Stärkung der Cybersicherheit im Gesundheitswesen
Inhaltsverzeichnis:
Die UnitedHealth Group Mammut-Hack Das letzte Jahr hat nicht nur die Überprüfung durch den Kongress gefördert, sondern auch einen Vorschlag zur Aktualisierung der bundesstaatlichen Cybersicherheitsvorschriften im Gesundheitswesen hervorgerufen. Da die öffentliche Konsultation dazu nun abgeschlossen ist, richten sich alle Augen auf die Exekutive, um zu sehen, was sie als Nächstes tut.
Am vergangenen Freitag, dem 7. März 2025, endete die Frist für öffentliche Stellungnahmen zu einem Vorschlag für eine umfassende Aktualisierung der Sicherheitsvorschriften des Health Insurance Portability and Accountability Act von 1996 (HIPAA). Dies würde strengere Anforderungen an die Cybersicherheit für die breite Palette von Organisationen stellen, die bereits unter den HIPAA fallen.
Ein veraltetes Gesetz in einem sich schnell modernisierenden Sektor
Als HIPAA verabschiedet wurde, war der Palm Pilot der neueste Stand der Handheld-Technologie, Hotmail war neu, Google noch nicht gestartet und nur 36 Millionen Menschen nutzten das Internet. Das Gesetz wurde seit 2013 nicht mehr wesentlich aktualisiert.
Inzwischen hat sich die Art und Weise, wie das Gesundheitssystem Informationen verarbeitet, grundlegend verändert. Der HITECH Act und der 21st Century Cures Act förderten Technologieinvestitionen und den Datenaustausch und leiteten eine Phase rasanter Modernisierung ein.
Das US-Gesundheitsministerium (HHS) war der Ansicht, dass die Regeln an die Zeit angepasst werden müssten. Im Dezember schlug die neue Cybersicherheitsregel vor um den Gesundheitssektor vor einer zunehmenden Flut von Cyberangriffen zu schützen. Es handelt sich um eine direkte Reaktion auf die zunehmenden Cyberangriffe auf den Sektor.
Eine steigende Flut von Verstößen im Gesundheitswesen
Das HHS führt seine eigenen Statistiken zu Datenschutzverletzungen über sein Office of Civil Rights (OCR). Es stellte fest, dass sich die Zahl der großen Datenschutzverletzungen zwischen 2018 und 2023 verdoppelt hat, während sich die Zahl der betroffenen Personen verzehnfacht hat – ein Hinweis darauf, dass einzelne Verstöße immer schwerwiegender werden. Dies ist angesichts des Wachstums von Ransomware, auf das das HHS ausdrücklich hinweist, nicht überraschend. Es verwies auch auf die Datenschutzverletzung bei der Tochtergesellschaft Change Healthcare der UnitedHealth Group, die mit 190 Millionen Opfern über die Hälfte der US-Bevölkerung betraf. Dies werde die Zahl der Datenschutzverletzungen im Jahr 2024 mit Sicherheit deutlich in die Höhe treiben, warnte das HHS.
Andere Branchenzahlen bestätigen dies. Ponemon-Bericht zur Cybersicherheit im Gesundheitswesen 2024 92 % der befragten Gesundheitsorganisationen waren im vergangenen Jahr mindestens einmal Opfer eines Cyberangriffs. Der teuerste Angriff kostete die Opfer durchschnittlich 4.7 Millionen Dollar, und 79 % gaben an, dass die Angriffe den Patientenbetrieb beeinträchtigt hätten.
Druck vom Kongress
Die Gesetzgeber forderten zudem eine strengere Regulierung der Cybersicherheit im Gesundheitswesen. Drei Monate zuvor hatten der Vorsitzende des Finanzausschusses des Senats, Ron Wyden, und Senator Mark Warner, beide Demokraten, eingeführt Der Health Infrastructure Security and Accountability Act (HISA), der das HHS dazu aufforderte, strengere Cybersicherheitsregeln einzuführen und gleichzeitig die Obergrenzen für zivilrechtliche Strafen für betroffene Unternehmen, die gegen die Regel verstoßen, aufzuheben. Nach dem Hackerangriff kritisierte Wyden die UnitedHealth Group besonders scharf und forderte eine bundesstaatliche Untersuchung der Cybersicherheitspraktiken des Unternehmens.
