IT-Sicherheitsgesetz 2.0
Vor vier Jahren ist das IT-Sicherheitsgesetz in Kraft getreten. Es sollte eine entscheidende Verbesserung der IT-Sicherheit in Organisationen und Einrichtungen bewirken, deren Funktionsfähigkeit von wesentlicher Bedeutung für das staatliche Gemeinwesen ist. Die Betreiber sogenannter „kritischer Infrastrukturen“ (KRITIS) – z. B. Krankenhäuser mit über 30.000 vollstationären Fällen im Jahr – müssen ein Mindestniveau an IT-Sicherheit einhalten. Ende März diesen Jahres hat das Bundesministerium des Innern, für Bau und Heimat (BMI) den Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – ITSiG 2.0) vorgelegt. Dieser befindet sich noch in der Ressortabstimmung. Gleichwohl lässt sich bereits in diesem frühen Stadium erkennen, dass es wahrscheinlich zu einer deutlichen Verschärfung der Anforderungen kommen wird.
Der Entwurf des ITSiG 2.0 enthält wesentliche Änderungen für KRITIS-Betreiber und Hersteller, um die wesentlichen Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) zu gewährleisten:
- Der Kreis der Betreiber kritischer Infrastrukturen soll erweitert werden. So soll der Sektor Abfallwirtschaft (Entsorgung von Siedlungsabfällen) mit in den Kreis der KRITIS aufgenommen werden. Darüber hinaus sollen Infrastrukturen im besonderen öffentlichen Interesse (Rüs-tungsindustrie, Kultur und Medien, Unternehmen von erheblicher volkswirtschaftlicher Bedeutung) genauso wie kritische Infrastrukturen behandelt werden.
- Die Meldepflicht bei erheblichen Störungen oder Ausfällen der IT-Systeme soll durch das ITSiG 2.0 über den Kreis der KRITIS-Betreiber hinaus ausgeweitet werden. So sollen Hersteller von Produkten, die als KRITIS-Kernkomponenten gelten, verpflichtet werden, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Sicherheitslücken zu melden. KRITIS-Kernkomponenten im Sektor Gesundheit sind gemäß dem Entwurf „IT-Produkte, die zum Betrieb eines Krankenhausinformationssystems, zum Betrieb von Anlagen oder Systemen zum Vertrieb von verschreibungspflichtigen Arzneimitteln sowie zum Betrieb eines Laborinformationssystems“ benötigt werden.
- Es ist die Einführung eines (freiwilligen) IT-Sicherheitskennzeichens vorgesehen, das die IT-Sicherheit von Produkten sichtbar machen soll. Das Sicherheitskennzeichen besteht aus einer Erklärung, in welcher der Hersteller das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produktes erklärt, und aus BSI-Sicherheitsinformationen über Sicherheitslücken oder sonstige sicherheitsrelevante Informationen. Die Kennzeichnung soll laut der Entwurfsbegründung mittels eines QR-Code auf dem Produkt erfolgen.
- Die bei Verstößen vorgesehenen Geldbußen sollen erhöht werden, und zwar auf bis zu 20 Mio. Euro oder bis zu 4 Prozent des gesamten weltweit erzielten jährlichen Umsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist. Damit würde der Strafrahmen an die bereits in der Datenschutz-Grundverordnung festgelegten Geldbußen angeglichen.
Von besonderem Interesse könnte die geplante Verpflichtung der Hersteller von KRITIS-Komponenten sein, eine sogenannte „Vertrauenswürdigkeitserklärung“ abzugeben. Diese soll sicherstellen, dass der Hersteller selbst dazu in der Lage ist, die gesetzlich geforderten Bestimmungen zur Vermeidung von Störungen der Schutzziele der informationstechnischen Systeme einzuhalten. Hierzu zählt insbe-sondere, eine adäquate Produktpflege in Form zeitnaher Updates sicherstellen zu können. Letzteres stellt heute regelmäßig große Anforderungen an die KRITIS-Betreiber, wenn veraltete Komponenten aufwendig mittels Segmentierung der Netze isoliert werden müssen.Wir gehen davon aus, dass der vorliegende Entwurf im fortlaufenden Gesetzgebungsverfahren noch die eine oder andere Veränderung erfahren wird. Gleichwohl gibt er einen ersten Ausblick darauf, was die KRITIS-Betreiber und Hersteller von KRITIS-Komponenten künftig erwarten könnte.
