Subscribe to RSS
DOI: 10.1055/a-2392-6194
Rechtlicher Umgang mit Cyberangriffen auf Einrichtungen des Gesundheitswesens
Legal Handling of Cyber Attacks on Healthcare Facilities
Zusammenfassung
Einrichtungen des Gesundheitswesens sind beliebte Ziele von Cyberangriffen. Mittels Ransomware wird hierbei auf sensible Daten und Systeme zugegriffen, um Lösegeld zu erpressen. Um dies zu vermeiden und im Falle eines Angriffs möglichst schnell die Cybersicherheit wiederherzustellen, existieren zahlreiche Regelungen, die unter anderem technische und organisatorische Schutzmaßnahmen anordnen.
Abstract
Healthcare facilities are popular targets for cyber attacks. Ransomware is used to access sensitive data and systems in order to extort ransom money. To prevent this and restore cyber security as quickly as possible in the event of an attack, there are numerous regulations that stipulate technical and organizational protective measures, among other things.
-
Ransomware: Die häufigste Form der Cyberangriffe erfolgt mittels Ransomware, einer Schadsoftware, die auf sensible Daten und Systeme zugreift. Diese werden verschlüsselt, um Lösegeld gegen die Wiederherstellung der Verfügbarkeit und Vertraulichkeit zu erpressen.
-
Gesetzliche Anforderungen: Vorgeschrieben werden sowohl technische als auch organisatorische Maßnahmen zur Prävention von Cyberangriffen. Die Anforderungen an Kritische Infrastrukturen nach dem BSIG sind besonders streng. Dazu gehören auch Einrichtungen des Gesundheitswesens.
-
Umgang mit Cyberangriffen: Der Gesetzgeber verlangt Maßnahmen, die sich auf die Zeit vor, während und nach einem Angriff richten.
-
Sanktionen: Ein Ransomware-Angriff ist strafbar. Doch auch die Angegriffenen können sich durch Lösegeldzahlungen oder Datenschutzverstöße einer Sanktionsgefahr aussetzen. In Zukunft droht zudem eine persönliche Haftung der Geschäftsleitung, wenn diese ihrer Verpflichtung nicht nachkommt, Sicherheitsmaßnahmen effektiv zu implementieren.
-
Lösegeldzahlungen: Eine besondere Sanktionsgefahr stellt die Zahlung von Lösegeld dar. In Betracht kommt die Unterstützung einer kriminellen Vereinigung. Die Rechtfertigungsmöglichkeiten sind umstritten.
Schlüsselwörter
Ransomware - gesetzliche Anforderungen - Umgang mit Cyberangriffen - Sanktionen - LösegeldzahlungenPublication History
Article published online:
22 November 2024
© 2024. Thieme. All rights reserved.
Georg Thieme Verlag KG
Oswald-Hesse-Straße 50, 70469 Stuttgart, Germany
-
Literatur
- 1 ENISA. NIS Investments Report. 2022;
- 2 ENISA. Threat Landscape: Health Sector. 2023;
- 3 Meyer E, Biermann S. Ransomware-Angriff. Strafrechtliche Einordnung von Lösegeldzahlungen und Aufzeigen notwendiger Compliance-Maßnahmen für die Cybersicherheit. MMR 2022; 11: 940-945
- 4 Brodowski D, Schmid D, Scholzen A. et al. Zuerst erpresst, dann verfolgt? Wege zur Rechtssicherheit bei Ransomware-Zahlungen. NStZ 2023; 7: 385-386
- 5 Mahendru P. Sophos. The State of Ransomware in Healthcare 2022. 01.06.2022 Accessed September 20, 2024 at: https://news.sophos.com/en-us/2022/06/01/the-state-of-ransomware-in-healthcare-2022/
- 6 WDR. Hackerangriff auf Krankenhäuser im Kreis Soest. 05.02.2024 Accessed September 20, 2024 at: https://www1.wdr.de/nachrichten/westfalen-lippe/hacker-angriff-hospital-lippstadt-100.html
- 7 Doelfs G. KMA Online. Cybercrime-Welle erfasst Dreifaltigkeits-Hospital. 06.02.2024 Accessed September 20, 2024 at: https://www.kma-online.de/aktuelles/it-digital-health/detail/cybercrime-welle-erfasst-dreifaltigkeits-hospital-in-lippstadt-51491
- 8 Dreifaltigkeits-Hospital. Informationen gem. § 34 KDG – Cyberangriff auf die katholischen Krankenhäuser in Lippstadt, Erwitte und Geseke. Accessed September 20, 2024 at: https://dreifaltigkeits-hospital.de/informationen-veranstaltungen/meldung-gemaess-34-kdg
- 9 Kerkmann S, Nagel LM, Verfürden M. Handelsblatt. Ermittler zerschlagen „schädlichste Hackergruppe der Welt“. 20.02.2024 Accessed September 20, 2024 at: https://www.handelsblatt.com/technik/it-internet/ermittler-zerschlagen-lockbit-in-operation-cronos/100016486.html