Strenge neue Maßnahmen
Die vorgeschlagene HHS-Aktualisierungsregel streicht die Idee nicht erforderlicher, adressierbarer Sicherheitsmaßnahmen und macht stattdessen alle darin beschriebenen Maßnahmen zur Pflicht. Sie fügt konkrete Fristen für viele der bestehenden Anforderungen hinzu. Alle Sicherheitsrichtlinien müssen schriftlich dokumentiert werden.
Risikoanalyse: Organisationen müssen jährlich eine schriftliche Bestandsaufnahme ihrer Anlagen und eine Netzwerkkarte erstellen, die die Bewegung elektronischer persönlicher Gesundheitsdaten (ePHI) durch ihre Systeme verfolgt. Sie müssen alle Bedrohungen für diese Informationen und Systeme identifizieren und deren Risikostufen klassifizieren.
Reaktion auf Vorfälle und Offenlegung: Die vorgeschlagene Regelung sieht zudem strengere Maßnahmen der Branche vor, darunter schriftliche Pläne zur Meldung von Sicherheitsvorfällen und zur Wiederherstellung von Systemen und Datenzugriff innerhalb von 72 Stunden, priorisiert nach ihrer Kritikalität. Geschäftspartner müssen die Unternehmen zudem informieren, wenn sie ihre Notfallpläne aktivieren.
Compliance-Audits: Gesundheitsorganisationen müssen sich jährlich einem Compliance-Audit hinsichtlich der Sicherheitsvorschriften unterziehen und sich von einem Experten schriftlich bestätigen lassen, dass alle ihre Geschäftspartner die Vorschriften einhalten. Ebenso müssen Geschäftspartner dasselbe von ihren Auftragnehmern einholen.
Technische Kontrollen: Alle elektronischen Gesundheitsdaten (ePHI) müssen im Ruhezustand und während der Übertragung verschlüsselt werden. Multi-Faktor-Authentifizierung und Anti-Malware-Schutz sind obligatorisch. Fremdsoftware muss von relevanten Systemen entfernt und entsprechende Netzwerkports deaktiviert werden. Netzwerke müssen segmentiert werden. Für Backup und Wiederherstellung sind separate, dedizierte Kontrollmechanismen erforderlich. Die Systeme müssen alle sechs Monate auf Schwachstellen geprüft und einem jährlichen Penetrationstest unterzogen werden.
Sponsoren von Gruppenplänen: Die vorgeschlagene Regeländerung betrifft auch Organisationen wie Arbeitgeber, die Gruppenkrankenversicherungen abschließen. Ihre Versicherungsunterlagen müssen Anforderungen zur Einhaltung der vorgeschlagenen Sicherheitsregel enthalten und sicherstellen, dass der Krankenversicherer, der ihre elektronischen Gesundheitsdaten (ePHI) entgegennimmt, dies ebenfalls tut. Müssen sie ihren Notfallplan aktivieren, müssen sie ihre Versicherungsnehmer innerhalb von 24 Stunden benachrichtigen.
Was es für Gesundheitsunternehmen bedeutet
Die neuen verbindlichen Maßnahmen stehen im Gegensatz zu einem weitgehend freiwilligen Ansatz für sinnvolle Cybersicherheitsstandards. Im Januar 2024 veröffentlichte das HHS sein 405(d)-Programm – eine Reihe freiwilliger Sicherheitsansätze für Organisationen der Gesundheitsbranche. Diese waren jedoch Teil eines umfassenderen Plans, der Branche mehr Verantwortung für die Cybersicherheit aufzuerlegen.