IT-Sicherheitsgesetz: KRITIS Krankenhaus
Durch das im Jahr 2015 in Kraft getretene IT-Sicherheitsgesetz werden Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) dazu verpflichtet, einen angemessenen IT-Schutz „gemäß dem aktuellen Stand der Technik“ zu implementieren. Als Kritische Infrastrukturen werden Organisationen oder Einrichtungen bezeichnet, deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Konsequenzen zur Folge haben würde. Neben Energieversorgern und Telekommunikationsanbietern zählt unter anderem auch der Sektor Gesundheit (medizinische Versorgung, Versorgung mit Arzneimitteln und Medizinprodukten) zu den KRITIS. Ziel ist es, trotz wachsender Bedrohungen (z. B. durch Cyber-Angriffe) größere Ausfälle der Versorgungssicherheit zu vermeiden.
Am 30. Juni 2017 trat die „Erste Verordnung zur Änderung der BSI-Kritisverordnung“ in Kraft. Sie beinhaltet unter anderem die Vorgaben des Gesetzgebers im Hinblick auf den Gesundheitssektor. Demnach werden alle Krankenhäuser (medizinische Versorgung) mit mehr als 30.000 stationären Fällen pro Jahr als KRITIS eingestuft und fallen unter die Vorschriften des IT-Sicherheitsgesetzes. Ein Krankenhaus im Sinne der Verordnung ist ein Standort oder eine Betriebsstätte eines nach § 108 SGB V zugelassenen Krankenhauses, der oder die für die Erbringung stationärer Versorgungsleistungen notwendig ist.
KRITIS: Anforderungen für Betreiber kritischer Infrastrukturen
Die Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. In diesem Zusammenhang hat der Branchenarbeitskreis Medizinische Versorgung (BAK MV) der Initiative Umsetzungsplan KRITIS (UP KRITIS) Ende Mai 2017 konkrete Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken veröffentlicht. Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. Zu seinen Aufgaben zählt unter anderem die Entwicklung branchenspezifischer Sicherheitsstandards für die einzelnen Sektoren. Zu den seitens des BAK MV entwickelten Anforderungen gehören unter anderem:
- die Einführung einer geeigneten Organisationsstruktur, um den besonderen Anforderungen der IT-Sicherheit begegnen zu können,
- die Identifikation aller kritischen Patientenversorgungsprozesse der stationären Versorgung,
- die Einführung eines Informationssicherheit-Management-Systems (ISMS) nach dem Stand der Technik,
- die Einbindung des IT-Risikomanagements für die identifizierten kritischen Prozesse in das Unternehmensrisikomanagement,
- die Einführung eines Business Continuity Managements (zumindest für die kritischen Patientenversorgungsprozesse) sowie
- die Etablierung eines Meldeverfahrens/Meldestelle für die Meldung von relevanten Vorfällen an die Datenschutzaufsichtsbehörden und an die Meldestelle des BSI.
Diese Anforderungen müssen von den KRITIS-Betreibern (d. h. auch von Krankenhäusern mit jährlich mehr als 30.000 stationären Fällen) innerhalb von zwei Jahren, also bis Juni 2019, umgesetzt und geprüft werden. Die Auditierung der ergriffenen Maßnahmen erfolgt nach § 8a BSI-Gesetz und muss ebenfalls bis Juni 2019 abgeschlossen worden sein.
B3S KRANKENKAUS: Brancheneinheitlicher Sicherheitsstandard (B3S) für den Sektor Gesundheit
Am 18. Dezember 2018 wurde ein erster Entwurf eines branchenspezifischen Sicherheitsstandards (B3S) für den Sektor Gesundheit seitens der Deutschen Krankenhaus Gesellschaft (DKG) sowie des UP KRITIS zur Verfügung gestellt. Eine Aktualisierung erfolgte Anfang April 2019 mit der Version 1.0. Somit konnten sich die betroffenen Betreiber kritischer Infrastrukturen des Sektors Gesundheit (medizinische Versorgung, Arzneimittel und Impfstoffe sowie Labore) mit den Anforderungen befassen, während das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Eignung des B3S prüft und abschließend feststellt.
