Fortentwicklung der Anforderungen an kritische Infrastru ... / 4 Aktuelle Entwicklungen im Gesundheitssektor

Nach Definition der BSI-KritisV können neben Leistungserbringern wie Universitätskliniken, Krankenhäusern oder diagnostischen Laboren auch Medizinprodukte-Hersteller oder Pharmafirmen als Betreiber kritischer Infrastruktur gelten.

Hinweis

Kritis im Gesundheitssektor

Als Betreiber einer kritischen Infrastruktur im Sektor Gesundheit fallen Sie in den Geltungsbereich der BSI-KRITIS-Verordnung, wenn Sie die in § 6 BSI-KritisV genannten Kriterien erfüllen und die erbrachten Leistungen die in Anhang 5 Teil 3 aufgeführten Grenzwerte/Volumina erreichen oder überschreiten.

Damit finden sich im Sektor Gesundheit Vertreter von zum Teil sehr unterschiedlichen Organisationsformen, wie Krankenhäuser unter öffentlicher/freigemeinnütziger Trägerschaft, bis hin zum Pharma-Hersteller oder dem klassischen Industrieunternehmen in der Medizintechnik. Die einzelnen Akteure im Sektor Gesundheit haben zwar vergleichbare Schutzziele, aber es gibt zum Teil deutliche Unterschiede in den Voraussetzungen zum Erreichen dieser. Dies gilt sowohl für die finanziellen Möglichkeiten oder den Reifegrad der vorhandenen IT-Infrastruktur, aber auch für die bereits umgesetzten technischen und organisatorischen Maßnahmen zum Schutz der eigenen kritischen IT-Infrastruktur. Dazu kommt noch, dass je nach Branche (Krankenhaus, Labor, Pharma- oder Medizinproduktehersteller) mehr oder weniger gut ausgearbeitete Orientierungshilfen und Branchenstandards zur Verfügung stehen. Letztere sind besonders interessant, da bei deren Umsetzung (und Einhaltung) Konformität zu den Kritis-Regularien angenommen werden kann, wenn der entsprechende Branchenstandard vom BSI dafür anerkannt ist.

Durch die Covid-19 Pandemie ist die Wichtigkeit von IT-Infrastrukturen samt den IT-Systemen, die sie nutzen, noch deutlicher geworden. Trotzdem hinkt der Gesundheitssektor gegenüber dem Finanzsektor bei den Themen ganzheitliches IT-Security-Management und Notfallplanung oft noch hinterher. Allerdings bietet die aktuelle Krise auch die Chance die dringend benötigten Ressourcen in diesem Bereich endlich aufzubauen und eine entsprechende Finanzierung langfristig zu sichern. Anleitungen, wie Krankenhäuser und Unternehmen im Sektor Gesundheit schnell die "best practice" umsetzen können, gibt es einige. Im Folgenden stellen wir 3 hilfreiche Dokumente vor.

4.1 Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus

Zunächst zu nennen ist der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus. Die Umsetzung dieses von der Deutschen Krankenhausgesellschaft herausgegebenen Standards kann für den Bereich "Medizinische Versorgung" zum Nachweis an das BSI verwendet werden, dass nach §8a BSIG die Einhaltung von IT-Sicherheit nach dem Stand der Technik sichergestellt ist.^[1] Das im B3S beschriebene Vorgehen hilft, passende organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, insbesondere mit Blick auf Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme und Daten zu treffen. Der B3S orientiert sich dazu an etablierten Standards und Best Practices. Die wesentlichen Elemente, die eingeflossen sind, sind in Abb. 1 dargestellt.

Quelle: Deutsche Krankenhausgesellschaft: Branchenspezifischer Sicherheitsstandard „Medizinische Versorgung“, v1.1, 22.10.2019, S. 22.

Abb. 1: Rahmenbedingungen und Quellen zur Erstellung des B3S

Obwohl ein an die ISO 27001 angelehntes Informationssicherheitsmanagement (ISMS) die Grundlage des B3S darstellt, ist eine Zertifizierung nach ISO 27001 für den Nachweis der erfolgreichen Umsetzung und Anwendung des branchenspezifischen Sicherheitsstandards nicht nötig. Zusätzlich zu den in Abb. 1 aufgeführten Normen und Standards referenziert der B3S u. a. auch die ISO 80.001. Dabei handelt es sich um eine Norm zur Informationssicherheit von Medizintechnischen Geräten in IT-Netzwerken. Ein ausgewiesenes Ziel der ISO 80.001 ist die Betreiber und Hersteller übergreifende Zusammenarbeit beim Risikomanagement für IT-Netzwerke, welche Medizinprodukte beinhalten. Nicht nur daran sieht man, dass Anforderungen durch den B3S an IT-Systeme, IT-Infrastruktur und computerisierte Medizintechnik auch für die Hersteller eben jener Systeme und Gerätschaften relevant sind.

[1] Die BSI listet die diversen branchenspezifischen Sicherheitsstandards auf seiner Internetseite auf. Dort ist auch der beschriebene Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus genannt, vgl. https://www.bsi.bund.de/DE/Themen/KRITIS/IT-SiG/Was_tun/Stand_der_Technik/B3S/B3S.html;jsessionid=98E37FB1CB5D8E3C76220263BBAD5D35.2_cid502?nn=6776460#doc8140926bodyText11. Abrufdatum 22.6.2020. Der Standard selbst ist in der Version 1.1. vom 22.10.2019 auf der Internetseite der Deutschen Krankenhausgesellschaft erhältlich unter: https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/, Abrufdatum 22.6.2020.

4.2 Procurement Guidelines for Cybersecurity in Hospitals

Eigenschaften von IT-Komponenten und medizintechnischem Gerät, die zur Umsetzung d...