KHZG und IT-Sicherheit

 Inhalte und Ziele des KHZG

Die Digitalisierung hat die deutschen Kliniken und das gesamte Gesundheitswesen erreicht, allerdings fehlte bisher die finanzielle Unterstützung, um die Projekte und Maßnahmen der Informationstechnik zu fördern. Diese sind vor allem jedoch für Krankenhäuser, welche als kritische Infrastrukturen (KRITIS) den Anforderungen des Amtes für Sicherheit in der Informationstechnik entsprechen müssen sehr wichtig. Verantwortliche in den Kliniken stehen jetzt vor der Herausforderung die finanziellen Mittel des Krankenhauszukunftsgesetzes (KHZG) für die Digitalisierungsmaßnahme der eigenen Infrastrukturen zu verwenden und zugleich die Beeinflussungen durch die Corona-Pandemie zu überwinden.

Förderfähig sind nach dem geltenden Gesetz Investitionen in zeitgemäße Notfalleinrichtungen, notwendige personelle Maßnahmen und der Auf- und Ausbau der Infrastruktur. Dazu gehören Patientenportale, das digitale Management der Medikationen, die elektronische Dokumentation der Behandlungs- und Pflegeleistungen. Das neue Gesetz betont vor allem die Wichtigkeit der IT-Security in den Kliniken.

Das Gesetz sieht zudem vor, dass die Kliniken Investitionen im Bereich der Versorgung und Pflege abwickeln und die Versorgung dabei durch die Einbindung der digitalen Strukturen optimieren. Auf der Webseite des Bundesministeriums für Gesundheit gibt es ausführliche Informationen dazu. Hier kommen Sie zur Seite des BfG.

Bezüglich dieser zu fördernden Maßnahmen unterscheidet sich der Zukunftsfonds der Kliniken nicht wesentlich von den bisher geltenden Krankenhausstrukturfonds. Neu ist jedoch, dass dieses 4,3-Milliarden-Hilfspaket aus dem Jahr 2020 in hohem Maße an die Förderung der IT-Sicherheit in den Kliniken auch in Hochschuleinrichtungen gebunden ist.

Ein Krankenhaus kann nur dann die Fördermittel aus diesem Fonds beziehen, wenn wenigstens 15 Prozent des eingereichten Geldes investiert werden, damit die IT-Sicherheit erhöht wird.

Die Förderfähigkeit kritischer Einrichtungen (KRITIS)

Kliniken ab einer stationären Fallzahl von 30.000 im Jahr gelten als kritische Einrichtungen und müssen sämtliche IT-Sicherheitsmaßnahmen nach dem KHZG an dem branchenspezifischen Standard (B3S für Kliniken) ausrichten.

Generell sind die KRITIS-Krankenhäuser im Rahmen des KHZG zu fördern. Eine Ausnahme stellen solche Projekte dar, die unbedingt der Optimierung der Sicherheit des IT-Bereichs dienen. Solche Projekte sind schon im Rahmen des Krankenhausstrukturfonds förderfähig. Das Amt für Soziale Sicherung möchte eine doppelte Förderung verhindern.

Wenn eine KRITIS-Klinik im Rahmen des KHZG eine Fördermaßnahme für andere Maßnahmen erhält, müssen dennoch wenigstens 15 Prozent der Fördergelder für Schritte zur Optimierung der Informationssicherheit angewandt werden. So können auch KRITIS-Krankenhäuser einen gewissen Anteil der Investierungen in die IT-Sicherheit mit Geldmitteln aus dem Zukunftsfonds abdecken.

Das Ziel eines jeden Krankenhauses sollte es sein, die Daten der Patienten vor dem Zugriff unbefugter Angreifer zu bewahren. Maßnahmen zur Verbesserung der IT-Sicherheit müssen also da ansetzen, wo solche sensiblen Daten dokumentiert werden. Dies erfolgt in einem entsprechenden Krankenhausinformationssystem (KIS). Behinderungen an den Infrastrukturkomponenten oder an den Medizintechnik-, IT- oder Abteilungssubsystemen können zudem dazu führen, dass der Behandlungsprozess in der Klinik gestört werden kann.