- 10 BayLfD, BayLDA. Cybersicherheit für medizinische Einrichtungen. Checkliste mit Prüfkriterien nach Art. 32 DS-GVO. 22.07.2020 Accessed September 20, 2024 at: https://www.lda.bayern.de/media/checkliste/baylda_checkliste_medizin.pdf
- 11 DKG. Branchenspezifischer Sicherheitsstandard „Medizinische Versorgung“ (B3S). 08.12.2022 Accessed September 20, 2024 at: https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/
- 12 Dannecker G, Dittrich T, Müller N. et al. Die Einführung eines Business-Continuity-Managements im Krankenhaus – ein Fall der Ermessensreduzierung auf null! – Teil 1. CB 2023; 3: 54-56
- 13 Dannecker G, Dittrich T, Müller N. et al. Die Einführung eines Business-Continuity-Managements im Krankenhaus – ein Fall der Ermessensreduzierung auf null! – Teil 2. CB 2023; 4: 117-119
- 14 Grzesiek M. Neue Anforderungen an die IT-Sicherheit in der Arztpraxis. GuP 2021; 5: 171-177
- 15 NIS Cooperation Group. Threats and risk management in the health sector. 2023 Accessed June 26, 2024 at: https://digital-strategy.ec.europa.eu/en/policies/nis-cooperation-group
- 16 Nadeborn D, Dittrich T. Cybersicherheit in Krankenhäusern – Teil 1: IT-Compliance als Leitungsaufgabe. Int Cybersecur Law Rev 2022; 3: 147-156
- 17 Nadeborn D, Ettwig V. Cyberversicherungen als Compliance-Faktor. CCZ 2024; 5: 129-131
- 18 Gelinsky K. Frankfurter Allgemeine. Erst erpresst, dann angeklagt. 10.05.2022 Accessed September 19, 2024 at: https://www.faz.net/aktuell/wirtschaft/recht-und-steuern-erst-erpresst-dann-angeklagt-18020394.html
- 19 König PM. Lösegeldzahlungen bei Angriffen mit Ransomware – Rettungsanker oder strafrechtliches Risiko?. NZWiSt 2023; 5: 167-171
- 20 Perron W. § 34 Rechtfertigender Notstand. In: Schönke A, Schröder H. StGB. 30. 2019: Rn. 41b
- 21 Momsen C, Savić LI. § 34 Rechtfertigender Notstand. In: v. Heintschel-Heinegg B, Kudlich H. BeckOK StGB. 60. 2024: Rn. 17
- 22 Erb V. § 34 Rechtfertigender Notstand. In: Erb V, Schäfer J. MüKoStGB. 4. 2020: Rn. 194
- 23 Neumann U. § 34 Rechtfertigender Notstand. In: Kindhäuser U, Neumann U, Paeffgen HU, Saliger F. NK-StGB. 6. 2023: Rn. 55a
- 24 Zieschang F. § 34 Rechtfertigender Notstand. In: Cirener G, Radtke H, Rissing-van Saan R, Rönnau T, Schluckebier W. LK-StGB. 13. 2019: Rn. 131
- 25 The White House. Fact Sheet: Biden-Harris Administration Convenes Third Global Gathering to Counter Ransomware. 01.11.2023 Accessed September 19, 2024 at: https://www.whitehouse.gov/briefing-room/statements-releases/2023/11/01/fact-sheet-biden-harris-administration-convenes-third-global-gathering-to-counter-ransomware/
- 26 Légifrance. Délibération SAN-2022–009 du 15 avril 2022. 21.04.2022 Accessed September 19, 2024 at: https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368
- 27 DSGVO-Portal. Dedalus Biologie. 15.04.2022 Accessed September 19, 2024 at: https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-dedalus-biologie-2022–04–15-FR-1961.php
- 28 EDPB. Health data breach: Dedalus Biologie fined 1.5 million euros. 15.04.2022 Accessed September 19, 2024 at: https://edpb.europa.eu/news/national-news/2022/health-data-breach-dedalus-biologie-fined-15-million-euros_en
- 29 Publico, Lusa. Hospital do Barreiro contesta judicialmente coima de 400 mil euros de Comissão de Dados. 22.10.2018 Accessed September 19, 2024 at: https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados-1848479
- 30 DSGVO-Portal. Centro Hospitaler Barreiro Montijo. 22.08.2018 Accessed September 19, 2024 at: https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-centro-hospitalar-2018–08–22-PT-87.php
- 31 Holland M. Heise online. DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen. 23.10.2018 Accessed September 19, 2024 at: https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400–000-Euro-zahlen-4198972.html
- 32 BMI. Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung. 07.05.2024 Accessed September 19, 2024 at: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/CI1/NIS-2-RefE.pdf?__blob=publicationFile&v=3