• © istockphoto.com by Wavebreakmedia

Kritische Infrastrukturen

Im Juli 2015 wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) veröffentlicht und damit in Kraft gesetzt.

Die dazugehörende BSI-Kritis-Verordnung (BSI-KritisV) definiert dabei Bemessungsgrenzen zur Abgrenzung der kritischen Infrastrukturen und den Umfang der zu ergreifenden Sicherheitsmaßnahmen, u. a. für das Gesundheitswesen. Nach § 8a (1) BSIG müssen Betreiber „kritischer Infrastrukturen“ ihre für die Versorgung der Bevölkerung kritischen Prozesse nach dem Stand der Technik absichern und dieses gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geeignet nachweisen.

Ausgangslage

Infrastrukturen im Allgemeinen und kritische Infrastrukturen im Besonderen sind die unverzichtbaren Lebensadern moderner, leistungsfähiger Gesellschaften. In Deutschland existieren im Rahmen der nationalen Strategie zum Schutz kritischer Infrastrukturen (Umsetzungsplan KRITIS (UP KRITIS)) sowie der aktuellen Gesetzgebung für Einrichtungen und Institutionen im Gesundheitswesen viele neue Herausforderungen. Kritische Infrastrukturen sind gemäß der Definition des Bundesministeriums des Inneren „Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Um unter anderem Mindestsicherheitsstandards zu gewährleisten, wurde u. a. das IT-Sicherheitsgesetz und das KonTraG erlassen, aber auch branchenspezifische Regelungen wie das Energiewirtschaftsgesetz (EnWG) für den Energiebereich, das Telekommunikationsgesetz (TKG) für den Telekommunikationsbereich oder MaRisk für den Banken- und Finanzdienstleistungsbereich angepasst. Weitere Standards entstehen über die Definition branchenspezifischer Mindestsicherheitsanforderungen. Für das Gesundheitswesen fehlte es bisher sowohl an dezidierten Branchenstandards als auch an einer Rechtsverordnung.

© shutterstock.com by Dmytro Zinkevych

Startschuss für das Gesundheitswesen

Die Bundesregierung hat am 31.05.2017 der Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen (sog. BSI-Kritis-Verordnung) zugestimmt; am 30.06.2017 ist die Verordnung schließlich in Kraft getreten. Den Verordnungstext finden Sie unter anderem hier.

Der sogenannte 2. Korb der BSI-KritisV enthält unter anderem Vorgaben für den Sektor Gesundheit. So müssen Kliniken und Krankenhäuser mit mehr als 30.000 vollstationär versorgten Patienten pro Jahr die Anforderungen des IT-Sicherheitsgesetzes bzw. des BSI-Gesetzes umsetzen. Hierbei gibt es zwei wesentliche Fristen zu beachten: Innerhalb von 6 Monaten nach Veröffentlichung der Verordnung, also bis etwa November 2017 muss die Einrichtung einer Kontaktstelle bzw. eines Meldewesenprozesses von Sicherheitsvorfällen zum BSI erfolgt sein. Innerhalb von 2 Jahren, also bis Mitte 2019 muss die Einführung eines Informationssicherheitsmanagements nach anerkannten Normen wie der ISO/IEC 27001 erfolgen. Danach sollen die Unternehmen alle 2 Jahre nachweisen, dass sie die Anforderungen noch erfüllen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Als Kriterienwerke hierfür sind entweder anerkannte Normen und Standards wie ISO/IEC 27001 oder alternativ vom BSI anerkannte branchenspezifische Sicherheitsstandards (B3S) zugelassen.

