IT-Systeme sind heute unmittelbar in die Behandlung von Patienten eingebunden: sie liefern und koordinieren entscheidungsrelevante Informationen und schaffen damit die Grundlage für ein erfolgreiches ärztliches Handeln. Auch zahlreiche administrative Abläufe funktionieren nur noch mit der entsprechenden IT-Unterstützung. Damit einher geht das Risiko, dass Schäden an informationstechnischen Systemen sowohl die Leistungsfähigkeit des Krankenhauses als auch die physische, psychische und soziale Unversehrtheit der behandelten Patienten gefährden.

IT-Risiken

Das Krankenhaus IT-Journal fragte in einem Interview Frank Venjakob, Veranstaltungsleiter der IT-Security Messe it-sa, nach den größten Bedrohungen in Krankenhäusern. Er sieht diese unter anderem in medizinischen Geräten, die teilweise wenig kompatibel mit gängigen IT-Infrastrukturen seien. Arbeiten sie auch über Jahre zuverlässig, so öffnen die immer engere Vernetzung und die Einbindung der Geräte in digitale Prozesse neue Einfallstore für Cyberkriminelle. Die wohl größte Bedrohung sieht er in einem Ausfall der IT-Infrastruktur. Wenn Ransomware Patientendaten verschlüsselt, kann der gesamte Krankenhausbetrieb lahmliegen. Im schlimmsten Fall müsste nach einem Angriff die komplette IT vorübergehend vom Netz. Doch Venjakob gibt in dem Interview zu bedenken: Auch falsch konfigurierte Geräte oder auch Mitarbeiter, die Zugang zu sensiblen Informationen haben, können eine Gefahr darstellen.

Es wird deutlich, dass es nicht nur technische Risiken sind, die die Informations- und Patientensicherheit gefährden. Genauso müssen organisatorische und verfahrenstechnische Risiken betrachtet werden. Informationssicherheit ist damit kein reines IT-Thema, sondern betrifft das gesamte Unternehmen und alle Unternehmensbereiche.

Schutz kritischer Infrastrukturen (KRITIS) im Gesundheitswesen

Um diesen Bedrohungen zu begegnen, verpflichtet das IT-Sicherheitsgesetz seit Juli 2015 Betreiber „kritischer Infrastrukturen“ (KRITIS) dazu, ihre für die Versorgung der Bevölkerung kritischen Prozesse nach dem Stand der Technik abzusichern und dieses gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geeignet nachzuweisen. Für erhebliche Sicherheitsvorfälle gilt eine Meldepflicht. So steht es im §8a BSI-Gesetz. Zu den sogenannten KRITIS gehören Kliniken mit mehr als 30.000 stationären Fällen pro Jahr, was derzeit nur 120 von 1.900 Kliniken entspricht. Sie müssen den Vollzug der KRITIS-Vorgaben bis Ende Juli 2019 nachweisen. Ein erster Erfahrungsbericht aus dem Katholischen Klinikum Lünen/Werne ist in der Zeitschrift KU Gesundheitsmanagement 8/2018 veröffentlicht worden.

Für die Prüfung nach §8a BSIG wird derzeit noch an einem allgemeinen Branchensicherheitsstandard (B3S) für Krankenhäuser gearbeitet. Doch sagen viele Experten, dass Kliniken nicht darauf warten, sondern sich an der ISO-27001-Norm orientieren sollen – und das unabhängig von der Einstufung als KRITIS! Angesichts der Anforderungen im Hinblick auf die Patientensicherheit und die Datenschutzgrundverordnung (EU-DSGVO) müssen alle Krankenhäuser in IT-Sicherheit investieren. Hohe Bußgelder und Reputationsschäden sind am Ende meist teurer.

IT-Grundschutz als Basis für Informationssicherheit

Eine gute Alternative zur Prüfung nach §8a BSIG ist die Orientierung am IT-Grundschutz des BSI. Er stellt die Basis für Informationssicherheit dar und ermöglicht es, durch ein systematisches Vorgehen notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Eines der wichtigsten Ziele des IT-Grundschutzes ist es auch, den Aufwand im Informationssicherheitsprozess zu reduzieren. Alle dafür notwendigen Informationen sind auf der Webseite des BSI frei zugänglich und können an die Anforderungen von Institutionen verschiedenster Art und Größe angepasst werden.

Die BSI-Standards liefern konkrete Anforderungen und bewährte Vorgehensweisen. So definiert der BSI-Standard 200-1 allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Der BSI-Standard 200-2 beinhaltet die IT-Grundschutz-Methodik und bietet konkrete Hilfestellungen, wie ein Managementsystem für die Informationssicherheit Schritt für Schritt eingeführt werden kann: Im Fokus stehen hier einzelne Phasen dieses Prozesses sowie bewährte Best-Practice-Lösungen. Je nach angestrebtem Sicherheitsniveau gibt es drei Vorgehensweisen: „Standard-Absicherung“, „Basis-Absicherung“ und „Kern-Absicherung“.

Die Methodik baut auf dem BSI-Standard 200-1 und auf der ISO-Norm 27001 auf. Alle risikobezogenen Arbeitsschritte wurden in dem BSI Standard 200-3 gebündelt. Hier geht es um die Erstellung einer Gefährdungsübersicht, Bewertung von Risiken und möglichen Risikobehandlungsoptionen. Ergänzend veröffentlicht das BSI im IT-Grundschutz-Kompendium Bausteine mit konkreten Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen, Systeme, Kommunikationsverbindungen und Räume, die nach Bedarf in der eigenen Institution eingesetzt werden können.

Die IT-Grundschutz-Vorgehensweise stellt zusammen mit den IT-Grundschutz-Katalogen und dessen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen De-Facto-Standard für IT-Sicherheit dar. Die Umsetzung können sich Unternehmen durch eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz vom BSI – oder von einem BSI-zertifizierten ISO 27001-Grundschutz-Auditor – bestätigen lassen.

Hilfreiche Links:

Handlungsempfehlungen zur Patienten- und Informationssicherheit

• Handlungsempfehlung zum Risikomanagement in der Patientenversorgung, u.a. vom Aktionsbündnis Patientensicherheit e.V.
• Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken, vom UPKRITIS Branchenarbeitskreis Medizinische Versorgung

Informationen für KRITIS-Unternehmen

• Hinweise des BSI: „Was muss ich als KRITIS-Betreiber tun?“
• Leitfaden „Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT“, vom BSI
• Broschüre „Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT“, Management-Kurzfassung, vom BSI
• „Orientierungshilfe zu Nachweisen gemäß §8a (3) BSIG“, vom BSI
• Erfahrungsbericht aus dem Katholischen Klinikum Lünen/Werne in der KU-Ausgabe 8/2018

Informationen zum IT-Grundschutz des BSI

• BSI-Webseite zum IT-Grundschutz
• „Überblick IT-Grundschutz – Entscheidungshilfe für Manager“, vom BSI
• Die BSI-Standards, vom BSI
• IT-Grundschutz-Kompendium - Edition 2018, vom BSI
• ISO 27001-Zertifizierung auf Basis von IT-Grundschutz, vom BSI