Wie HIPAA gilt die vorgeschlagene Aktualisierung für nachgelagerte Gesundheitsdienstleister wie Krankenhäuser sowie für vorgelagerte Organisationen wie Krankenkassen, Versicherungen und die Gesundheitsclearingstellen, die elektronische Gesundheitsdaten (ePHI) zwischen all diesen Organisationen weiterleiten. Geschäftspartner – Unternehmen, die PHI für die betroffenen Unternehmen verarbeiten – fallen ebenfalls in den Geltungsbereich.
Leser, die die Änderungen lediglich als Ausdruck grundlegender Cyber-Hygiene betrachten, sind nicht allein. Die vorgeschlagene Aktualisierung stellt laut Rechtsexperten eine wesentliche Verbesserung der bestehenden HIPAA-Regeln dar, schließt aber auch eine Regulierungslücke, indem sie den Sektor stärker an aktuell anerkannte Cybersicherheitsempfehlungen wie das Cybersecurity Framework des NIST anpasst.
„Organisationen, die diese „Best Practices“ bereits eingeführt haben, werden mit vielen der neuen Anforderungen der vorgeschlagenen Regel vertraut sein und sie in vielen Fällen bereits umgesetzt haben.“ argumentieren Brian G. Cesaratto, Lisa Pierce Reisz und Alaap B. Shah von Epstein Becker & Green in der National Law Review. In diesem Fall wird der Löwenanteil der Arbeit wahrscheinlich aus hektischem Papierkram und dem Ausfüllen von Formularen bestehen, um die Verwaltungsanforderungen zu erfüllen.
Für die betroffenen Organisationen, die ihre Cybersicherheitsmaßnahmen bisher vernachlässigt haben, wird es jedoch einiges zu tun geben. HISA, das sich noch in der Ausschussphase befindet, hatte einige wichtige Ergänzungen. Insbesondere wurden 800 Millionen Dollar an Finanzmitteln für ländliche und städtische Krankenhäuser bereitgestellt, um die Einhaltung der Vorschriften zu erreichen. Nach Ablauf dieser Frist wurden weitere 500 Millionen Dollar für alle anderen Krankenhäuser bereitgestellt.
Die aktualisierte HHS-Regelung sieht solche Finanzierungsmöglichkeiten offenbar nicht vor. Das könnte ein Knackpunkt sein.
„Angesichts der Tatsache, dass der Standard der Sicherheitsregel für ‚angemessene und geeignete‘ Sicherheitsvorkehrungen Kosten, Größe, Komplexität und Fähigkeiten berücksichtigen muss, stellen die eher präskriptiven Vorschläge in der NPRM [Notice of Proposal Rule Making] und das Fehlen adressierbarer Anforderungen eine schwere Belastung dar – insbesondere für kleinere Anbieter.“ schreiben Amy S. Leopard, Partnerin bei Bradley Arant Boult Cummings LLP und ihre Mitarbeiterin Adriante Carter.
What Happens Next
Nach Abschluss der öffentlichen Konsultationsphase wird das HHS voraussichtlich Kommentare sammeln und beantworten. In der Regel wird die Regelung entsprechend angepasst, und die Industrie muss die Regelung innerhalb von 180 Tagen nach der endgültigen Fassung durch das Ministerium umsetzen.
Ob der NPRM in seiner jetzigen Form – oder überhaupt – umgesetzt wird, ist jedoch ungewiss. Der jüngste Regierungswechsel in den USA hat beispiellose politische Veränderungen mit atemberaubender Geschwindigkeit eingeleitet. Da Robert F. Kennedy Jr. nun das Ruder im Ministerium in der Hand hält und der derzeitige Präsident seinen langjährigen Deregulierungskurs fortsetzt und scheinbar so viele Bundesbehörden wie möglich finanziell streicht, ist die politische Landschaft für den Rest des Jahres 2025 ungewiss.
