Marabu / Magazin

Wissen, Aktuelles und Hintergründe
rund um ECM im Gesundheitsmarkt.

Sandra Hanke

Tag der Patientensicherheit ist auch Tag der IT-Sicherheit

Eine manipulierte Arzneimittelunverträglichkeit, ein gehackter Herzschrittmacher oder eine Downtime der IT-Systeme in der Notaufnahme aufgrund einer Cyber-Attacke: diese Beispiele zeigen unmissverständlich, dass die Patientensicherheit im Zeitalter der Digitalisierung untrennbar mit der IT-Sicherheit verbunden ist. Am heutigen Tag der Patientensicherheit möchten wir darum aufzeigen, welche Anforderungen Krankenhäuser hinsichtlich der Informationssicherheit erfüllen müssen und woran sie sich orientieren können.

IT-Systeme sind heute unmittelbar in die Behandlung von Patienten eingebunden: sie liefern und koordinieren entscheidungsrelevante Informationen und schaffen damit die Grundlage für ein erfolgreiches ärztliches Handeln. Auch zahlreiche administrative Abläufe funktionieren nur noch mit der entsprechenden IT-Unterstützung. Damit einher geht das Risiko, dass Schäden an informationstechnischen Systemen sowohl die Leistungsfähigkeit des Krankenhauses als auch die physische, psychische und soziale Unversehrtheit der behandelten Patienten gefährden.

IT-Risiken

Das Krankenhaus IT-Journal fragte in einem Interview Frank Venjakob, Veranstaltungsleiter der IT-Security Messe it-sa, nach den größten Bedrohungen in Krankenhäusern. Er sieht diese unter anderem in medizinischen Geräten, die teilweise wenig kompatibel mit gängigen IT-Infrastrukturen seien. Arbeiten sie auch über Jahre zuverlässig, so öffnen die immer engere Vernetzung und die Einbindung der Geräte in digitale Prozesse neue Einfallstore für Cyberkriminelle. Die wohl größte Bedrohung sieht er in einem Ausfall der IT-Infrastruktur. Wenn Ransomware Patientendaten verschlüsselt, kann der gesamte Krankenhausbetrieb lahmliegen. Im schlimmsten Fall müsste nach einem Angriff die komplette IT vorübergehend vom Netz. Doch Venjakob gibt in dem Interview zu bedenken: Auch falsch konfigurierte Geräte oder auch Mitarbeiter, die Zugang zu sensiblen Informationen haben, können eine Gefahr darstellen.

Es wird deutlich, dass es nicht nur technische Risiken sind, die die Informations- und Patientensicherheit gefährden. Genauso müssen organisatorische und verfahrenstechnische Risiken betrachtet werden. Informationssicherheit ist damit kein reines IT-Thema, sondern betrifft das gesamte Unternehmen und alle Unternehmensbereiche.

Schutz kritischer Infrastrukturen (KRITIS) im Gesundheitswesen

Um diesen Bedrohungen zu begegnen, verpflichtet das IT-Sicherheitsgesetz seit Juli 2015 Betreiber „kritischer Infrastrukturen“ (KRITIS) dazu, ihre für die Versorgung der Bevölkerung kritischen Prozesse nach dem Stand der Technik abzusichern und dieses gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geeignet nachzuweisen. Für erhebliche Sicherheitsvorfälle gilt eine Meldepflicht. So steht es im §8a BSI-Gesetz. Zu den sogenannten KRITIS gehören Kliniken mit mehr als 30.000 stationären Fällen pro Jahr, was derzeit nur 120 von 1.900 Kliniken entspricht. Sie müssen den Vollzug der KRITIS-Vorgaben bis Ende Juli 2019 nachweisen. Ein erster Erfahrungsbericht aus dem Katholischen Klinikum Lünen/Werne ist in der Zeitschrift KU Gesundheitsmanagement 8/2018 veröffentlicht worden.

Für die Prüfung nach §8a BSIG wird derzeit noch an einem allgemeinen Branchensicherheitsstandard (B3S) für Krankenhäuser gearbeitet. Doch sagen viele Experten, dass Kliniken nicht darauf warten, sondern sich an der ISO-27001-Norm orientieren sollen – und das unabhängig von der Einstufung als KRITIS! Angesichts der Anforderungen im Hinblick auf die Patientensicherheit und die Datenschutzgrundverordnung (EU-DSGVO) müssen alle Krankenhäuser in IT-Sicherheit investieren. Hohe Bußgelder und Reputationsschäden sind am Ende meist teurer.

IT-Grundschutz als Basis für Informationssicherheit

Eine gute Alternative zur Prüfung nach §8a BSIG ist die Orientierung am IT-Grundschutz des BSI. Er stellt die Basis für Informationssicherheit dar und ermöglicht es, durch ein systematisches Vorgehen notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Eines der wichtigsten Ziele des IT-Grundschutzes ist es auch, den Aufwand im Informationssicherheitsprozess zu reduzieren. Alle dafür notwendigen Informationen sind auf der Webseite des BSI frei zugänglich und können an die Anforderungen von Institutionen verschiedenster Art und Größe angepasst werden.

Die BSI-Standards liefern konkrete Anforderungen und bewährte Vorgehensweisen. So definiert der BSI-Standard 200-1 allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Der BSI-Standard 200-2 beinhaltet die IT-Grundschutz-Methodik und bietet konkrete Hilfestellungen, wie ein Managementsystem für die Informationssicherheit Schritt für Schritt eingeführt werden kann: Im Fokus stehen hier einzelne Phasen dieses Prozesses sowie bewährte Best-Practice-Lösungen. Je nach angestrebtem Sicherheitsniveau gibt es drei Vorgehensweisen: „Standard-Absicherung“, „Basis-Absicherung“ und „Kern-Absicherung“.

Bildquelle: Bundesamt für Sicherheit in der Informationstechnik
Bildquelle: Bundesamt für Sicherheit in der Informationstechnik

Die Methodik baut auf dem BSI-Standard 200-1 und auf der ISO-Norm 27001 auf. Alle risikobezogenen Arbeitsschritte wurden in dem BSI Standard 200-3 gebündelt. Hier geht es um die Erstellung einer Gefährdungsübersicht, Bewertung von Risiken und möglichen Risikobehandlungsoptionen. Ergänzend veröffentlicht das BSI im IT-Grundschutz-Kompendium Bausteine mit konkreten Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen, Systeme, Kommunikationsverbindungen und Räume, die nach Bedarf in der eigenen Institution eingesetzt werden können.

Die IT-Grundschutz-Vorgehensweise stellt zusammen mit den IT-Grundschutz-Katalogen und dessen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen De-Facto-Standard für IT-Sicherheit dar. Die Umsetzung können sich Unternehmen durch eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz vom BSI – oder von einem BSI-zertifizierten ISO 27001-Grundschutz-Auditor – bestätigen lassen.

Hilfreiche Links:

Handlungsempfehlungen zur Patienten- und Informationssicherheit

Informationen für KRITIS-Unternehmen

Informationen zum IT-Grundschutz des BSI

Weitere Informationen

Sandra Hanke

Über den Autor

Sandra Hanke ist bei NEXUS u.a. für das Marketing und die Unternehmenskommunikation der NEXUS / MARABU zuständig. Sie schreibt hier über die Themen Enterprise Content Management sowie Unternehmens- und Branchennews.

Informationssicherheit

Zurück