Die richtige Versorgung der Patienten wäre in diesem Fall nicht mehr garantiert. Daher wichtig ist es, das Informationssystem, in der Klinik so aufrichtig wie möglich zu sichern. Eine sinnvolle Investierung ist in dem Zusammenhang ein Berechtigungsmanagementsystem.

Zeitplan KHZG Quelle: Bundesminesterium für Gesundheit https://www.bundesgesundheitsministerium.de/krankenhauszukunftsgesetz.html

Die Rolle der Informationssicherheit im Krankenhauszukunftsgesetz?

Eine der wichtigsten Voraussetzungen des KHZG (§ 14a Abs. 3) ist somit, dass 15 Prozent der beantragten Geldmittel für Maßnahmen, welche zur Optimierung der Informationssicherheit führen zu nutzen sind. Gemäß einer Untersuchung der Roland-Berger-Stiftung aus dem Jahr 2017, waren schon 6 Prozent aller deutschen Kliniken Opfer verschiedener Cyber-Attacken und zugleich ist die Tendenz weiter steigend. Aufgrund des sehr hohen Finanzdrucks sind die Kliniken nicht hinreichend vor Cyberangriffen gesichert. Das Ziel der Digitalisierungserneuerung ist unter anderem das die spezifischen Sicherheitsstandards zur Optimierung der IT-Sicherheit in den Kliniken und Deutschland beitragen. Diese umfassen vor allem die Absicherung der informationstechnischen Methoden und zugleich den Schutz der Patientendaten. Die Kliniken verpflichten sich dadurch datenschutzrechtliche Verfügungen einzuhalten, um gefördert werden zu können.

Die Verbesserung der IT- und der Cybersicherheit in Kliniken, welche zu den kritischen Strukturen gehören sind auch die Hochschulkliniken. Die Maßnahmen zur Optimierung der IT- und der Cybersicherheit sind bei den Kliniken bislang von einer Förderung nach dem Strukturfonds ausgeschlossen. Dies besagt der Fördertatbestand 10. Hierzu zählen einzelne Maßnahmen und eine Kombination dieser Möglichkeiten.

Dazu gehören die Einführung eines Informationssicherheitssystems nach ISO 27001 oder nach dem BSI IT-Grundschutz sowie verschiedene Schritte zur Präventation. Auch die Systeme zur Segmentierung der Netzwerke, Firewalls, Authentisierungssysteme, Sandbox-Systeme, Micro-Virtualisierung und die Schnittstellen-Kontrolle gehören dazu.

In der Förderung nach dem neuen Gesetz sind ebenfalls Intrusion Prevention Systeme vorgesehen wie die Network Access Control, das Softwareversionsmanagement und Schwachstellenscanner.

Unverbindliches Beratungsgespräch zum KHZG und IT-Sicherheit

Die Zielsetzung der Sicherheitsvorhaben

Gemäß des Zukunftsgesetzes für die Kliniken wird §19 der Krankenhausstrukturfonds-Verordnung unter anderem um die förderfähigen Absichten ergänzt. Vor allem im Bereich der Informationssicherheit heißt dies, dass die Errichtung, die Beschaffung, die Entwicklung und die Erweiterung kommunikationstechnischer und informationstechnischer Systeme, Anlagen oder Verfahren, um jene nach dem aktuellen Stand der Technik entsprechenden technischen und organisatorischen Vorkehrungen zur Vermeidung von Störungen umgesetzt werden. Zudem muss die Verfügbarkeit, die Zuverlässigkeit und die Vertraulichkeit der Systeme, Prozesse und Komponenten des Krankenhausträgers getroffen werden, welche für die Funktionsfähigkeit der Klinik und die Sicherheit der Patienteninformationen maßgebend sind.