Die Grundlage für eine Prüfung nach § 8a BSIG wurde seitens des Gesetzgebers sowie des BSI nicht explizit festgelegt. Die Betreiber kritischer Infrastrukturen haben folglich die Wahl zwischen einem branchenspezifischen Sicherheitsstandard (B3S), der Orientierungshilfe B3S (OH B3S) sowie verschiedenen Mischformen. Es empfiehlt sich, frühzeitig eine Festlegung der Prüfungsgrundlage zu treffen und mit der prüfenden Stelle, welche die Prüfung nach § 8a BSIG durchführen soll, im Vorfeld abzustimmen. Dabei ist es sinnvoll, der Anwendung des B3S den Vorzug zu geben, da es sich hierbei um ein von den Verbänden der Branche Gesundheit erarbeitetes Dokument handelt, das branchentypische Sicherheitsaspekte zusammenfasst und Nachweise nach § 8a Abs. 1 BSIG erleichtern soll.
Der Entwurf orientiert sich wesentlich an der in der Praxis etablierten internationalen Norm ISO 27001, dem Stand der Technik sowie darüberhinausgehenden branchenspezifischen Anforderungen der Norm ISO 27799. Dabei wird explizit darauf hingewiesen, dass eine Zertifizierung nach ISO 27001 für den Nachweis der notwendigen Maßnahmen nicht erforderlich ist. Wie bereits nach den Empfehlungen des Branchenarbeitskreises „Medizinische Versorgung“ zur Verbesserung der Informationssicherheit an Kliniken zu erwarten war, liegen die Schwerpunkte des B3S auf der Umsetzung einer geeigneten Organisationsstruktur, der Implementierung eines Information Security Management Systems (ISMS) sowie dem Aufbau eines IT-Risikomanagementsystems. Darüber hinaus werden die Etablierung eines Meldeverfahrens sowie die Einführung eines Business Continuity Managements gefordert. Insgesamt werden 168 Maßnahmen zur Umsetzung der Anforderungen des B3S sowie 37 Management-Anforderungen für die Implementierung eines Informations-Risikomanagements aufgezeigt. Diese lassen sich wie folgt klassifizieren:
- „MUSS“: Die Einhaltung der Anforderung ist zwingend für die Umsetzung des B3S.
- „SOLL“: Die Einhaltung der Anforderung wird empfohlen, ist jedoch nicht zwingend für die Umsetzung des B3S, sofern hierdurch die Informationssicherheit nicht gefährdet wird. Die Nicht-Umsetzung ist nachvollziehbar zu begründen.
- „KANN“: Die Einhaltung der Anforderungen wird empfohlen, ist jedoch nicht zwingend für die Umsetzung des B3S erforderlich.
Hilfreich sind in diesem Zusammenhang die Ausführungen in der Orientierungshilfe zu Nachweisen gemäß § 8a Abs. 3 BSIG des BSI (Tz. 5.5). Hier wird nochmals darauf hingewiesen, dass eine komplette Prüfung des gesamten Informationsverbundes in der Regel nicht mit wirtschaftlich vertretbarem Aufwand möglich ist. Insofern muss im Rahmen einer Prüfung nach § 8a BSIG ein angemessener Umfang in Verbindung mit einer angemessenen Stichprobenauswahl im Prüfplan festlegt werden. Finden zumindest alle kritischen Prozesse in jeder Prüfung ihre Berücksichtigung, so ist eine Aufteilung der Prüfung nach § 8a BSIG auf mehrere Prüfungszyklen denkbar und im Sinne des BSI.
IT-Sicherheitsgesetz – zur Prüfung nach § 8a BSIG
Zur Ermittlung des tatsächlichen Handlungsbedarfs ist es erforderlich, den IST-Zustand innerhalb der Kritischen Infrastruktur (KRITIS) zu erheben und dem geforderten Soll-Zustand gegenüberzustellen (GAP-Analyse). Dabei wird der Umfang durch die Prozesse innerhalb der kritischen Dienstleistungen (z. B. der stationären medizinischen Patientenversorgung) bestimmt. Im Rahmen dieser GAP-Analysen stellen wir regelmäßig fest, dass bereits geforderte organisatorische Maßnahmen wie die Bestellung eines IT- Sicherheitsbeauftragten und die Schaffung einer geeigneten Organisationsstruktur für Informationssicherheit bislang kaum umgesetzt werden.
