2020 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgehakt – und zwar im Rahmen einer qualitativen Studie, die Rahmenbedingungen, Status Quo und Handlungsfelder bezüglich der Informationssicherheit in der stationären medizinischen Versorgung erörtert.

Das wichtigste – und erwartbare – Ergebnis: Es gibt Nachholbedarf – vor allem im Bereich der organisatorischen Maßnahmen. Die im Auftrag des BSI durchgeführten Betreiberbefragungen ergaben, dass „sich ein systematisches IT-Risikomanagement in vielen Häusern noch nicht auf dem notwendigen Niveau bewegt“. Dabei ist die Verankerung von IT-Sicherheit auf organisatorischer Ebene besonders wichtig, um jederzeit auf neue (und alte) Bedrohungen vorbereitet zu sein.

Klar, der Aufbau eines solchen Managementsystems kostet zunächst Ressourcen – auf lange Sicht zahlt sich die Investition aber aus, denn erfolgreiche Angriffe bedeuten nicht nur erhebliche finanzielle Risiken, sondern schädigen auch den Ruf der betroffenen Einrichtung erheblich. Die gute Nachricht: Es ist möglich, ein strukturiertes, risikobasiertes Informationssicherheitsmanagementsystem (ISMS) mit überschaubarem Aufwand zu realisieren.

Wie? Mit einem System, das den Anforderungskatalog des B3S systematisch als Risiken erfasst und mit Verantwortlichkeiten sowie Maßnahmen verknüpft. Im Rahmen der DMEA sparks demonstrierte Clas Clasen, Produktmanagement NEXUS / QM, in einem Webinar, wie ein schlankes und leistungsfähiges Managementsystem aufgebaut werden kann. Sie können sich hier für die Aufzeichnung registrieren.

Und wie sieht es mit den technischen Maßnahmen aus? Grundsätzlich erwies sich der branchenspezifische Sicherheitsstandard als praktikables Instrument – klassische Abwehrmaßnahmen wie Firewalls, DMZ oder Spam- bzw. Malwareschutz sowie redundant ausgelegte IT-Infrastrukturen werden in der Regel umgesetzt. Luft nach oben sei aber auch hier – etwa in den Bereichen Patch- bzw. Änderungsmanagement und Netzwerkmonitoring.

Die Experten von der NEXUS / CLOUD IT stehen Ihnen jederzeit gerne beratend zur Seite.

Und auch wenn längst nicht alle Einrichtungen des Gesundheitswesens unter die KRITIS-Verordnung fallen – IT-Sicherheit ist ein Thema, das alle gleichermaßen betrifft!