3. Kapitel: Förderungsfähige Projekte
Fördertatbestand 10: IT-Sicherheit
Zielsetzung
Ziel dieses Fördertatbestandes ist es, die IT- bzw. Cybersicherheit in Krankenhäusern, die nicht zu den kritischen Infrastrukturen gehören sowie in Hochschulkliniken zu verbessern. Entsprechende Maßnahmen sind bisher von der Förderung durch den Krankenhausstrukturfonds ausgeschlossen. Durch die zunehmende Digitalisierung und die damit verbundenen Prozesse sollen deshalb auch Krankenhäuser, die nicht zur kritischen Infrastruktur nach dem BSI-Gesetz (BSI-KritisV-Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) gehören, berücksichtigt werden. Um Patientinnen und Patienten optimal zu versorgen und den Krankenhausbetrieb gleichzeitig effizient zu gestalten, sind teilweise hochkomplexe IT-Systemen nötig und nicht mehr wegzudenken. Mit immer mehr unterschiedlichen, miteinander vernetzten Systemen und Komponenten steigen auch die Risiken, die durch ausfallende oder beeinträchtigte Systeme entstehen können. Zeitgleich werden die Angriffsflächen der IT- und Internettechnologien zunehmend vielfältiger und deutlich größer. Geeignete Maßnahmen zur Steigerung der Cybersicherheit müssen dem entgegenwirken. Die von Herstellern bzw. Anbietern von Systemen bereitgestellten Sicherheitsinformation für eine sichere Konfiguration bzw. nötige ergänzende Maßnahmen im Netzwerk sollten beachtet werden.
Dabei sind sichere IT-Systeme und die darin verarbeiteten Informationen in der Gesundheitsversorgung von höchster Bedeutung. Die störungsfreie Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme, Komponenten und Prozesse muss sichergestellt sein. Gleiches betrifft auch die Authentizität der Informationen. Nur so können die Patientensicherheit und eine effektive Behandlung sowie die Funktionsfähigkeit des Krankenhaues aufrechterhalten und geschützt werden. Für die fortschreitende Digitalisierung in den Kliniken ist Cybersicherheit dringend nötig. Ein geeignetes Managementsystem zur Informationssicherheit nach ISO 27001 nativ oder BSI IT-Grundschutz kann dies steuern und überwachen. Insbesondere die Umsetzung des Branchenspezifischen Sicherheitsstandards (B3S) für die Gesundheitsversorgung im Krankenhaus kann dies vollständig gewährleisten.
Die im Folgenden skizzierten Anforderungen und darin beispielhaft genannten Sicherheitssysteme sind nicht ausschließlich einem der Bereiche Prävention, Detektion, Mitigation, Response oder Awareness zuzuordnen. So kann eine einzelne Anwendung mehrere Bereiche abdecken.
Ihr Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit widmet sich einem der folgenden Ziele oder einer Kombination davon:
| Prävention |
vor Informationssicherheits-Vorfällen (u. a. Systeme zur Zonierung von Netzwerken, Next Generation Firewalls, sichere Authentisierungssysteme, MicroVirtualisierung/Sandbox-Systeme, Schnittstellen-Kontrolle, Intrusion Prevention Systeme; Network Access Control, Schwachstellenscanner, Softwareversionsmanagement, Datenschleusen, Datendioden, VPN-Systeme, verschlüsselte Datenübertragung, verschlüsselte mobile Datenträger, ISMS). | |
| oder | ||
| Detektion |
von Informationssicherheits-Vorfällen (u. a. Security Operation Center, Log Management Systeme, Security Information Event Management Systeme, Intrusion Detection Systeme, lokaler Schadsoftwareschutz mit zentraler Steuerung, Schadsoftwareschutz in Mailsystemen bzw. bei Mailtransport). | |
| oder | ||
| Mitigation |
von Informationssicherheits-Vorfällen (u. a. automatisierte BackupSysteme, lokaler Schadsoftwareschutz mit zentraler Steuerung). | |
| oder | ||
| Awareness |
Steigerung und Aufrechterhaltung der Awareness gegenüber Informationssicherheits-Vorfällen bzw. der Bedeutung von IT-/Cybersicherheit (u. a. regelmäßige Risikoanalysen, Schulungsmaßnahmen, Informationskampagnen, Awareness-Messungen). | |
|
|
Bei der Implementierung der jeweiligen Maßnahmen sind die Vorgaben des § 19 Absatz 2 KHSFV: Förderungsfähige Vorhaben einzuhalten. |
Zudem gibt es Kann-Anforderungen für die Vorhaben zur Verbesserung der IT- bzw. Cybersicherheit:
| Erkennung von Angriffen | durch Cloud- und KI gestützte Verfahren |