlich auch bei der Planung und Umsetzung einzelner Maßnahmen, z. B. im Rahmen des branchenspezifischen Sicherheitsstandards. Dies schließt unter anderem auch Sicherheitskonzepte für medizinische Anwendungen (Patientenportal, OP-Planung, KIS, RIS, PACS oder DMS) mit ein

Umsetzungsplanung

  • Da Kliniken und Krankenhäuser nicht nur von § 391 betroffen sind, sondern auch von der NIS-2-Richtlinie, planen wir mit Ihnen die Maßnahmen zur Erreichung der NIS-2 Konformität und helfen Ihnen bei der Umsetzung

Erweiterung des Incident-Handling-Prozesses

  • Da besonders wichtige Einrichtungen wie die meisten Krankenhäuser und Krankenkassen nach § 32 NIS-2 Gesetz Sicherheitsvorfälle an eine behördliche Meldestelle (kontinuierlich) melden müssen, helfen wir Ihnen, den Incident-Handling-Prozess entsprechend zu erweitern

Maßnahmen zur Awareness

  • Da nach § 38 des NIS-2 Gesetzes die Geschäftsleitung (Krankenhausleitung) regelmäßig zu schulen ist, bieten wir Ihnen entsprechende Schulungsmaßnahmen „Praktiken des Risikomanagements“ für den C-Level an

Durchführung einer GAP-Analyse

  • Wie steht es um meine Grundlagen zur Durchführung des Risikomanagements für MIT-Netze? Von der Analyse bestehender Strukturen und Prozesse bis hin zur Sichtung relevanter Dokumente durchleuchten wir Ihr Risikomanagement und erstellen eine Bedarfsanalyse inklusive Umsetzungsplan

Planung und Umsetzung des Risikomanagements

  • Von der Planung und Gestaltung des RM-Prozesses, über die Durchführung bis hin zur Erstellung der RM-Akte unterstützen wir Sie je nach Bedarf bei den jeweiligen Schritten

Integration in das ISMS

  • Wenn gewünscht, konzipieren wir mit Ihnen das RM so, dass es sich flüssig in Ihr ISMS integrieren lässt

Anpassung und Optimierung im Zuge der Aktualisierung der Norm

  • Wir unterstützen Sie bei der Erweiterung des Risikomanagements auf die Bereiche Einkauf/Beschaffung und Werte-Management

Ransomware-Übung

  • Wir planen mit Ihnen eine Ransomware-Übung, in der wir das Eintreten einer Ransomware-Attacke simulieren und dann mit Ihnen Reaktionen, den Einsatz von Ressourcen und die Ausführung ggf. bereits vorhandener Notfallpläne durchspielen

Business Continuity Planung/Management

  • Anhand von Business-Impact-Analysen, BCM-Parametern (RTO, MTPD, RPO) und BCM-Szenarien entwickeln wir mit Ihnen passende, modulare Notfallpläne und etablieren mit Ihnen die Prozesse für deren Aufrechterhaltung und Ausführbarkeit

Krankenhausspezifische Toolunterstützung mit der ISMS-Software TTS trax

  • Für Kunden aus dem medizinischen Umfeld liefern wir auf Wunsch einen passend vorkonfigurierten Mandanten nach DIN EN 80001-1 und B3S-Medizinische Versorgung aus

Mehr erfahren

Eine Auswahl der TTS Referenzen im Gesundheitssektor

UK Aachen Logo
UK Essen Logo
Alfried Krupp Logo

Krankenhausspezifische Toolunterstützung mit unserer ISMS-Software TTS trax

TTS trax ist das smarte Tool für den effizienten ISMS Betrieb und ein intelligentes Risikomanagement im Gesundheitssektor.

TTS trax lässt sich flexibel konfigurieren und ermöglicht so eine einfache Anpassung an Ihre individuellen Bedürfnisse und Vorgaben.

Für Kunden aus dem medizinischen Umfeld liefern wir auf Wunsch einen passenden vorkonfigurierten Mandanten nach DIN EN 80001-1 und B3S-Medizinische Versorgung aus.

Mehr erfahren

TTS trax Use Cases

  • ISMS aufbauen und betreiben
  • B3S, DIN EN 80001-1 & ISO 27001 umsetzen
  • Risikomanagement etablieren
  • Maßnahmenumsetzung steuern
  • Auditunterstützung
  • Zulieferer-/Dienstleistersteuerung
  • Business Continuity Management
  • Datenschutzmanagement
Mehr erfahren

Mehr Inhalte zur Medizinischen Informationssicherheit

Jetzt kostenloses Beratungsgespräch vereinbaren

Anrede: *
Vorname: *
Nachname: *
Firma: *
E-Mail: *
Telefon:
Bemerkung / Wunschtermin:
Mit dem Absenden des Formulars stimmen Sie zu, dass Sie von der TTS GmbH mit Informationen zu unseren Produkten und Dienstleistungen per E-Mail kontaktiert werden dürfen. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Ihre Einwilligung können Sie jederzeit ohne Angabe von Gründen per E-Mail an info@tts-security.com oder über den Unsubscribe-Link mit Wirkung für die Zukunft widerrufen.

Was Sie mitnehmen:

  • 45 minütiger unverbindlicher Teams-Call mit TTS-Gesundheitsexperten
  • Kurz-Analyse der eigenen Unternehmenssituation
  • Erste Identifikation von individuellen Anforderungen
  • Empfehlungen für weiteres Vorgehen

➜ Sie haben Fragen?

Wir beraten Sie gerne!

Kontakt

TTS Trusted Technologies
and Solutions GmbH

Linkedin Xing

Büro Berlin

Ihr Ansprechpartner:
Dr. Jörg Cordsen
Telefon +49 30 3980629 0
Hardenbergstraße 12
10623 Berlin

Büro Essen

Ihr Ansprechpartner:
Dr. Michael Gehrke
Telefon +49 201 724579 0
Alfredstraße 57-65
45130 Essen

Standort Hannover

Ihr Ansprechpartner:
Dr. Stefan Ransom
Telefon +49 (0)170 8283981