Informationssicherheit: So machen sich Krankenhäuser versicherbar
Interview mit Henning Weibezahl (IT-Sicherheitsbeauftragter) und Frank Schultz (Produktmanager für Cyberversicherung) vom Versicherungsmakler Ecclesia
Autor: Michael Reiter
Veröffentlichung: 12.04.2023
KRITIS, B3S und künftig DORA: Risiken managen, Compliance erfüllen, gegen Schäden absichern
Früher galt: KRITIS betrifft Häuser mit mehr als 30.000 stationären Fällen im Jahr. Zum 1. Januar 2023 wurde dann Risikomanagement im Kontext Cybersicherheit verpflichtend für alle Krankenhäuser in Deutschland. Die DSGVO spielt im Kontext Datenschutz eine wichtige Rolle; der § 75b SGB V rundet eine vielfältige Rahmengebung ab. Und künftig kommen – so ist zu erwarten – Vorgaben von DORA hinzu, dem Digital Operational Resilience Act der EU, der als Rechtsrahmen bereits im Finanzsektor greift. Wie wappnen sich Krankenhäuser? Dazu die Fachleute des Versicherungsmaklers Ecclesia im Interview mit ArchivAktiv.
ArchivAktiv: Bitte geben Sie uns ein Bild der Bedrohungslage.
Henning Weibezahl: Hier kommen viele Punkte zusammen. Zum einen haben Krankenhäuser sehr viel Publikumsverkehr und damit erhöht sich das Risiko schon einmal grundsätzlich. Zum anderen bildet die Vielzahl von IT-gestützten Geräten vor allem in der Medizintechnik potenzielle Einfallstore. Außerdem haben diese Geräte einen langen Lebenszyklus, der deutlich über die Patch-Strategie moderner Betriebssysteme hinausgehen kann. Solches Equipment mag vor vielen Jahren teuer mit Windows XP oder Windows 7 angeschafft worden sein und ist immer noch in Betrieb, bildet aber eine potenzielle Schwachstelle. Allgemein gilt: Netzwerke sind immer so verwundbar wie ihr schwächstes Glied.
Ferner muss man bedenken: Das Personal in den Häusern ist hochqualifiziert für die Versorgung, aber nicht für Themen rund um die IT-Sicherheit. Es muss also darum gehen, die Mitarbeitenden auch dahingehend zu sensibilisieren. Denn in Krankenhäusern geht es um Patientendaten, die als personenbezogene Daten einen besonderen Schutz laut DSGVO genießen. In der Kombination mit der beschriebenen Gerätesituation ist dies besonders stark risikobehaftet.
Frank Schultz: Prominente Fälle zeigen beispielhaft, wie sich die Bedrohung darstellt und welche Folgen daraus resultieren können.
Wie gehen Versicherer bei der Einschätzung der Risiken in konkreten Häusern vor? Wie ist dort die Sicherheitslage?
Frank Schultz: Der erste Schritt zielt auf Risikoermittlung. Nach der Beantwortung der Fragenkataloge gehen wir als Makler nicht selten gemeinsam mit unserem Kunden in den Risikodialog mit dem Versicherer. Das Niveau der Krankenhäuser ist nach unserer Beobachtung schon relativ gut, aber in vielerlei Hinsicht verbesserungswürdig. So findet sich beispielsweise bei der Mitarbeitenden-Awareness Luft nach oben. Phishing-Mails sind hier ein großes Einfallstor; mit einem Klick auf den Anhang nimmt das Unheil seinen Lauf. In diesem Zusammenhang sind Investitionen nötig – in einem Umfeld, das allerdings von Faktoren wie Personalknappheit und Arbeitsüberlastung geprägt ist. Sensibilisierung ist hier daher schwierig.
Henning Weibezahl: Dieser Forderung müssen Krankenhäuser sich trotz der bestehenden Situation stellen. Sie müssen die Anforderungen erfüllen; nur mit einem entsprechenden Schutzniveau lässt sich auch ein Versicherungsschutz realisieren.
Henning Weibezahl
Er ist IT-Sicherheitsbeauftragter bei Ecclesia, davor war er in einem Softwareunternehmen tätig.
Frank Schultz
Hauptamtlicher Produktmanager für Cyberversicherung. Er gestaltet Versicherungsprodukte für die Kunden.
Wie stellt man die Versicherbarkeit eines Hauses fest?
Frank Schultz: Da geht es zum einen um das bestehende Niveau des Krankenhauses, zum anderen um die Frage, welche Versicherungshöhe angestrebt wird. Handelt es sich um ein kleineres, unabhängiges Haus mit einem Absicherungsziel von 1, 2 oder 3 Millionen – oder aber um einen Konzern mit Holdingstruktur, der eine Absicherung in zweistelliger Millionenhöhe anstrebt? Dabei spielen erhöhte Risiken und höhere potenzielle Schäden eine relevante Rolle. Angebote für solch hohe Absicherungen sind derzeit nur schwer zu bekommen.
Welche Auswirkungen sehen Sie durch das KHZG?
