RSS-Feed abonnieren
DOI: 10.1055/a-2392-6194
Rechtlicher Umgang mit Cyberangriffen auf Einrichtungen des Gesundheitswesens
Legal Handling of Cyber Attacks on Healthcare Facilities
Zusammenfassung
Einrichtungen des Gesundheitswesens sind beliebte Ziele von Cyberangriffen. Mittels Ransomware wird hierbei auf sensible Daten und Systeme zugegriffen, um Lösegeld zu erpressen. Um dies zu vermeiden und im Falle eines Angriffs möglichst schnell die Cybersicherheit wiederherzustellen, existieren zahlreiche Regelungen, die unter anderem technische und organisatorische Schutzmaßnahmen anordnen.
Abstract
Healthcare facilities are popular targets for cyber attacks. Ransomware is used to access sensitive data and systems in order to extort ransom money. To prevent this and restore cyber security as quickly as possible in the event of an attack, there are numerous regulations that stipulate technical and organizational protective measures, among other things.
-
Ransomware: Die häufigste Form der Cyberangriffe erfolgt mittels Ransomware, einer Schadsoftware, die auf sensible Daten und Systeme zugreift. Diese werden verschlüsselt, um Lösegeld gegen die Wiederherstellung der Verfügbarkeit und Vertraulichkeit zu erpressen.
-
Gesetzliche Anforderungen: Vorgeschrieben werden sowohl technische als auch organisatorische Maßnahmen zur Prävention von Cyberangriffen. Die Anforderungen an Kritische Infrastrukturen nach dem BSIG sind besonders streng. Dazu gehören auch Einrichtungen des Gesundheitswesens.
-
Umgang mit Cyberangriffen: Der Gesetzgeber verlangt Maßnahmen, die sich auf die Zeit vor, während und nach einem Angriff richten.
-
Sanktionen: Ein Ransomware-Angriff ist strafbar. Doch auch die Angegriffenen können sich durch Lösegeldzahlungen oder Datenschutzverstöße einer Sanktionsgefahr aussetzen. In Zukunft droht zudem eine persönliche Haftung der Geschäftsleitung, wenn diese ihrer Verpflichtung nicht nachkommt, Sicherheitsmaßnahmen effektiv zu implementieren.
-
Lösegeldzahlungen: Eine besondere Sanktionsgefahr stellt die Zahlung von Lösegeld dar. In Betracht kommt die Unterstützung einer kriminellen Vereinigung. Die Rechtfertigungsmöglichkeiten sind umstritten.
Schlüsselwörter
Ransomware - gesetzliche Anforderungen - Umgang mit Cyberangriffen - Sanktionen - LösegeldzahlungenPublikationsverlauf
Artikel online veröffentlicht:
22. November 2024
© 2024. Thieme. All rights reserved.
Georg Thieme Verlag KG
Oswald-Hesse-Straße 50, 70469 Stuttgart, Germany
-
Literatur
- 1 ENISA. NIS Investments Report. 2022;
- 2 ENISA. Threat Landscape: Health Sector. 2023;
- 3 Meyer E, Biermann S. Ransomware-Angriff. Strafrechtliche Einordnung von Lösegeldzahlungen und Aufzeigen notwendiger Compliance-Maßnahmen für die Cybersicherheit. MMR 2022; 11: 940-945
- 4 Brodowski D, Schmid D, Scholzen A. et al. Zuerst erpresst, dann verfolgt? Wege zur Rechtssicherheit bei Ransomware-Zahlungen. NStZ 2023; 7: 385-386
- 5 Mahendru P. Sophos. The State of Ransomware in Healthcare 2022. 01.06.2022 Zugriff am 20. September 2024 unter: https://news.sophos.com/en-us/2022/06/01/the-state-of-ransomware-in-healthcare-2022/
- 6 WDR. Hackerangriff auf Krankenhäuser im Kreis Soest. 05.02.2024 Zugriff am 20. September 2024 unter: https://www1.wdr.de/nachrichten/westfalen-lippe/hacker-angriff-hospital-lippstadt-100.html
- 7 Doelfs G. KMA Online. Cybercrime-Welle erfasst Dreifaltigkeits-Hospital. 06.02.2024 Zugriff am 20. September 2024 unter: https://www.kma-online.de/aktuelles/it-digital-health/detail/cybercrime-welle-erfasst-dreifaltigkeits-hospital-in-lippstadt-51491
- 8 Dreifaltigkeits-Hospital. Informationen gem. § 34 KDG – Cyberangriff auf die katholischen Krankenhäuser in Lippstadt, Erwitte und Geseke. Zugriff am 20. September 2024 unter: https://dreifaltigkeits-hospital.de/informationen-veranstaltungen/meldung-gemaess-34-kdg
- 9 Kerkmann S, Nagel LM, Verfürden M. Handelsblatt. Ermittler zerschlagen „schädlichste Hackergruppe der Welt“. 20.02.2024 Zugriff am 20. September 2024 unter: https://www.handelsblatt.com/technik/it-internet/ermittler-zerschlagen-lockbit-in-operation-cronos/100016486.html
