KRITIS-Herausforderungen im Gesundheitswesen erfolgreich meistern

ehealth: Kritis Verordnung

Dr. Timo Neumann, Bundesdruckerei-Experte für ISMS-Beratung, räumt mit den fünf gängigsten Irrtümern rund um die Änderung der KRITIS-Verordnung auf.

IT-Sicherheit auf allen Ebenen nachhaltig verankern

Die Bundesregierung hat Ende Mai den zweiten Teil der Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV)  beschlossen, diese tritt im Juni in Kraft. Die dort benannten Schwellenwerte definieren eindeutig, welche Akteure des Gesundheitswesens, der Finanz- und Versicherungswirtschaft sowie aus dem Bereich Transport und Verkehr unter die Vorgaben des IT-Sicherheitsgesetzes fallen und als Konsequenz Maßnahmen zum Schutz der eigenen IT-Infrastruktur treffen müssen. Dr. Timo Neumann, Bundesdruckerei-Experte für ISMS-Beratung, räumt mit den fünf gängigsten Irrtümern rund um den zweiten Teil der KRITIS-Verordnung auf und gibt dabei wichtige Handlungsempfehlungen und wertvolle Praxis-Tipps.

Irrtum 1: Die Bestimmungen der KRITIS-Verordnung und die Umsetzung des IT-Sicherheitsgesetzes sind nur für einen kleinen Teil des Gesundheitswesens relevant.

Dr. Timo Neumann: Die Bundesdruckerei empfiehlt allen Akteuren des Gesundheitswesens - unabhängig von dem definierten Schwellenwert -, sich als Teil der so genannten Kritischen Infrastrukturen zu begreifen. Und das vor allem aus eigenem Interesse. Ein gutes Beispiel dafür ist der Krankenhaus-Sektor. In den heute hochtechnisierten Krankenhäusern lässt sich Informationssicherheit kaum noch von Patientensicherheit trennen. IT-Systeme sind unmittelbar in die Patientenbehandlung eingebunden, sie liefern und koordinieren maßgebliche Informationen und schaffen damit die Grundlage eines erfolgreichen ärztlichen Handelns. Zusätzlich ist eine Vielzahl administrativer Abläufe durch den Einsatz von IT-Systemen geprägt. Kommt es hier zu einem Ausfall, hat das für den Krankenhausbetrieb und die Versorgungssicherheit der Bevölkerung ggfs. massive negative Auswirkungen – wie die aktuellen Cyberangriffe zeigen. Vor diesem Hintergrund ist ein hohes Sicherheitsniveau, das sich an den gesetzlichen KRITIS-Vorschriften orientiert, sicherzustellen. Nur auf diese Weise lassen sich auch andere regulatorische Vorgaben – wie zum Beispiel die länderbezogenen Datenschutzgesetze - erfüllen, finanzielle Schäden vermeiden und Haftungsrisiken verringern.

Irrtum 2: Regelmäßige technische Updates und Ergänzungen der IT-Infrastruktur sind für die Datensicherheit und den Datenschutz ausreichend.

Dr. Timo Neumann: Die Fokussierung auf technische Maßnahmen reicht bei weitem nicht aus. Die gesetzlich definierten Schutzziele Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationen können nur mit einem institutionalisierten Sicherheitsmanagement erreicht werden. Wichtigstes Werkzeug hierbei ist die prüffähige Ausrichtung eines Managementsystems für Informationssicherheit (ISMS). Neben technischen Maßnahmen beinhaltet ein ISMS auch die erforderlichen personellen, infrastrukturellen und organisatorischen Aspekte. Ein ISMS sorgt auf allen Ebenen systematisch und nachhaltig für den sicheren Betrieb der kritischen Dienstleistungen und damit für die Sicherheit von Informationen und Daten. Mit einem ISMS ist man zudem auf die gesetzlich geforderten regelmäßigen Sicherheitsaudits und Prüfungen bestens vorbereitet.

Irrtum 3: Der Aufbau und Betrieb eines ISMS ist für viele Akteure des Gesundheitswesens weder inhaltlich noch von den benötigten Ressourcen machbar.

Dr. Timo Neumann: Häufig existieren bereits Management-Systeme, in der Regel initiiert durch rechtliche Rahmenbedingungen und Vorgaben, beispielsweise zum Datenschutz oder Risikomanagement. Ein auskunftsfähiges ISMS sollte möglichst ohne Redundanzen in vorhandene Management-Systeme integriert bzw. mittels definierter Schnittstellen angebunden werden. Unsere Erfahrungen aus dem eigenen ISMS-Betrieb zeigen, dass durch die Integration in bestehende Organisationsstrukturen Synergien geschaffen werden können, die den Mehraufwand für den Betrieb eines ISMS kompensieren. Aus unserer Sicht geht es  darum, möglichst alle beteiligten Bereiche und Dienstleister für die Unterstützung einer ISMS-Etablierung in der jeweiligen Institution zu gewinnen.