Oft werden mit IT-Sicherheit ausschließlich technische Lösungen verbunden, so dass die Verantwortung fälschlicherweise allein in die Hände der IT-Abteilungen gelegt wird. Technik allein löst jedoch nicht die Sicherheitsprobleme, sondern sie muss immer in organisatorische Rahmenbedingungen eingebunden werden. Daher lautet eine grundlegende Forderung zum Stand der Technik, dass die oberste Leitung nachweislich die Führung und die Verpflichtung in Bezug auf das Informationssicherheitsmanagementsystem (ISMS) übernimmt.
Welche Maßnahmen hierfür konkret notwendig sind, ist den gängigen Rahmenwerken, Standards und Normen zu entnehmen, zum Beispiel den COBIT des internationalen Berufsverbandes der IT-Revisoren, IT-Sicherheitsmanager und IT-Governance-Experten (ISACA), dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und den ISO 27001. Diese Werke dienen u. a. auch den Prüfern, die die Einhaltung der Maßnahmen gemäß § 8a BSIG alle zwei Jahre beurteilen müssen, als Prüfungsrahmen. Sich unter strategischen Gesichtspunkten für eine Umsetzung dieser Werke zu entscheiden, erscheint nicht nur für die direkt betroffenen Krankenhäuser essentiell. Durch die Umsetzung der Rahmenwerke, Standards oder Normen wird ein Sicherheitsniveau nach dem Stand der Technik gewährleistet. Im Umkehrschluss bedeutet dies, dass Häuser, die sich nicht explizit für eine Implementierung entscheiden, dem Stand der Technik mit hoher Wahrscheinlichkeit hinterherhinken. Die Initiierung und Kontrolle der Umsetzung solcher Rahmenwerke ist daher im Verantwortungsbereich der Geschäftsführung und der Aufsichtsorgane anzusiedeln.
Dem BSI waren bis Ende Juni 2019 Nachweise über das angemessene Sicherheitsniveau einzureichen. Dabei sollte auch die Dauer der Prüfung einkalkuliert werden. Die voraussichtliche Prüfungsdauer ist stark abhängig von den organisatorischen Strukturen der Krankenhäuser. Das BSI geht von einem Prüfungsaufwand von 20 bis 40 Personentagen aus. Dies setzt eine Prüfung durch einen qualifizierten Prüfer voraus, der die attestierte Befähigung besitzt, Prüfungen gemäß § 8a BSIG durchzuführen.
Solidaris als „Prüfende Stelle“ im Sinne des BSIG
Die Solidaris erfüllt die Voraussetzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und kann als sogenannte „Prüfende Stelle“ Betreiber Kritischer Infrastrukturen (KRITIS) im Gesundheitswesen nach § 8a BSIG prüfen. Durchgeführt werden entsprechende Prüfungen durch erfahrene Prüferteams mit der entsprechenden Prüfverfahrenskompetenz nach § 8a Abs. 3 BSIG.
KRITIS-Betreiber sind nach § 8a Abs. 1 BSIG dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen. Die Betreiber Kritischer Infrastrukturen müssen mindestens alle zwei Jahre die Erfüllung der zuvor genannten Anforderungen auf „geeignete Weise“ nachweisen. Als Prüfungsgrundlage können herangezogen werden:
- Die Orientierungshilfe zu branchenspezifischen Sicherheitsstandards (B3S) nach § 8a Abs. 2 BSIG,
- andere B3S gemäß 8a Abs. 2 BSIG, deren Eignung festgestellt wurde, oder
- einschlägige Standards wie zum Beispiel Zertifizierungsschemata nach ISO 27001.
Bei der Auswahl der Prüfungsgrundlage ist einem branchenspezifischen Sicherheitsstandard für den Sektor Gesundheit nach Eignungsfeststellung durch das BSI der Vorzug zu geben. Aktuell befindet sich ein B3S für den Sektor Gesundheit noch im Abstimmungsprozess. Wird ein anderes Prüfverfahren zum Nachweis der Erfüllung der Anforderungen herangezogen, so ist der Beschreibung des Prüfungsumfangs (Scope) noch mehr als bisher Bedeutung beizumessen. Wird der Umfang der Prüfung zu gering bemessen, so besteht die Gefahr, dass wesentliche informationstechnische Systeme, Komponenten und Prozesse außer Acht gelassen werden. Infolgedessen können Sicherheitsmängel zu einem akuten Handlungsbedarf führen und gegebenenfalls Geldbußen nach sich ziehen.
