Neben erklärenden Einordnungen, Definitionen und systematischen Auflistungen beschreibt der B3S in mehr als 200 Einzelaspekten sowohl organisatorische als auch technische Anforderungen an die Informationssicherheit. Dabei adressieren MUSS-, SOLL- und KANN-Anforderungen – oftmals sehr praxisnah – die Schutzziele einer sicheren Patientenversorgung. Zahlreiche Krankenhäuser bedienen sich inzwischen dieser Definitionen und Festlegungen, um Maßnahmen im Bereich der Informationssicherheit zu initiieren und zu gestalten.
Nachdem der B3S zunächst im KRITIS-Umfeld – insbesondere als Prüfgrundlage für die verpflichtenden turnusmäßigen Audits gemäß § 8a IT-SiG – im Fokus stand, erhielt er im Weiteren auch im Rahmen des Patientendatenschutzgesetzes inhaltlichen Zuspruch. In § 75c Abs. 2 SGB V wird der B3S als konkrete Referenz aufgeführt, und es wird ausdrücklich erklärt, dass die Anwendung des B3S geeignet ist, um gemäß dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu ergreifen.
Auch ein solcher Standard bedarf einer turnusmäßigen Überprüfung, insbesondere wenn er als Grundlage dienen soll, um den „Stand der Technik“ abzubilden. Die bislang vorliegende Fassung wurde im vergangenen Jahr überarbeitet und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang Juli 2022 zur neuerlichen Eignungsfeststellungsprüfung vorgelegt. Inzwischen liegt eine mit dem BSI abgestimmte Fassung vor, für die am 10. Januar 2023 die Eignung nach § 8a Abs. 1 und Abs. 1a BSIG festgestellt worden ist.
Auf der Internetseite der Deutschen Krankenhausgesellschaft (www.dkgev.de) ist neben der Komplettausgabe des B3S in der Version 1.2, Stand 8. Dezember 2022, eine Mappingtabelle im Excelformat abrufbar, welche die Unterschiede zwischen der bisherigen und der neuen Fassung des B3S synoptisch darstellt.
Insgesamt zeigen die Anpassungen unterschiedliche Ausprägungen. Hierzu zählen neben formalen Anpassungen, sprachlichen Präzisierungen und thematischen Konsolidierungen auch inhaltliche Konkretisierungen sowie thematische Erweiterungen. Sowohl aus Sicht von Prüfern und Auditoren als auch aus Sicht der Anwender dürfte dabei zunächst gewöhnungsbedürftig sein, dass die Nummerierung der mehr als 200 Anforderungen nicht beibehalten wurde. Vielmehr wurden ergänzte Anforderungspunkte thematisch sinnvoll eingefügt und die Nummerierung wurde neu „durchgezählt“. Auch sind die bislang durch eine eigene Zählsystematik abgebildeten Anforderungen zum Themenfeld Risikomanagement nunmehr in die Nummernsystematik eingereiht (ANF-0187 ff.). Die wesentlichen inhaltlichen Änderungen lassen sich wie folgt im Überblick zusammenfassen:
- Leitlinie Informationssicherheit
Die Anforderungen an die Inhalte und Regelungen, die Bestandteil der Leitlinie sind, wurden konkretisiert. - Angriffserkennung
Die Anforderungen zwecks Vorbeugung von nicht autorisierten Aktivitäten und gefährlicher Software im Netzwerk – Stichwort Intrusion Detection/Prevention (ANF-0113 ff.) – wurden ebenfalls konkretisiert. - Protokollierung
Die Basis von Angriffserkennungsverfahren bilden Protokollierungen; daher wurden die Anforderungen an ein Protokollierungskonzept konkretisiert (ANF-0153). - Auswertung
Angriffserkennung schließt eine zielgerichtete Auswertung von Protokollierungsinformationen und -ereignissen voraus. Daher wurden Anforderungen an ein Auswertungskonzepts (ANF-0154) explizit mit aufgenommen. Hierbei sind Handhabungen zu anlassbezogenen und zu stichprobenartigen Auswertungen festzulegen. - Datensicherung
Die Anforderungen wurden in Bezug auf eine nachweisliche Prüfung auf Vollständigkeit und Wiederherstellbarkeit von Datensicherungen, die Entkopplung von Datensicherungen vom Quellsystem sowie die Ermittlung von Wiederherstellungszeiten zur Berücksichtigung im Rahmen der Notfallplanung ergänzt (ANF-135 ff.). - Datenträger
Die Anforderungen an die Löschung von Datenträgern durch externe Dienstleister (ANF-0165 ff.) wurden insbesondere dahingehend konkretisiert, dass eine Protokollierung der Abholung, der Ankunft beim Entsorger sowie der Zerstörung der Datenträger erfolgen muss. - Branchenspezifische Technik
Systeme mit Netzwerkanschluss der Kritikalitätsklasse 1 sind einzubeziehen.
Betrachtet man diese inhaltlichen Anpassungen des B3S, so wird schnell deutlich, dass Präventivmaßnahmen im Vordergrund stehen. Das Thema Angriffserkennung, das bei Produktherstellern und Dienstleistern viel Aufmerksamkeit erfährt, wird weiter vorangetrieben. Dies ist insofern nicht überraschend, als schon mit dem IT-Sicherheitsgesetz 2.0 der Einsatz von Systemen zur Angriffserkennung für KRITIS-Häuser ab Mai 2023 verpflichtend wird.
Praxis-Hinweis
Neben für die Praxis hilfreichen Ergänzungen und Konkretisierungen erfährt in der aktuellen Version des B3S das Thema Cybersecurity eine signifikante Aufwertung. Dies ist vor dem Hintergrund der auch öffentlich gewordenen Angriffe auf die IT-Infrastruktur des Gesundheitswesens in Deutschland von essenzieller Bedeutung. Für die KRITIS-Prüfungen nach § 8a BSIG des Jahres 2023 sollten Krankenhäuser daher auf die beschriebenen Konkretisierungen und auch auf die neuen Anforderungen thematisch vorbereitet sein.