 Diese Digitalisierungsprojekte werden gefördert

KHZG-Krankenhauszukunftsgesetz – Fördertatbestände

Hierbei ist in erster Line die Sicherheit der IT-Systeme und zugleich der hierbei verarbeiteten Informationen im Gesundheitswesen von großer Bedeutung. Eine Vermeidung von Behinderungen der Verfügbarkeit, der Vertraulichkeit und der Integrität der informationstechnischen Komponenten, Systeme und Prozesse muss in jedem Fall sichergestellt sein. Dies gilt zugleich für die Authentizität der verfügbaren Informationen. Auf diese Weise kann die Sicherheit der Patientendaten und Behandlungseffektivität und die Funktionsfähigkeit der Klinik aufrechterhalten und zugleich geschätzt werden.

Es wird deshalb deutlich, dass die IT- und die Cybersicherheit die nötige Bedingung für die vorankommende Digitalisierungsmaßnahme in Kliniken und Sanatorien in Deutschland ist. Durch das Krankenhauszukunftsgesetz und der erforderlichen Finanzierung ist jetzt der wichtige Grundstein dafür gelegt.

Dieses neue Förderprogramm eröffnet den Kliniken ein weites Spektrum an Möglichkeiten, um die eigene IT-Infrastruktur zu optimieren und die Automatisierung generell voranzutreiben. Ab dem Inkrafttreten dieses neuen Gesetzes bis 31.12.2021 können die Bundesländer ihre Förderanträge an das Amt für Soziale Sicherung stellen. Bitte beachten Sie die unterschiedlichen Fristen der Bundesländer.

Die IT-Sicherheitsvorhaben im Krankenhaus

Um das das Zukunftsgesetz für Kliniken als Upgrade für die Sicherheit im IT-Bereich verwenden zu können, müssen die willentlichen Vorhaben die Fähigkeiten der Prävention, Mitigation, Detektion und der Awareness ergänzen.

Dazu gehört die Prävention der Netzwerksegmentierung, Firewalls und das Schwachstellenmanagement.

Die Detektion beschäftigt sich mit Log-Managementsystemen, Security Information Event Managementsysteme, dem Schadsoftwareschutz und mit Intrusion Detection Systemen.

Die Mitigation ist die Entschärfung der technischen und organisatorischen Maßnahmen zur Vorbereitung für die forensische Analyse und für automatische Backup-Systeme. Auch der lokale Schadsoftwareschutz mit der zentralen Steuerung gehört dazu.

Die Awareness befasst sich mit der regelmäßigen Risikoanalyse, mit den Schulungsmaßnahmen, mit Awareness-Messungen sowie mit Informationskampagnen.

Bedeutend ist in diesem Zusammenhang zu erkennen, dass die gezielten IT-Sicherheitsvorhaben immer dann förderfähig sind, wenn der jeweils entsprechende Stand der Technik ausnahmslos berücksichtigt wird und die datenschutzrechtliche Verfügungen eingehalten werden.

Zugleich wird das Antragsverfahren in der Richtlinie der Krankenhausstrukturfonds-Verordnung aus dem Jahr 2020 detailliert beschrieben. Die Gelder aus der Förderung werden vom Amt für Soziale Sicherung aus dem eingerichteten Krankenhauszukunftsfonds an die Kliniken verteilt.