Geltungsbereich

Im Rahmen der Gesundheitsversorgung ist hierbei ein besonderes Augenmerk auf die folgenden klinischen IT-Systeme und die damit unterstützten Prozesse zu legen. Diese fallen in den sogenannten Scope (Geltungsbereich) des Informationssicherheitsmanagements und sind zu berücksichtigen:

a) Klinische Informationssysteme, klinische Arbeitsplatzsysteme
b) Laborinformationssysteme
c) Intensiv- und OP-Dokumentationssysteme
d) Systeme der Radioonkologie
e) Radiologieinformationssysteme (RIS/PACS)
f) Apothekensysteme, Medikamentenaufbereitung, Blut- und Plasmaprodukte
g) Systeme der zentralen Sterilisation
h) Transport- und Logistiksysteme
i) Vernetzte Alarmsysteme der Patientenüberwachung
j) Schnittstellen zu relevanten medizintechnischen Systemen

Auch in der Sektorenstudie Gesundheit vom BSI finden sich zuvor genannte Prozesse wieder. Im Falle eines Outsourcings einzelner oder mehrerer Funktionen sind die Sicherheitsziele im Rahmen der Beschaffung bzw. des Lieferanten-Managements entsprechend sicherzustellen. Die Maßnahmen aus der ISO/EC 27001 definieren hierbei Anforderungen an den Lieferanten bzw. die Lieferantensteuerung.

Branchenarbeitskreis
Derzeit existieren verschiedene Arbeitskreise und Branchenverbände wie der VUD und die DKG, die sich mit den Anforderungen auseinandergesetzt und Handlungsempfehlungen herausgegeben haben. Ferner beabsichtigen bspw. der Branchenarbeitskreis Medizinische Versorgung im UP KRITIS MV sowie die Projektgruppe im VUD einen Branchenstandard (B3S) zu erarbeiten und diesen vom BSI genehmigen zu lassen.

Mindestanforderungen / Empfehlungen

Verschiedene Arbeitskreise und Branchenverbände haben Umsetzungshinweise herausgegeben.
Der Branchenarbeitskreis (BAK) Gesundheitsversorgung im UP KRITIS hat in einer Veröffentlichung „Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken“ herausgegeben. Zusammengefasst definieren die Handlungsempfehlungen folgende Maßnahmen:

  • Einführung einer geeigneten Organisationsstruktur, um den besonderen Anforderungen der IT-Sicherheit begegnen zu können. Die Absicherung der Dienstleistung Medizinische Versorgung ist KEIN reines IT-Thema und erfordert Konzepte und Verfahrensrichtlinien, die über die jeweiligen IT-Abteilungen hinausreichen. Diese Anforderung orientiert sich an der ISO/IEC 27001, welche die Definition und Dokumentation von Rollen und Verantwortlichkeiten vorsieht. Die Verantwortlichkeit sollte in der Nähe der Geschäftsführung, z. B. in einer Stabsstelle mit der Rolle eines Informationssicherheitsbeauftragten (ISB), angesiedelt sein.

     

  • Identifikation aller kritischen Patientenversorgungsprozesse der stationären Versorgung.

     

  • Identifikation der diese kritischen Prozesse unterstützenden IT-Infrastruktur, IT-Verfahren sowie Schnittstellen zu Unterstützungsprozessen.

     

  • Einführung eines Informations-Sicherheits-Management-Systems (ISMS) nach dem Stand der Technik (z. B. ISO/IEC 27001, ISO 27001 auf Basis von IT-Grundschutz). Dieser Anforderung folgt auch die im Mai 2016 in Kraft getretene EU-Datenschutzgrundverordnung (DSGVO) und ist für kritische Infrastrukturen verpflichtend.

  • Einbindung des IT-Risikomanagements für die identifizierten kritischen Prozesse in das Unternehmensrisikomanagement. Ggf. müssen ein Risikomanagementprozess und Vorgaben bspw. für Wertgrenzen und Risikoakzeptanzen seitens des Managements festgelegt werden. Auf der Grundlage der resultierenden Risiken für die Patientenversorgung sollen eine Priorisierung vorgenommen und geeignete sowie angemessene technische und organisatorische Maßnahmen zur Behandlung der Risiken (Vermeidung, Reduktion, Übertragung [Akzeptanz]) abgeleitet, umgesetzt und im Rahmen von internen Audit- und Überwachungsmaßnahmen bzgl. ihrer Effektivität bewertet werden.