- 10 BayLfD, BayLDA. Cybersicherheit für medizinische Einrichtungen. Checkliste mit Prüfkriterien nach Art. 32 DS-GVO. 22.07.2020 Zugriff am 20. September 2024 unter: https://www.lda.bayern.de/media/checkliste/baylda_checkliste_medizin.pdf
- 11 DKG. Branchenspezifischer Sicherheitsstandard „Medizinische Versorgung“ (B3S). 08.12.2022 Zugriff am 20. September 2024 unter: https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/
- 12 Dannecker G, Dittrich T, Müller N. et al. Die Einführung eines Business-Continuity-Managements im Krankenhaus – ein Fall der Ermessensreduzierung auf null! – Teil 1. CB 2023; 3: 54-56
- 13 Dannecker G, Dittrich T, Müller N. et al. Die Einführung eines Business-Continuity-Managements im Krankenhaus – ein Fall der Ermessensreduzierung auf null! – Teil 2. CB 2023; 4: 117-119
- 14 Grzesiek M. Neue Anforderungen an die IT-Sicherheit in der Arztpraxis. GuP 2021; 5: 171-177
- 15 NIS Cooperation Group. Threats and risk management in the health sector. 2023 Zugriff am 26. Juni 2024 unter: https://digital-strategy.ec.europa.eu/en/policies/nis-cooperation-group
- 16 Nadeborn D, Dittrich T. Cybersicherheit in Krankenhäusern – Teil 1: IT-Compliance als Leitungsaufgabe. Int Cybersecur Law Rev 2022; 3: 147-156
- 17 Nadeborn D, Ettwig V. Cyberversicherungen als Compliance-Faktor. CCZ 2024; 5: 129-131
- 18 Gelinsky K. Frankfurter Allgemeine. Erst erpresst, dann angeklagt. 10.05.2022 Zugriff am 19. September 2024 unter: https://www.faz.net/aktuell/wirtschaft/recht-und-steuern-erst-erpresst-dann-angeklagt-18020394.html
- 19 König PM. Lösegeldzahlungen bei Angriffen mit Ransomware – Rettungsanker oder strafrechtliches Risiko?. NZWiSt 2023; 5: 167-171
- 20 Perron W. § 34 Rechtfertigender Notstand. In: Schönke A, Schröder H. StGB. 30. 2019: Rn. 41b
- 21 Momsen C, Savić LI. § 34 Rechtfertigender Notstand. In: v. Heintschel-Heinegg B, Kudlich H. BeckOK StGB. 60. 2024: Rn. 17
- 22 Erb V. § 34 Rechtfertigender Notstand. In: Erb V, Schäfer J. MüKoStGB. 4. 2020: Rn. 194
- 23 Neumann U. § 34 Rechtfertigender Notstand. In: Kindhäuser U, Neumann U, Paeffgen HU, Saliger F. NK-StGB. 6. 2023: Rn. 55a
- 24 Zieschang F. § 34 Rechtfertigender Notstand. In: Cirener G, Radtke H, Rissing-van Saan R, Rönnau T, Schluckebier W. LK-StGB. 13. 2019: Rn. 131
- 25 The White House. Fact Sheet: Biden-Harris Administration Convenes Third Global Gathering to Counter Ransomware. 01.11.2023 Zugriff am 19. September 2024 unter: https://www.whitehouse.gov/briefing-room/statements-releases/2023/11/01/fact-sheet-biden-harris-administration-convenes-third-global-gathering-to-counter-ransomware/
- 26 Légifrance. Délibération SAN-2022–009 du 15 avril 2022. 21.04.2022 Zugriff am 19. September 2024 unter: https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368
- 27 DSGVO-Portal. Dedalus Biologie. 15.04.2022 Zugriff am 19. September 2024 unter: https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-dedalus-biologie-2022–04–15-FR-1961.php
- 28 EDPB. Health data breach: Dedalus Biologie fined 1.5 million euros. 15.04.2022 Zugriff am 19. September 2024 unter: https://edpb.europa.eu/news/national-news/2022/health-data-breach-dedalus-biologie-fined-15-million-euros_en
- 29 Publico, Lusa. Hospital do Barreiro contesta judicialmente coima de 400 mil euros de Comissão de Dados. 22.10.2018 Zugriff am 19. September 2024 unter: https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados-1848479
- 30 DSGVO-Portal. Centro Hospitaler Barreiro Montijo. 22.08.2018 Zugriff am 19. September 2024 unter: https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-centro-hospitalar-2018–08–22-PT-87.php
- 31 Holland M. Heise online. DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen. 23.10.2018 Zugriff am 19. September 2024 unter: https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400–000-Euro-zahlen-4198972.html
- 32 BMI. Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung. 07.05.2024 Zugriff am 19. September 2024 unter: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/CI1/NIS-2-RefE.pdf?__blob=publicationFile&v=3