Wird der Scope zu weit gefasst, so kann ein erhöhter Aufwand für die Vorbereitung der Prüfung die Folge sein. Dies sollte, insbesondere vor dem Hintergrund der Vielzahl der umzusetzenden Maßnahmen, verhindert werden. Andernfalls besteht das Risiko, dass die Prüfung und somit die Prüfungsergebnisse nicht rechtzeitig beim BSI eingereicht werden können. Wir empfehlen, den Scope im Vorfeld der Prüfung zwischen KRITIS-Betreiber und prüfender Stelle zu klären, damit sich beide Seiten auf den zu erwartenden Aufwand einstellen können. Die Eignung des Scopes ist stets Gegenstand der Prüfung nach § 8a Abs. 3 BSIG und muss von der prüfenden Stelle gegenüber dem BSI bestätigt werden.
Der KRITIS-Betreiber beauftragt eine prüfende Stelle mit der Prüfung der Erfüllung der Anforderungen nach § 8a Abs. 1 BSIG. Die prüfende Stelle wiederum benennt ein Prüferteam mit Prüfverfahrenskompetenz nach § 8a Abs. 3 BSIG. Die Ergebnisse der Prüfung werden durch die prüfende Stelle an den KRITIS-Betreiber weitergeleitet. Die Kommunikation über die Prüfung und deren Ergebnisse erfolgt dabei im Regelfall nur zwischen dem KRITIS-Betreiber und dem BSI.
Nicht selten erleben wir in der Praxis, dass Teilbereiche oder Prozesse auf Dritte ausgelagert werden. Der Betreiber einer Kritischen Infrastruktur ist für die Umsetzung des § 8a BSIG in seinem Unternehmen verantwortlich. Somit muss er auch in den Fällen die Erfüllung der entsprechenden Anforderungen sicherstellen, in denen er die Leistung auf einen Dienstleister ausgelagert hat. In diesen Fällen empfiehlt es sich, frühzeitig die Umsetzungsverpflichtungen in die vertraglichen Vereinbarungen mit dem externen Dienstleister aufzunehmen und deren Einhaltung regelmäßig zu kontrollieren.
§-8a-BSIG-Prüfungen der KRITIS-Betreiber – Lessons Learned
Mit dem IT-Sicherheitsgesetz werden Betreiber kritischer Infrastrukturen (KRITIS) dazu verpflichtet, einen angemessenen IT- Schutz „gemäß dem aktuellen Stand der Technik“ zu implementieren. Welche Krankenhäuser unter die Regelungen des IT-Sicherheitsgesetzes fallen, wurde mit der ersten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) bekanntgegeben. Demnach wurde für Krankenhäuser ein Schwellenwert von 30.000 stationären Fällen pro Jahr festgelegt. Es ist davon auszugehen, dass zwischen 5 und 10 % der Krankenhausbetreiber hierunter fallen. Die Betreiber kritischer Infrastrukturen werden verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen. Bis zum 30. Juni 2019 mussten die Betreiber erstmals Prüfungsnachweise beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einreichen. Die Solidaris Revisions-GmbH als vom BSI anerkannte prüfende Stelle hat entsprechende Prüfungen mit Auditoren-Teams durchgeführt, die neben der Prüfverfahrenskompetenz nach § 8a BSIG auch Auditerfahrung und die erforderliche die Branchenkompetenz besitzen. Auf Basis unserer Erfahrung aus diesen Prüfungen beleuchten wir typische Fallstricke für die Kritis-Betreiber und stellen Best-Practice-Ansätze vor.
In den überwiegenden Fällen wurde seitens der Betreiber der „Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ (B3S) in der Version 1.0 vom 2. April 2019 als Prüfungsgrundlage gewählt. In einigen wenigen Fällen hatten sich die Betreiber bei der Vorbereitung auf die entsprechende Prüfung sowohl an den Anforderungen nach ISO/IEC 27001 als auch am B3S orientiert. Erschwerend kam auf der Zielgeraden hinzu, dass der B3S im Vergleich zu der im Dezember 2018 veröffentlichten Fassung (Version 0.86) signifikante Änderungen bei der Einstufung von „MUSS“- und „SOLL“-Kriterien erfahren hat. Auch wenn keine konkrete Verpflichtung zur Anwendung des B3S besteht, hat dies in vielen Fällen zu zusätzlichem Aufwand bei den Betreibern geführt.