Beispiel: Der Schutz der E-Mail-Kommunikation

Eine Verbesserung für die Sicherheit im IT-Bereich kommt nun genau zur rechten Zeit, denn viele Hacker verwenden die aktuelle Situation und den sehr hohen Leistungsdruck, unter welchem die Kliniken derzeit stehen, für die eigenen Vorteile. Analysten stellten außerdem fest, dass vor allem der Gesundheitsbereich von einer hohen Zahl an Cyberangriffen bedroht ist. Die Kriminellen erwarten, dass, um eine gesicherte Versorgung der Patienten zu garantieren, die betroffenen Kliniken den Forderungen nach Lösegeld nachkommen. Dabei ist die E-Mail Kommunikation ist dabei die teilweise effizienteste und häufigste Vorgehensweise der Hacker, um in ein Klinik-System zu gelangen. Dieser liegt einer großen Zahl von Gründen vor, da eine E-Mail die direkte Ansprache zu den Mitarbeitern und den Zugängen zur internen Infrastruktur des IT-Systems darstellt. Daher befinden sich schädliche Programme wie Ransomware in den allermeisten Fällen in Anhängen an E-Mails, um einfach und schnell durch wenige Klicks aktiviert zu sein.

Der IT-Schutz der Kliniksysteme und der Kommunikation mit E-Mails ist daher nötig und von großer Bedeutung. Diesen Aspekt legt das Amt für Soziale Sicherung in den Richtlinien zur Förderung des Krankenhauszukunftsfonds sehr genau fest.

Im Tatbestand 10 zur Förderung heißt es daher, dass die Behinderungen der Disponibilität und der Integrität auf jeden Fall zu vermeiden sind und die Vertraulichkeit der Systeme, Prozesse und IT- Komponenten garantiert werden müssen. Damit die Arbeitsleistungen, die der Krankenhausträger für die eigenen Maßnahmen zur Sicherheit im IT-Bereich heranzieht, welche auch nach dem Zukunftsfonds förderfähig sind, werden verschiedene Anforderungen gestellt. In erster Linie müssen die Vorhaben und die Sicherung vor den Informationssicherheitsvorfällen als Ziel besitzen. Hierzu zählen zum Beispiel Sandbox-Systeme, Authentisierungsprogramme, eine sichere und verschlüsselte Übertragung der Daten und der Softwareschutz gegen schädliche Systeme in den E-Mail-Programmen.

Die Eignung der informationstechnischen Maßnahmen

Nach §21 Absatz 5 gibt das Amt für Soziales den Mitarbeitern von IT-Dienstleistern die Berechtigung, zu prüfen, ob die geplanten informationstechnischen Schritte den Voraussetzungen für die Bewilligung der Geldmittel erfüllen. Eine Bewertung, ob die Vorhaben in Hinblick auf die finanziellen, inhaltlichen und zeitlichen Rahmenbedingungen umgesetzt werden können, ist zugleich ein Bestandteil dieser Überprüfung.

Ab dem Jahr 2021 können sich die IT-Dienstleister und die Krankenhausträger gemäß §21 KHSVF kostenlos auf der Homepage des Amtes für Soziales für die Antragsstellung schulen lassen. Eine solche Schulung besteht aus vier einzelnen Einheiten und beansprucht lediglich 1,5 Stunden.

Welche Unternehmen dürfen die Maßnahmen umsetzen?

Für geplante Vorhaben nach § 19 Abs. 1 sind lediglich IT-Dienstleister berechtigt, welche für die Klinik die geförderten Vorhaben zur Digitalisierung umsetzen sollen, von den Hochschulkliniken und Krankenhausträgern zu beauftragen, die vom Amt für Soziales nach § 21 KHSFV berechtigt sind. Mitarbeiter der Cyber- und IT-Security-Dienstleister müssen eine Schulung und verschiedene Tests absolviert haben.

Eine gesonderte Vorsicht ist geboten, wenn der IT-Dienstleister als Anbieter den Zugriff auf Patienten- und Gesundheitsdaten hat. Gemäß den datenschutzrechtlichen Vorgaben des Zukunftsgesetzes, wird hier eine Vereinbarung für den Datenschutz gefordert.