Henning Weibezahl: Das Krankenhauszukunftsgesetz hat zum einen eine willkommene Förderung für die Absicherung mit sich gebracht. Es verstärkt jedoch auch die Vulnerabilität der Häuser durch den Druck in Richtung der digitalen Öffnung nach außen, etwa durch Patientenportale.
Welche Schritte sollten die Krankenhäuser anpacken?
Frank Schultz: Mindestanforderungen für Versicherbarkeit gelten unabhängig von der Branche: Mitarbeitenden-Awareness, Schulungen, Sensibilisierung. Des Weiteren sind technische Maßnahmen etwa beim Netzwerkschutz nötig. Verantwortliche sollten sich Fragen stellen wie: „Was sind meine Schutzmechanismen bei Verbindungen nach draußen? Wie sieht meine Datensicherung aus, eignet sich denn mein Back-up überhaupt für ein Rückspielen der Daten?“ Bei Niedergelassenen hat sich beispielsweise im Kontext von Schadenfällen herausgestellt, dass nie geprüft worden war, ob sich die Back-ups überhaupt zurückspielen ließen – was zum Dilemma führen kann. Auch eine nicht überprüfte Lösung zur unterbrechungsfreien Stromversorgung (USV) birgt Risiken.
Im Hinblick auf die Organisation sollten Szenarien durchgespielt werden – um zu erkennen, ob die Prozesse laut Notfallplan tatsächlich ineinandergreifen. Manche Häuser haben diesen Bedarf erkannt, in der Prioritätenordnung steht das aber im Kontext der vielfältigen aktuellen Anforderungen nicht unbedingt ganz oben. Versicherer bestehen wiederum darauf. Das ist der Spagat, den wir bei Krankenhäusern beobachten.
Henning Weibezahl: Die Personalsituation, auch im Kontext des Aufgabenspektrums und der Bezahlung, ist nicht nur im Gesundheitswesen eine zentrale Herausforderung. Unter mehreren Aspekten mögen andere Branchen auf IT-Fachleute attraktiver wirken, was den Personaldruck auf das Gesundheitswesen weiter verstärkt.
Wie werden Kriterien zur Einschätzung der Risiken und der Absicherung festgelegt?
Frank Schultz: Die Kriterienkataloge erstellen die Versicherer. Dieser Markt ist allerdings noch sehr inhomogen. Während sich eine gewisse Annäherung bei den Policen beobachten lässt, zeichnet sich eine Harmonisierung bei der Risikoermittlung noch nicht ab. Wir bei Ecclesia planen, 2023 einen Standardkatalog zu etablieren und diesen mit der Versicherungswirtschaft zu verhandeln. Damit zielen wir auf Vereinheitlichung in einer Situation, in der ein Versicherer bis zu 40 Fragen zu Back-ups einbringt, während ein anderer den Schwerpunkt auf DSGVO und technisch-organisatorische Maßnahmen legt. Für eine Ausschreibung müssen Krankenhäuser alle diese unterschiedlichen Risikofragebögen mit ihren Interpretationsspielräumen ausfüllen – ein enormer bürokratischer Apparat.
DORA, der Digital Operational Resilience Act
Von Testpflichten bis Drittanbieter-Haftung: neue Anforderungen durch die EU-Regulation
Der Digital Operational Resilience Act (DORA) trat am 16.1.2023 in Kraft. Durchsetzbar wird er 24 Monate nach Inkrafttreten. DORA soll einerseits die Widerstandsfähigkeit der Unternehmen (derzeit) in der Finanz- und Versicherungswirtschaft gegen IT-bezogene Risiken erhöhen und andererseits die dafür nötigen Anforderungen in der EU harmonisieren.
Warum startet DORA im Finanzsektor? Er ist mit steigender Abhängigkeit von der IT grundsätzlich ein sehr attraktives Ziel für Cyberangriffe. Die Angriffsflächen haben sich durch die Vernetzung von Finanzdienstleistern – auch über Ländergrenzen hinweg – noch einmal massiv vergrößert. Experten erwarten, dass DORA, ähnlich wie die BSI-KritisV, auch für das Gesundheitswesen eingeführt wird.
Wie viele Cyberversicherer gibt es denn derzeit? Wogegen können Krankenhäuser sich versichern?
Frank Schultz: Wir sehen international zehn bis 15 agierende Versicherer, die im deutschen Markt aktiv sind. Angebote enthalten unter anderem auch die Absicherung von Ansprüchen, die sich aus Verletzungen der DSGVO ergeben inklusive immaterieller Schadenersatzansprüche und mehr. Das steht jedoch an dritter Stelle. Kostentreiber sind insbesondere Betriebsausfall und Datenwiederherstellung. Neben diesen Hauptaspekten kommt mit weitem Abstand die Absicherung gegenüber Kosten im Bereich der Forensik – „wie ist der Angriff geschehen, was wurde infiltriert?“. Erst dann kommt die Absicherung bei Datenschutzverletzungen ins Spiel. Bei den Folgen von Cybervorfällen – also etwa Patientenschaden – geht es in Richtung Betriebshaftpflichtversicherung.
Was wird sich potenziell durch DORA ändern?
