Das Krankenhaus-Zukunftsgesetz: So sichern Sie sich Fördermittel für Ihre IT-Sicherheit

Die IT-Sicherheit wird immer mehr zum kritischen Faktor der deutschen Kliniklandschaft. Abhilfe schaffen soll das Krankenhaus-Zukunftsgesetz (KHZG), bei dem die Förderung der IT-Sicherheit eine zentrale Rolle spielt. Bis zu 70 Prozent der entstehenden Kosten können dadurch erstattet werden. Im Fokus des KHZG stehen Krankenhäuser und Hochschulkliniken, die nicht zu den kritischen Infrastrukturen gehören und bisher von der Förderung durch den Krankenhausstrukturfonds ausgeschlossen waren. Jetzt ist der richtige Zeitpunkt, um zu handeln, denn Anträge können nur bis Ende 2021 gestellt werden. Früher zu handeln ist jedoch empfehlenswert.

4,3 Milliarden Euro Fördermittel durch das KHZG


Trotz zunehmender Digitalisierung und steigender Cyber-Angriffe besteht bei deutschen Kliniken und Krankenhäusern immer noch ein erheblicher Nachholbedarf. Eine wichtige Ursache für den Investitionsstau sind Engpässe im Budget, die sich seit Ausbruch der COVID-19- Pandemie noch weiter verschärft haben. Um die digitale Transformation der deutschen Krankenhäuser voranzutreiben, haben Bund und Länder das KHZG auf den Weg gebracht. Die Höhe der Fördermittel umfasst insgesamt 4,3 Milliarden Euro. Generell werden bis zu 70 Prozent der förderfähigen Kosten erstattet. Dabei sind mindestens 15 Prozent der beantragten Mittel zur Verbesserung der IT- und Cyber-Sicherheit zu verwenden.

Dafür gibt es Geld: Förderfähige IT-Projekte


Zu den IT-Projekten und Vorhaben, die für eine Förderung grundsätzlich in Frage kommen, zählen die Modernisierung von Notfallkapazitäten, die Einrichtung von Patientenportalen für ein digitales Aufnahme- und Entlassmanagement, Maßnahmen zur IT-Sicherheit sowie die elektronische Dokumentation von Pflege- und Behandlungsleistungen. Hinzu kommen die Einführung eines digitalen Medikationsmanagements zur Erhöhung der Arzneimitteltherapiesicherheit sowie die Einrichtung eines krankenhausinternen digitalen Leistungsanforderungsprozess. Auch online-basierte Versorgungsnachweissysteme und sektorenübergreifende telemedizinische Netzwerkstrukturen sind förderfähig.

Deadline für die Anträge: 31. Dezember 2021


Aufgrund der zeitlichen Fristen – wie auch der Tatsache, dass die Fördermittel je Bundesland begrenzt sind – sind die Krankenhäuser und Kliniken jetzt gefordert, die Weichen für eine Förderung zu stellen. Zwar müssen die Anträge erst bis 31. Dezember 2021 eingereicht werden und die geförderten IT-Projekte bis zum 31. Dezember 2024 abgeschlossen sein, jedoch empfiehlt sich ein möglichst schnelles handeln.

Der Antragsprozess: Vom Projektplan bis zur Förderung


Was ist konkret zu tun? Beim Auftakt des Antragsprozesses müssen die Krankenhausträger zunächst einen Projektplan für ihre Digitalisierungsprojekte erstellen. Dabei ist es empfehlenswert, bereits von Anfang an einen berechtigten IT-Dienstleister mit einzubeziehen. Schließlich ist dieser nicht nur für die spätere Realisierung der IT-Projekte zwingend erforderlich, sondern muss bereits im Antragsprozess verschiedene Nachweise erbringen – etwa darüber, ob das Projekt auch wirklich den Förderrichtlinien entspricht oder ob die technischen Voraussetzungen für die geplanten Digitalisierungsprojekte gegeben sind. Zudem müssen alle Beteiligten, die am Projekt in leitender Funktion mitarbeiten, eine webbasierte Schulung durchlaufen.

Nach Erstellung des Projektplanes und der Beauftragung eines IT-Dienstleisters reicht der Krankenhausträger die Bedarfsanmeldung beim zuständigen Land ein. Das Land trifft die Entscheidung, ob das Projekt für eine Förderung in Frage kommt oder nicht. Im positiven Fall beantragt es die Förderung beim Bundesamt für Soziale Sicherung (BAS). Gibt das BAS grünes Licht, dann zahlt es die Fördermittel für das Projekt – höchstens 70 Prozent der förderfähigen Kosten – an das Land. Schließlich leitet das Land die Fördermittel an das Krankenhaus weiter und stellt gegebenenfalls sogar noch weitere finanzielle Mittel zur Verfügung.