Irrtum 4: Die Inanspruchnahme externer Beratungsleistungen bei der Umsetzung eines ISMS ist mit einem hohen Aufwand verbunden und kostenintensiv.

Dr. Timo Neumann: Das muss nicht sein. Das Beratungsangebot der Bundesdruckerei zum Beispiel ist bedarfsorientiert aufgebaut. Wir bieten vom methodischen Coaching über die umfängliche Beratung, Schulungen und Workshops bis hin zu internen Audits bzw. gezielten Zertifizierungsvorbereitungen verschiedene Module an. In der Beratungspraxis haben wir festgestellt, dass die Auswirkungen der BSI-KritisV nicht zwingend zusätzlichen Aufwand und Kosten zur Folge haben. Häufig wirken auf unsere Kunden bereits flankierende Regelungen (z.B. Landes-Datenschutz-Gesetze, Sozialgesetzbuch, Patientenrechtegesetz), die entsprechend in einem prüf- und auskunftsfähigen ISMS konsolidiert werden können.
Außerdem können neue rechtliche Vorgaben ein guter Anlass sein, um seit Jahren laufende IT-Prozesse auf den Prüfstand zu stellen und zu optimieren. Investitionen in diese Aufgabe lohnen sich daher immer.

Irrtum 5: Erst, wenn die branchenspezifischen Standards für den Gesundheitssektor feststehen, macht es Sinn, ein ISMS umzusetzen.

Dr. Timo Neumann: Das IT-Sicherheitsgesetz sieht vor, dass von den Branchen und ihren Fachverbänden die branchenspezifische Sicherheitsstandards (B3S) erarbeitet werden. Das geschieht aktuell für das Gesundheitswesen in Branchen-Arbeitskreisen (BAK). Da eine Orientierungshilfe zu den Inhalten und Anforderungen an B3S bereits vom BSI veröffentlicht wurde, ist nicht zwingend mit Überraschungen zu rechnen. Deshalb ist es ratsam, schon jetzt mit der prüffähigen Ausrichtung eines ISMS zu beginnen, denn der damit zusammenhängende Aufwand sollte nicht unterschätzt werden. Warten ist die falsche Strategie, weil man sich auf ca. 80 Prozent der resultierenden Maßnahmen in den  branchenspezifischen Standards für den Gesundheitsbereich schon jetzt vorbereiten kann. Und wer als Krankenhaus, Labor, Arzneihändler oder Hersteller bestimmter lebenswichtiger Medizinprodukte im Sinne des IT-Sicherheitsgesetzes zur Kritischen Infrastruktur gehört, muss innerhalb der sechsmonatigen Frist bereits bis Ende 2017 eine Meldestelle für das BSI eingerichtet haben. Damit einher geht dann gleichzeitig die Pflicht zur Meldung sicherheitsrelevanter Vorfälle an das BSI. Und bis Mitte 2019 müssen die von der BSI-KritisV betroffenen Akteure des Gesundheitswesens den Nachweis erbringen, dass sie angemessene organisatorische und technische Maßnahmen zum Erreichen der definierten Schutzziele getroffen haben.

Starten statt warten sollte deshalb jetzt die Devise sein. Am besten mit einem kompetenten Partner wie der Bundesdruckerei, die selbst ein zertifiziertes ISMS sowohl nach ISO 27001:2013 und auf Basis BSI-Grundschutz betreibt und dieses regelmäßig prüfen sowie bestätigen lässt.

Mit dem kostenlosen Quick-Check der Bundesdruckerei geben Ihnen Experten eine erste Einschätzung zu Ihrem individuellen Sicherheitsniveau und informieren Sie darüber, welche gesetzlichen Umsetzungspflichten für Sie bestehen. Zudem erhalten Sie Empfehlungen für Ihre weitere Planung.

Digitale Sicherheit

IT-Sicherheit in der Industrie 4.0

Digitale Sicherheit

Die Deutschen und der Datenschutz

Wenn ein US-Unternehmen Fotos von frei zugänglichen Straßen macht, ist das in Deutschland ein Skandal. Unser Autor aber sagt: Wir brauchen nicht weniger, sondern mehr Öffentlichkeit.

Themen & Trends

Wettbewerbsfaktor Cyber-Sicherheit

Interview mit BSI-Präsident Arne Schönbohm über die größten Herausforderungen und gefährlichsten Irrtümer deutscher Unternehmen bei der digitalen Sicherheit