28.07.2022 - Die Digitalisierung hat während der COVID-19-Pandemie rasch an Fahrt gewonnen. Mit der zunehmenden Digitalisierung steigen jedoch auch die Cyberrisiken. Dies gilt auch für den Gesundheitssektor. Die Gesundheitsdirektorenkonferenz hat darauf reagiert und Empfehlungen zum Datenschutz und zur Informationssicherheit erarbeitet. Sie verweist dabei auf die vom NCSC definierten Empfehlungen zur Cybersicherheit im Gesundheitssektor.
Digitale Innovationen im Gesundheitswesen wie Telemedizin, elektronisches Patientendossier, Tracking der Gesundheitsdaten über Smartwatches sind immer stärker verbreitet. Die Anwendung von neuen Technologien und die zunehmende Vernetzung verändern das Gesundheitswesen. Die COVID-19-Pandemie hat den Wert von elektronischen Gesundheitsdiensten gezeigt. Ein Schlüsselfaktor für die Gewährleistung der Widerstandsfähigkeit und die Verfügbarkeit wichtiger Gesundheitsdienste ist die Cybersicherheit.
Ergänzte Empfehlungen der GDK
Aus diesem Grund hat das NCSC während der Pandemie Kontakt mit der Gesundheitsdirektorenkonferenz (GDK) aufgenommen, um gemeinsam die Cybersicherheit im Gesundheitssektor zu stärken. In einem ersten Schritt wurden die Spitäler auf diese Thematik mit Schreiben und Vorträgen sensibilisiert. Auch wurden während der Pandemie monatliche «Security Updates» an alle Akteure im Gesundheitssektor verteilt. Weiter hat das NCSC dem Gesundheitssektor diverse Werkzeuge und Daten für einen verbesserten Schutz zu Verfügung gestellt.
Im vergangenen Mai hat die GDK ihre bestehenden «Empfehlungen zur Spitalplanung» mit einer Empfehlung zum Datenschutz und der Informationssicherheit ergänzt (Empfehlung 16). Darin wird den Spitälern unter anderem die Führung eines Informationssicherheits-Managementsystems (ISMS) sowie die Umsetzung bestimmter ISMS-Massnahmen empfohlen.
Empfehlungen des NCSC zur Cybersicherheit im Gesundheitssektor
Zur Unterstützung dieser Arbeiten hat das NCSC seinerseits technische und organisatorische Mindestanforderungen für die Cybersicherheit im Gesundheitssektor definiert. Dazu gehören unter anderem das Patch- und Lifecycle-Management, die zeitnahe Überwachung der Logdaten sowie die Blockierung von gefährlichen E-Mail-Anhängen. Die festgelegten Massnahmen sollten nach Ansicht des NCSC prioritär und flächendeckend von allen Dienstleistern im Gesundheitssektor umgesetzt werden. Die Empfehlung des NCSC mit den Mindestanforderungen sind ab heute in den drei Landessprachen sowie in Englisch auf der Website des NCSC publiziert. Sie dienen als Leitfaden zur Reduktion der Cyberrisiken und unterstützen so das von der GDK geforderte ISMS.
Weiterführende Informationen:
Empfehlungen der GDK zur Spitalplanung
Blog des NCSC zu Werkzeuge und Daten für einen verbesserten Schutz im Gesundheitssektor (in Englisch)
Letzte Änderung 28.07.2022
