Beratung Aktuell
Mit dem im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz werden Betreiber kritischer Infrastrukturen (KRITIS) dazu verpflichtet, einen angemessenen IT- Schutz „gemäß dem aktuellen Stand der Technik“ zu implementieren. Welche Krankenhäuser unter die Regelungen des IT-Sicherheitsgesetzes fallen, wurde mit der ersten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV), die am 30. Juni 2017 in Kraft getreten ist, bekanntgegeben. Demnach wurde für Krankenhäuser ein Schwellenwert von 30.000 stationären Fällen pro Jahr festgelegt. Es ist davon auszugehen, dass zwischen 5 und 10 % der Krankenhausbetreiber hierunter fallen. Die Betreiber kritischer Infrastrukturen werden verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen. Bis zum 30. Juni 2019 mussten die Betreiber erstmals Prüfungsnachweise beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ein- reichen. Die Solidaris Revisions-GmbH als vom BSI anerkannte prüfende Stelle hat entsprechende Prüfungen mit Auditoren-Teams durchgeführt, die neben der Prüfverfah- renskompetenz nach § 8a BSIG auch Auditerfahrung und die erforderliche die Branchenkompetenz besitzen. Auf Basis unserer Erfahrung aus diesen Prüfungen beleuchten wir typische Fallstricke für die Kritis-Betreiber und stellen Best-Practice-Ansätze vor.
In den überwiegenden Fällen wurde seitens der Betreiber der „Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ (B3S) in der Version 1.0 vom 2. April 2019 als Prüfungsgrundlage gewählt. In einigen wenigen Fällen hatten sich die Betreiber bei der Vorbereitung auf die entsprechende Prüfung sowohl an den Anforderungen nach ISO/IEC 27001 als auch am B3S orientiert. Erschwerend kam auf der Zielgeraden hinzu, dass der B3S im Vergleich zu der im Dezember 2018 veröffentlichten Fassung (Version 0.86) signifikante Änderungen bei der Einstufung von „MUSS“- und „SOLL“-Kriterien erfahren hat. Auch wenn keine konkrete Verpflichtung zur Anwendung des B3S besteht, hat dies in vielen Fällen zu zusätzlichem Aufwand bei den Betreibern geführt.
Im Rahmen unserer Prüfungen zeigte sich, dass insbesondere die nicht-technischen Maßnahmen – hier insbesondere die Dokumentation – im Hinblick auf die Vorbereitung der Prüfung angepasst bzw. entwickelt werden mussten. Wir konnten in diesem Zusammenhang bereits im Rahmen früherer GAP-Analysen feststellen, dass die Informationstechnik sowie zu ergreifende Sicherheitsmaßnahmen (Firewall, Antivirenlösungen etc.) vielfach den Anforderungen entsprechen. Eine Herausforderung stellt jedoch oftmals das interdisziplinäre Zusammenwirken der verschiedenen Berufsgruppen von der IT über die Medizintechnik bis hin zur Pflege und Ärzteschaft im Kontext der Informationssicherheit dar. Insofern war es auch wenig überraschend, dass insbesondere die den Geltungsbereich „stationäre medizinische Versorgung“ betreffenden kritischen Systeme nicht in allen Fällen durch Notfallpläne bzw. Notbetriebsbeschreibungen für geplante und ungeplante Ausfälle abgesichert waren. In den Schnittstellen zwischen der IT und den jeweiligen Fachbereichen offenbarten sich im Rahmen unserer Prüfungen die häufigsten Mängel und Kommunikationsprobleme.
Der vorliegende B3S legt mit insgesamt 37 Anforderungen zum Risikomanagement unter anderem einen Schwerpunkt auf eine ganzheitliche, koordinierte Betrachtung der Risiken. Dabei müssen alle Informationswerte, die innerhalb des B3S-Geltungsbereichs genutzt werden und eine Auswirkung auf Funktionsfähigkeit der Systeme und somit die Informationssicherheit haben könnten, berücksichtigt wer- den. Im Rahmen der Prüfungen zeigte sich, dass insbesondere die ganzheitliche Betrachtung von medizinischen, betriebswirtschaftlichen und Informationssicherheits-Risiken oftmals noch nicht geben war. Entscheidend ist vor diesem Hintergrund, dass zumindest ein einheitlicher Bewertungsmaßstab gewählt wurde, um eine Vergleichbarkeit der Ergebnisse dieser drei unterschiedlichen Risikomanagementsysteme zu gewährleisten.
Um eine nachhaltige Verbesserung des Informationssicherheitsniveaus innerhalb der Krankenhäuser zu erreichen, bedarf es eines kontinuierlichen Verbesserungsprozesses.
Top 5 unserer Prüfungsfeststellungen
- Die interdisziplinäre Zusammenarbeit im Kontext der Informationssicherheit ist verbesserungswürdig.
- Notfallpläne und Notbetriebsbeschreibungen für geplante und ungeplante Ausfälle kritischer Systeme konnten oftmals nicht vollständig vorgelegt werden.
- Flächendeckende Notfallübungen die kritischen Systeme betreffend wurden oftmals nicht durch- geführt.
- Das ISMS-Risikomanagement ist oftmals nicht in ein bestehendes Risikomanagement integriert.
- Die vorgeschriebene Dokumentation wird oftmals vernachlässigt.
Im Rahmen unserer Prüfungen zeigte sich, dass insbesondere diejenigen Betreiber, die den aktuellen Umsetzungsstand der Maßnahmen des B3S mittels eines Reifegradmodells abgebildet haben, im Hinblick auf die Dokumentationsanforderungen sehr gute Ergebnisse erzielten.
Praxis-Hinweis
Zusammenfassend kann festgehalten werden, dass die Umsetzung der Anforderungen „gemäß dem aktuellen Stand der Technik“ nach dem IT-Sicherheitsgesetz den entsprechenden Betreibern zu einem deutlichen „Schub“ verholfen hat. Es bleibt abzuwarten, inwieweit sich diese Entwicklung künftig verstetigt und ob sie bei allen Beteiligten zu einer höheren Sensibilisierung für die Thematik führt. Gerne unterstützen wir Sie bei der Vorbereitung auf eine entsprechende Prüfung nach § 8a BSIG oder führen diese bei Ihnen durch. In der Funktion eines Informationssicherheitsbeauftragten in Ihrem Unternehmen sind wir gern behilflich bei der Umsetzung der Anforderungen des Branchenstandards (B3S).