Voraussetzungen für die Förderung der IT- und Cybersicherheit


Ein zentraler Aspekt des KHZG ist die Verbesserung der IT- und Cybersicherheit, auf die mindestens 15 Prozent der beantragten Fördermittel entfallen müssen. Dabei sollen Krankenhäuser sowie Hochschulkliniken unterstützt werden, die nicht zu den kritischen Infrastrukturen gehören und bisher von der Förderung durch den Krankenhausstrukturfonds ausgeschlossen waren. Der Fördertatbestand 10 legt genau fest, welche konkreten Anforderungen IT-Sicherheits-Projekte erfüllen müssen, um in den Genuss der Geldmittel zu kommen.

Die IT-Sicherheits-Systeme müssen…

  • die Prävention vor Informationssicherheits-Vorfällen (u. a. Systeme zur Zonierung von Netzwerken, Next Generation Firewalls, sichere Authentisierungssysteme, MicroVirtualisierung/Sandbox-Systeme, Schnittstellen-Kontrolle, Intrusion Prevention Systeme; Network Access Control, Schwachstellenscanner, Softwareversionsmanagement, Datenschleusen, Datendioden, VPN-Systeme, verschlüsselte Datenübertragung, verschlüsselte mobile Datenträger, ISMS), oder
  • die Detektion von Informationssicherheits-Vorfällen (u. a. Security Operation Center, Log Management Systeme, Security Information Event Management Systeme, Intrusion Detection Systeme, lokaler Schadsoftwareschutz mit zentraler Steuerung, Schadsoftwareschutz in Mailsystemen bzw. bei Mailtransport), oder
  • die Mitigation von Informationssicherheits-Vorfällen (u. a. automatisierte BackupSysteme, lokaler Schadsoftwareschutz mit zentraler Steuerung) oder
  • die Steigerung und Aufrechterhaltung der Awareness gegenüber Informationssicherheits-Vorfällen bzw. der Bedeutung von IT-/Cybersicherheit (u. a. regelmäßige Risikoanalysen, Schulungsmaßnahmen, Informationskampagnen, Awareness-Messungen) oder
  • eine Kombination davon zum Ziel haben.

FTAPI erfüllt IT- und Cyber-Sicherheits-Anforderungen des KHZG


Als Softtware-Anbieter zur Verbesserung der IT- und Cyber-Sicherheit in Krankenhäusern kann das Münchener Unternehmen FTAPI eingesetzt werden. Der Spezialist verfügt über umfangreiche Expertise auf diesem Gebiet und erfüllt Leistungen aus allen vier im Fördertatbestand 10 festgelegten Kritierien. Schließlich sorgt die FTAPI Software für eine sichere und Ende-zu-Ende verschlüsselte Datenübertragung, die auf neuesten kryptografischen Verfahren basiert und die Sicherheit der Daten-Verarbeitung gem. Art. 32 DSGVO gewährleistet.

Dadurch werden die Risiken bei der Übertragung sensibler und besonders schützenswerter personenbezogener Daten im Gesundheitswesen (nach Art. 9 DSGVO) erheblich gesenkt, die außerhalb des Telematik-Verbundes versendet werden. Das betrifft insbesondere die notwendige und weit verbreitete digitale Kommunikation zwischen Patienten, Ärzten, Pflegeeinrichtungen und Angehörigen.

So sorgt FTAPI für Sicherheit in allen Bereichen des Fördertatbestands 10:

  1. Prävention: Ende-zu-Ende verschlüsselte Datenübertragung & Cloud und Hochsicherheits-Rechenzentrum (ISO-27001), 2-FA-Authentifizierung
  2. Awareness: dauerhafte Awareness, z.B. durch direkte Integration in den Mail Client / automatische Regeln für „sicheren Datenaustausch“
  3. Detektion: Brute-Force-Angriffe, automatische Kontensperrung, VPN-Verbindung zu internen User-Management-Systemen
  4. Mitigation: Virenscanner außerhalb des internen Systems, kein direkter Zugriff von Patienten in das KH-Netzwerk

Fazit: Jetzt die Chancen des KHZG nutzen


Das KHZG bietet deutschen Krankenhäusern und Kliniken exzellente Chancen, die dringend erforderliche digitale Transformation voranzubringen sowie ihre Lücken im Bereich IT- und Cyber-Sicherheit zu schließen. So steigern sie nicht nur die Effizienz, sondern senken auch die Risiken erheblich, Opfer von Hackerangriffen und Cyberattacken zu werden, die den gesamten Klinikbetrieb gefährden können.

Sensible Daten sicher und einfach übermitteln

Mit FTAPI schützen Sie sensible Daten und Geschäftsgeheimnisse – einfach und sicher

Prozesse automatisieren - einfach und sicher