  • Einführung eines Business Continuity Managements, zumindest für die IT-Infrastruktur und IT-Verfahren, welche die kritischen Patientenversorgungsprozesse unterstützen.

  • Die Etablierung eines Meldeverfahrens und einer Meldestelle für die Meldung von relevanten Informationssicherheitsvorfällen an die Datenschutzaufsichtsbehörden und an die Meldestelle des BSI in Verbindung mit der Anbindung an einen CERT-Dienst zur Informationsbeschaffung über aktuelle Bedrohungen. Dies ist für kritische Infrastrukturen verpflichtend.

  • Diese Anforderungen müssen von Betreibern kritischer Infrastrukturen innerhalb einer Zweijahresfrist ab Inkrafttreten der BSI-KritisV umgesetzt und geprüft werden. Die Auditergebnisse müssen ebenfalls innerhalb dieser Frist (also bis etwa Mitte 2019) dem BSI zur Verfügung gestellt werden.

Unabhängig von der Einstufung als kritische Infrastruktur gemäß BSI-KritisV empfiehlt der Branchenarbeitskreis Medizinische Versorgung (BAK MV) die Umsetzung der o. g. Anforderungen für sämtliche Kliniken.

Der Verband der Universitätsklinika Deutschlands (VUD) hat bereits Anfang 2017 „Allgemeine Grundsätze und Empfehlungen zum Informationssicherheitsmanagement von Universitätsklinika“ herausgegeben. Inhaltlich ähneln die Empfehlungen denen des UP-Kritis MV, jedoch finden sich darüber hinaus folgende, explizit genannte Empfehlungen:

  • Stellenwert der Informationstechnologie und Informationssicherheit: Dies referenziert ebenfalls auf die IS/IEC 27001, in welcher der Stellenwert der Informationssicherheit von der Unternehmensleitung in einer sog. Leitlinie zur Informationssicherheit definiert bzw. vorgegeben werden soll.

Auch der Punkt „Managementverantwortung und Vorbildfunktion“ geht auf diese Anforderungen zurück: Die Unternehmensleitung soll ihrer Verantwortung im Informationssicherheitsmanagementprozess gerecht werden und u. a. Ziele vorgeben, Verantwortlichkeiten benennen und Ressourcen zur Verfügung stellen.

  • Informationssicherheitsbezogene Voranalyse: Nach dem Grundsatz „Security by Design“ sollen die IT, der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte frühzeitig in Projekte und die Beschaffung einbezogen werden.
  • Etablierung von Basisprozessen im IT-Management: Damit sind die ITSM-Prozesse Configuration-, Change- und Incidentmanagement gemeint, die im Sinne eines organisierten IT-Betriebes als zentrale IT-Prozesse etabliert sein sollten. Da einige Prozesse des Informationssicherheitsmanagements bzw. der ISO/IEC 27001 darauf aufbauen, sollen diese Prozesse entsprechend funktionsfähig etabliert sein.

Erstellung von Sicherheitsleitlinien: Dieser Punkt bezieht sich auf die Erstellung entsprechender Prozessdokumentation. Die IT-Sicherheitsleitlinien sollen sich an den Kapitelvorgaben der ISO/IEC 27001orientieren. Diese definiert die allgemeinen Vorgaben für die im Folgenden aufgeführten Richtlinien (Mindestumfang):