Im Rahmen unserer Prüfungen zeigte sich, dass insbesondere die nicht-technischen Maßnahmen – hier insbesondere die Dokumentation – im Hinblick auf die Vorbereitung der Prüfung angepasst bzw. entwickelt werden mussten. Wir konnten in diesem Zusammenhang bereits im Rahmen früherer GAP-Analysen feststellen, dass die Informationstechnik sowie zu ergreifende Sicherheitsmaßnahmen (Firewall, Antivirenlösungen etc.) vielfach den Anforderungen entsprechen. Eine Herausforderung stellt jedoch oftmals das interdisziplinäre Zusammenwirken der verschiedenen Berufsgruppen von der IT über die Medizintechnik bis hin zur Pflege und Ärzteschaft im Kontext der Informationssicherheit dar. Insofern war es auch wenig überraschend, dass insbesondere die den Geltungsbereich „stationäre medizinische Versorgung“ betreffenden kritischen Systeme nicht in allen Fällen durch Notfallpläne bzw. Notbetriebsbeschreibungen für geplante und ungeplante Ausfälle abgesichert waren. In den Schnittstellen zwischen der IT und den jeweiligen Fachbereichen offenbarten sich im Rahmen unserer Prüfungen die häufigsten Mängel und Kommunikationsprobleme.
Der vorliegende B3S legt mit insgesamt 37 Anforderungen zum Risikomanagement unter anderem einen Schwerpunkt auf eine ganzheitliche, koordinierte Betrachtung der Risiken. Dabei müssen alle Informationswerte, die innerhalb des B3S-Geltungsbereichs genutzt werden und eine Auswirkung auf Funktionsfähigkeit der Systeme und somit die Informationssicherheit haben könnten, berücksichtigt werden. Im Rahmen der Prüfungen zeigte sich, dass insbesondere die ganzheitliche Betrachtung von medizinischen, betriebswirtschaftlichen und Informationssicherheits-Risiken oftmals noch nicht geben war. Entscheidend ist vor diesem Hintergrund, dass zumindest ein einheitlicher Bewertungsmaßstab gewählt wurde, um eine Vergleichbarkeit der Ergebnisse dieser drei unterschiedlichen Risikomanagementsysteme zu gewährleisten.
Um eine nachhaltige Verbesserung des Informationssicherheitsniveaus innerhalb der Krankenhäuser zu erreichen, bedarf es eines kontinuierlichen Verbesserungsprozesses.
Top 5 unserer Prüfungsfeststellungen:
- Die interdisziplinäre Zusammenarbeit im Kontext der Informationssicherheit ist verbesserungswürdig.
- Notfallpläne und Notbetriebsbeschreibungen für geplante und ungeplante Ausfälle kritischer Systeme konnten oftmals nicht vollständig vorgelegt werden.
- Flächendeckende Notfallübungen die kritischen Systeme betreffend wurden oftmals nicht durch- geführt.
- Das ISMS-Risikomanagement ist oftmals nicht in ein bestehendes Risikomanagement integriert.
- Die vorgeschriebene Dokumentation wird oftmals vernachlässigt.
Im Rahmen unserer Prüfungen zeigte sich, dass insbesondere diejenigen Betreiber, die den aktuellen Umsetzungsstand der Maßnahmen des B3S mittels eines Reifegradmodells abgebildet haben, im Hinblick auf die Dokumentationsanforderungen sehr gute Ergebnisse erzielten.
IT-Sicherheitsgesetz: Praxis-Hinweis
Zusammenfassend kann festgehalten werden, dass die Umsetzung der Anforderungen „gemäß dem aktuellen Stand der Technik“ nach dem IT-Sicherheitsgesetz den entsprechenden Betreibern zu einem deutlichen „Schub“ verholfen hat. Es bleibt abzuwarten, inwieweit sich diese Entwicklung künftig verstetigt und ob sie bei allen Beteiligten zu einer höheren Sensibilisierung für die Thematik führt. Gerne unterstützen wir Sie bei der Vorbereitung auf eine entsprechende Prüfung nach § 8a BSIG oder führen diese bei Ihnen durch. In der Funktion eines Informationssicherheitsbeauftragten in Ihrem Unternehmen sind wir gern behilflich bei der Umsetzung der Anforderungen des Branchenstandards (B3S).