IT-Sicherheitsgesetz – zur Prüfung nach § 8a BSIG

In Ausgabe  3/2017 der  Solidaris  Information  hatten  wir die  Anforderungen  dargestellt,  die  der  Gesetzgeber  im Bereich der IT-Sicherheit an die Umsetzung des Stands der Technik stellt. Viele Krankenhausverantwortliche gehen  davon  aus,  dass  sie  bereits  den  geforderten  Stand der Technik umgesetzt haben. Diese Einschätzung bedarf allerdings, insbesondere vor dem Hintergrund der zeitlichen Umsetzungsfristen und der verpflichtenden Auditierung gemäß § 8a BSIG bis Ende Juni 2019, einer fundierten Analyse.

Zur Ermittlung des tatsächlichen Handlungsbedarfs ist es erforderlich, den IST-Zustand innerhalb der Kritischen Infrastruktur (KRITIS) zu erheben und dem geforderten Soll-Zustand gegenüberzustellen (GAP-Analyse). Dabei wird der Umfang durch die Prozesse innerhalb der kritischen Dienstleistungen (z. B. der stationären medizinischen Patientenversorgung) bestimmt. Im Rahmen dieser GAP-Analysen stellen wir regelmäßig fest, dass bereits geforderte organisatorische Maßnahmen wie die Bestellung eines
IT- Sicherheitsbeauftragten und die Schaffung einer geeigneten Organisationsstruktur für Informationssicherheit bislang kaum umgesetzt werden. Oft werden mit IT-Sicherheit ausschließlich technische Lösungen verbunden, so dass die Verantwortung fälschlicherweise allein in die Hände der IT-Abteilungen gelegt wird. Technik allein löst jedoch nicht die Sicherheitsprobleme, sondern sie muss immer in organisatorische Rahmenbedingungen eingebunden werden. Daher lautet eine grundlegende Forderung zum Stand der Technik, dass die oberste Leitung nachweislich die Führung und die Verpflichtung in Bezug auf das Informationssicherheitsmanagementsystem (ISMS) übernimmt.

Welche Maßnahmen hierfür konkret notwendig sind, ist den gängigen Rahmenwerken, Standards und Normen zu entnehmen, zum Beispiel den COBIT des internationalen Berufsverbandes der IT-Revisoren, IT-Sicherheitsmanager und IT-Governance-Experten (ISACA), dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und den ISO 27001. Diese Werke dienen u. a. auch den Prüfern, die die Einhaltung der Maßnahmen gemäß § 8a BSIG alle zwei Jahre – zuerst bis Ende Juni 2019 – beurteilen müssen, als Prüfungsrahmen. Sich unter strategischen Gesichtspunkten für eine Umsetzung dieser Werke zu entscheiden, erscheint nicht nur für die direkt betroffenen Krankenhäuser essentiell. Durch die Umsetzung der Rahmenwerke, Standards oder Normen wird ein Sicherheitsniveau  nach  dem Stand der Technik gewährleistet. Im Umkehrschluss bedeutet dies, dass Häuser, die sich nicht explizit für eine Implementierung entscheiden, dem Stand der Technik mit hoher Wahrscheinlichkeit hinterherhinken. Die Initiierung und Kontrolle der Umsetzung solcher Rahmenwerke ist daher im Verantwortungsbereich der Geschäftsführung und der Aufsichtsorgane anzusiedeln.

Dem BSI sind bis Ende Juni 2019 Nachweise über das angemessene Sicherheitsniveau einzureichen. Dabei sollte auch die Dauer der Prüfung einkalkuliert werden. Die voraussichtliche Prüfungsdauer ist stark abhängig von den organisatorischen Strukturen der Krankenhäuser. Das BSI geht von einem Prüfungsaufwand von 20 bis 40 Personentagen aus. Dies setzt eine Prüfung durch einen qualifizierten Prüfer voraus, der die attestierte Befähigung besitzt, Prüfungen gemäß § 8a BSIG durchzuführen.

Praxis-Hinweis
Unsere IT-Revisoren haben die Qualifikation der zusätzlichen Prüfverfahrens-Kompetenz für § 8a BSIG
erworben, die als Ergänzung zu den vorhandenen Sicherheits-, Audit- und Branchenkompetenzen zur
Durchführung der Prüfungen berechtigt und sind detailliert mit den Bedingungen und den verbundenen
Anforderungen vertraut. Ob bei der Feststellung des Handlungsbedarfs, durch Unterstützung bei der Umsetzung von Sicherheits-Bausteinen und Maßnahmen, Stellungnahmen zu Einzelsachverhalten oder
bei  der  Prüfung  zur  Erlangung  der  Nachweise  nach  § 8a BSIG– wir unterstützen Sie gern.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM)
Ingo Kreutz
+49 (0)2203 8997-217
 
Leitung IT-Revision
Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft
Schwerpunkte
  • Informationssicherheitsmanagement (ISMS)
  • IT-Systemprüfungen und Prozessanalysen
  • Begleitung von Softwaremigrationen