Auf der Basis des bundesweit geltenden Krankenhausfinanzierungsgesetzes und der ländereigenen Krankenhausgesetze hat jedes Bundesland die Entscheidungsgewalt darüber welche Kliniken in die Krankenhausplanung aufgenommen werden. Alle Einrichtungen haben die Möglichkeit einen Antrag zu stellen, allerdings bedeutet dies nicht, dass die Antragsteller einen Anspruch auf die Förderung haben. Der Krankenhausträger stellt eine Bedarfsanmeldung und das jeweilige Bundesland bestimmt für welche Absichten die Förderung beim Amt für Soziales beantragt werden soll. Letztendlich entscheidet das Amt über die Förderung sowie die Bewilligung der Fördermittel. Rehabilitations- und Vorsorgekliniken und Privatkliniken sind von der Förderung der neuen Maßnahmen ausgeschlossen.

Das Antragsverfahren für Gelder aus dem KHZG

Das Antragsverfahren beginnt in jedem Fall auf der Ebene der Länder. Die Hochschulkliniken und die Krankenhausträger richten die Bedarfe und die Anträge an die vom Landesministerium festgelegte Behörde zur Bewilligung. Das Amt für Soziale Sicherung ist gegenüber den Ländern die vorangestellte Bewilligungsbehörde.

Wichtige allgemeine Schritte des Verfahrens für die förderfähigen Vorhaben sind die Ermittlung des Ist-Zustands der Sicherheitsarchitektur im IT-Bereich und ein hierauf aufbauender Vorzug der sinnvollerweise zu entscheidenden Optimierungsmaßnahmen.

Vom Amt für Soziales berechtigte IT-Dienstleister beurteilen die Passfähigkeit des Vorhabens mit einem der bestimmenden Förderbestände des Zukunftsfonds.

Die Bedarfsanmeldung erfolgt mittels der Formulare des Amtes für Soziale Sicherung mit den detaillierten Erläuterungen und Begründungen zum geplanten Vorhaben.

Nachweise, dass die gewährten Gelmittel zweckmäßig verwendet werden, sind ebenfalls anzugeben.

Zudem ist ein Nachweis des Einsatzes der Mittel für Sicherheit im IT-Bereich nötig. Der Antragsteller hat verschiedene Nachweise einzureichen, inwiefern und dass ein Anteil in Höhe von wenigstens 15 Prozent für Maßnahmen zur Optimierung der Informationssicherheit verwendet wird.

Die Bestätigung des zu beauftragenden Dienstleisters hat ebenfalls zu erfolgen. Bei der Antragstellung des förderfähigen Sicherheitsvorhabens hat der Dienstleister zu bestätigen, dass jene Maßnahme notwendig ist, um die IT-Systeme der Klinik an den aktuellen Stand der Technik anzugleichen.

Alle Schritte auf einem Blick:

  1. Hier finden Sie das Formular für die Antragsstellung vom Bundesamt für Soziale Sicherung (BAS)
  2. ggf. verlangt das jeweilige Bundesland noch zusätzliche Formulare
  3. Einreichen der Formulare beim jeweiligen Bundesland:
    Bei länderübergreifenden Vorhaben wird der Antrag gemeinsam mit Nennung einer Einrichtung als Hauptverantwortlicher eingereicht.
  4. Das Land trifft nun die Entscheidung, welche Ihrer Projekte gefördert werden.
  5. Wenn ein Projekt gefördert werden soll, stellt das Land einen Antrag auf Förderung beim BAS:
    Voraussetzung dafür ist, dass Sie sich mit mind. 30% der Kosten beteiligen.
    Das Land wird innerhalb von drei Monaten ab der Bedarfsmeldung den Antrag beim BAS stellen.
  6. Die Länder müssen gegenüber dem BAS spätestens 15 Monate nach der Bekanntgabe des Auszahlungsbescheides ihren Bescheid über die Förderung des jeweiligen Vorhabens vorlegen.
  7. Krankenhäuser, die gefördert werden, müssen an der o.g. Evaluationsforschung für das Reifegradmodell teilnehmen (§14b KHG).