Richtlinien

– Richtlinie zur IT-Nutzung inkl. E-Mail- und Internetnutzung
– Richtlinie zu mobilen Endgeräten
– Richtlinie zur Telearbeit
– Richtlinie für Telemedizin
– Richtlinie für Clouddienste und Social Media
– Richtlinie zum Umgang mit Wechseldatenträgern
– Richtlinie zur Zugangs- und Zugriffskontrolle
– Richtlinie zur Implementierung von IT-Sicherheitsaspekten in den Personalmanagementprozess
– Richtlinie zur Implementierung von nicht IT-gestützten Notfallverfahren
– Richtlinie zum Umgang mit externen Dritten
– Richtlinie zur Beschaffung, Entwicklung und Instandhaltung von IT-bezogenen Systemen
– Richtlinien zur Beschaffung, Implementierung und Instandhaltung von vernetzter Medizintechnik
– Richtlinie zur Löschung und Vernichtung von Daten und Datenträgern

Technische Maßnahmen: Die technischen Maßnahmen zur Absicherung der Informationssicherheit an (Universitäts-)Klinika sollen sich an den Vorgaben der Fachausschüsse des VUD und der DKG orientieren. Folgende Aspekte sind hierbei gesondert zu berücksichtigen:

  • Kommunikationssicherheit, Daten- und Kommunikationsverschlüsselung
  • Zutrittsmanagement und physischer Schutz
  • Netzwerksegmentierung, Netzwerkzugang und Netzwerkmanagement
  • Betriebssicherheit und Verfügbarkeit inkl. Notfallplänen zur organisatorischen Überbrücken von IT-Ausfällen
  • Personalmanagement (qualifiziertes Fachpersonal, Awarenessmaßnahmen für Mitarbeiter/IT-Nutzer)
  • Kontrolle der Durchführung der Maßnahmen (Audits und Kontrollen)

Umsetzungsfristen und Handlungsbedarf

Verschiedene Arbeitskreise beabsichtigen, Branchenstandards für Kliniken bzw. für universitäre Kliniken zu erarbeiten und beim BSI zur Genehmigung einzureichen. Dieses Vorhaben ist zu begrüßen, denn eine Erweiterung der Maßnahmen aus der ISO/IEC 27001 um Branchenspezifika und eine Konkretisierung des Geltungsbereichs sowie der Vorgehensweise im Risikomanagementprozess gibt Handlungssicherheit und führt tatsächlich zu einem standardisierten Sicherheitsniveau für die medizinische Versorgung in deutschen Kliniken und Krankenhäusern.
Erfahrungsgemäß wird die Erarbeitung und Prüfung des bzw. der Sicherheitsstandards Zeit in Anspruch nehmen. Aufgrund der Frist von 2 Jahren (resultierend aus der BSI-KritisV) empfiehlt es sich jedoch, zeitnah ein Projekt aufzusetzen, denn erfahrungsgemäß nimmt ein Projekt in dieser Größenordnung in einer Klinik eine Projektlaufzeit von 1 bis 2 Jahren in Anspruch. Das BSI hat klargestellt, dass die Anforderungen der BSI-KritisV fristgerecht bis zum 31.06.2017 umgesetzt werden müssen, auch wenn kurzfristig kein B3S verfügbar ist, der als alternative Basis zum Standard ISO/IEC 27001 bzw. zum BSI-Grundschutz für die Umsetzung dienen könnte. Es wird daher empfohlen, mit der Implementierung eines ISMS zeitnah zu beginnen und bekanntwerdende Inhalte und Anforderungen eines etwaigen B3S iterativ in den Projektverlauf mit einfließen zu lassen.

Unsere Produkte und Dienstleistungen dazu:

  • GAP-Analyse/Bestandsaufnahme nach ISO/IEC 27001 auf Basis der Anforderungen des IT-Sicherheitsgesetzes
  • Stellung eines externen Informationssicherheitsbeauftragten (ISB)
  • Einrichtung und Betrieb einer Kontaktstelle nach § 8b (3) BSI-Gesetz

Senden Sie uns gerne eine unverbindliche Anfrage

Jetzt Kontakt aufnehmen

© shutterstock.com by jesterpop

info@aurasec.de 030 408173352 Schau vorbei. Informiere dich!