Henning Weibezahl: DORA wird absehbar die Aufwände bezüglich Risikomanagement und Dokumentation erhöhen. Ähnlich wie es bereits aus dem Banken- und Versicherungsumfeld bekannt ist, werden Krankenhäuser eine behördenfähige Dokumentation vorbereiten müssen. Welche Behörde die Prüfungen im Gesundheitswesen übernehmen wird, ist noch offen. Auch im Kontext DORA wird es also Anforderungskataloge geben – und erneut bedeutet das eine Belastung der knappen Ressourcen in Krankenhäusern.
Frank Schultz: Es ist natürlich zu erwarten, dass die DORA-Kataloge auch Eingang in die Risikofragebögen der Versicherer finden.
Bringt eine Interoperabilitätsplattform Krankenhäusern Vorteile im Kontext Cybersicherheit und Versicherbarkeit?
Henning Weibezahl: Eine testiert abgenommene Plattform kann hier eine attraktive Lösung sein. Eine Möglichkeit wäre, dass dazu zentral, zum Beispiel auf Ebene des Versicherungsverbands, eine Empfehlung ausgesprochen wird. Ein Zertifikat etwa in Form einer ISO-Norm kann als Modul in den Risikodialogen helfen.
Frank Schultz: Branchenorganisationen wie die DKG sind gefragt, sich hier zu engagieren. Ein branchenweiter Standard wäre zu begrüßen!
Wie fällt Ihre Einschätzung bezüglich Cloud-Technologien aus?
Frank Schultz: Cloud und Web Services sind kein Problem für die Versicherungswirtschaft. Relevant für die Bewertung ist der Aufbau etwa hinsichtlich Schutzmechanismen usw. – der Cloud-Dienstleister muss diese offenlegen.
Henning Weibezahl: In Versichererdialogen ist die Cloud gern gesehen! Cloud-Anbieter haben vertrauensbildende Größe, ihre Zertifizierung ist leicht prüfbar. Natürlich sind jedoch DSGVO-Themen zu beachten. Die großen Cloud-Anbieter haben ihren Sitz außerhalb der EU und gehören aus diesem Grund zu den sogenannten unsicheren Drittländern. Deshalb sind Zertifikate und technische Standards umso wichtiger, damit die Dienstleistungen auch genutzt werden dürfen.
Haben Sie eine Handlungsaufforderung an die Verantwortlichen im Krankenhaus?
Henning Weibezahl: In Bezug auf Cyberkriminalität ist die Aufmerksamkeit der Mitarbeitenden der wesentliche Faktor. Das muss von oben vorgelebt und die Mitarbeitenden müssen entsprechend geschult werden. Kampagnen hierzu sind eine geeignete Investition – so ist schon viel gewonnen. Schließen Sie das größte Einfallstor!
Frank Schultz: Informationssicherheit ist kein Projekt mit einem Endtermin, sondern ein Dauerbrenner, der uns über die kommenden Jahrzehnte begleiten wird. Im Kontext der technischen Weiterentwicklung kommen immer weitere Herausforderungen dazu. Lassen Sie diesen Fokus nie aus dem Auge, setzen Sie die nötigen Ressourcen ein!
Interoperabilitätsplattform im Kontext DORA – und darüber hinaus
Jürgen Bosk, Geschäftsführer CCeSigG: Eine klinische Interoperabilitätsplattform kann helfen, DORA zu erfüllen. Sie kann diese Unterstützung leisten, indem sie sicherstellt, dass patientenbezogene Daten effizient und sicher zwischen den Einrichtungen und Systemen im Haus sowie zwischen verschiedenen Gesundheitseinrichtungen ausgetauscht werden können. Dies ist ein wichtiger Beitrag zur Erfüllung von DORA.
Dabei ist der Betrieb einer klinischen Interoperabilitätsplattform in der Cloud im geregelten Auftragsdatenverhältnis mit einem geeigneten zertifizierten Dienstleister sowohl möglich als auch sinnvoll. Die Cloud bietet eine flexible und skalierbare Umgebung, die es Gesundheitseinrichtungen ermöglicht, patientenbezogene Daten sicher, effizient und Compliance-konform auszutauschen, ohne dass sie sich um die Wartung und den Betrieb der Infrastruktur kümmern müssen. Zudem kann die Verwendung einer Cloud-basierten Interoperabilitätsplattform dazu beitragen, die Kosten für den Betrieb und die Wartung einer solchen Plattform deutlich zu reduzieren.
Die Anforderungen zur Business Continuity, die sich aus dem Geltungsbereich der KRITIS ergeben und im Kontext von DORA zu erwarten sind, liegen in der Identifikation potenzieller Risiken und Bedrohungen. Sie beinhalten ferner die Planung und Implementierung von Maßnahmen, um den Geschäftsbetrieb im Fall eines Vorfalls aufrechterhalten oder so schnell wie möglich wieder aufnehmen zu können. Für den Betrieb der Interoperabilitätsplattform in der Cloud können diese Aufgaben- und Verantwortungsbereiche vollständig in die Verantwortung des Cloud- und Plattformdienstleister übertragen werden.
Jürgen Bosk, Geschäftsführer CCeSigG
