Informationssicherheit im Krankenhaus: Gut gemanagt ist halb gewonnen
Zunehmende Digitalisierung bedeutet auch zunehmende Gefahren, auf die es sich einzustellen gilt. Wer hat noch keine E-Mails bekommen, in denen ein verwaister Prinz um Hilfe bittet, seine Millionen außer Landes zu schaffen. Oder es kommt mal wieder eine täuschend echt wirkende E-Mail eines großen Versandhauses, die dazu aufruft, die eigenen Daten inklusive Zahlungsinformationen zu „überprüfen“.
Spam-E-Mails, Phishing, Viren, Würmer, Krypto-Trojaner und andere Malware, Social Engineering, Botnetze, Zero-Day-Exploits, Distributed Denial of Service (DDoS) – die Möglichkeiten, Unwesen zu treiben, scheinen unbegrenzt. Dass sich Unternehmen auf Cyber-Attacken einstellen müssen, steht außer Frage. Dass Krankenhäuser und andere Einrichtungen des Gesundheitswesens keine Ausnahme bilden, ist ebenfalls selbstverständlich – eine Studie der Roland Berger Unternehmensberatung ergab 2017, dass 64% der Krankenhäuser in Deutschland bereits Ziel derartiger Angriffe wurden.
DIE RECHTSGRUNDLAGEN: IT-SICHERHEITSGESETZ UND KRITIS-VERORDNUNG
Ab einer bestimmten Größe zählen Einrichtungen des Gesundheitssystems zu den Kritischen Infrastrukturen (KRITIS) – sie sind in besonderem Maße dazu verpflichtet, die Verfügbarkeit ihrer Dienste sicherzustellen. Ohne informationstechnische Systeme ist unsere Gesundheitsversorgung kaum noch denkbar. Ein Ausfall dieser teils hochgradig komplexen IT-Landschaften kann sogar im wahrsten Sinne des Wortes Leben kosten. Mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, verfolgt die Bundesregierung das Ziel, die Sicherheit digitaler Infrastrukturen zu erhöhen. Dessen Regelungen gelten mit der ersten Änderungsverordnung der BSI-KritisV (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) vom 21. Juni 2017 auch für Kritische Infrastrukturen im Gesundheitswesen.
Doch was bedeutet das genau? Gemäß dem IT-Sicherheitsgesetz müssen Betreiber Kritischer Infrastrukturen
- eine Kontaktstelle benennen,
- IT-Störungen melden,
- den „Stand der Technik“ umsetzen und
- dies alle zwei Jahre gegenüber dem BSI nachweisen.
Eine besondere Herausforderung birgt in diesem Zusammenhang die Umsetzung technisch-organisatorischer Maßnahmen, um die entsprechenden Systeme gemäß dem Stand der Technik abzusichern und dies auch nachzuweisen. Das Gesetz sieht hierfür eine Zweijahresfrist ab Inkrafttreten der Rechtsverordnung vor; für die im Gesundheitssektor betroffenen Organisationen heißt der Stichtag 30. Juni 2019, da die entsprechende Änderungsverordnung der BSI-KritisV seit dem 30.06.2017 gilt.
Die im Gesetz abstrakt formulierte Anforderung („Stand der Technik“) kann innerhalb der betroffenen Branchen durch die Erarbeitung eines branchenspezifischen Sicherheitsstandards (B3S) konkretisiert werden. Derzeit prüft das BSI den von der Deutschen Krankenhausgesellschaft (DKG e.V.) eingereichten B3S für die Gesundheitsversorgung im Krankenhaus.
DIE BASIS: EIN INFORMATIONSSICHERHEITSMANAGEMENT-SYSTEM (ISMS)
Damit sind natürlich noch keine Maßnahmen umgesetzt. Doch wie sagt man so schön: Ordnung ist das halbe Leben. Ein erster – und elementarer – Schritt zur systematischen Gewährleistung der Informationssicherheit ist die Implementierung eines Managementsystems, anhand dessen einzelne Prozesse und Maßnahmen nachgehalten und nachgewiesen werden können. Die gesetzlich verankerten Schutzziele Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Informationen lassen sich nur durch ein organisatorisch verankertes Sicherheitsmanagement realisieren. Auch der Sicherheitsstandard für die Gesundheitsversorgung basiert auf ISO/IEC 27001, in der die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS normiert sind.
VORHANDENE STRUKTUREN NUTZEN
In den meisten Fällen muss für den Aufbau eines Informationssicherheitsmanagement-Systems nicht bei null gestartet werden, da die erforderlichen Strukturen in anderen Bereichen, etwa im Qualitäts- oder Risikomanagement, bereits vorhanden sind. Diese auch für den Bereich der Informationssicherheit zu nutzen, spart nicht nur Ressourcen. Es sorgt auch dafür, dass keine unnötigen Redundanzen entstehen.
Ein Brückenschlag in Richtung Risikomanagement ist ohnehin empfehlenswert, da nur auf diese Weise die vom BSI geforderte Angemessenheit der technisch-organisatorischen Maßnahmen sichergestellt werden kann. Denn nur wer weiß, welche Schadensfälle wie wahrscheinlich auftreten und mit welcher Schadenshöhe gegebenenfalls zu rechnen ist, kann das erforderliche Schutzniveau definieren – natürlich immer entlang einschlägiger gesetzlicher Bestimmungen. In diesem Sinne schlägt auch der seitens der DKG eingebrachte branchenspezifische Sicherheitsstandard (B3S) ein Standard-Risikomanagement-Prozessmodell vor und konkretisiert die Anwendung für den Bereich der Informationssicherheit.
INFORMATIONSSICHERHEIT BETRIFFT AUCH NICHT-KRITIS-BETREIBER
Auch wenn das IT-Sicherheitsgesetz in erster Linie auf die Betreiber Kritischer Infrastrukturen rekurriert: Informationssicherheit ist ein Thema, das alle betrifft. Auch kleinere Häuser können durch Ausfälle ihrer IT-Infrastruktur mitunter große finanzielle Verluste erleiden. Und auch hier sind die IT-Systeme so eng mit der Patientensicherheit verwoben, dass Investitionen in die Erhöhung der IT-Sicherheit definitiv keine Einbahnstraßen sind.