Fortentwicklung der Anforderungen an kritische Infrastru ... / 4.1 Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus

Zunächst zu nennen ist der Branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus. Die Umsetzung dieses von der Deutschen Krankenhausgesellschaft herausgegebenen Standards kann für den Bereich "Medizinische Versorgung" zum Nachweis an das BSI verwendet werden, dass nach §8a BSIG die Einhaltung von IT-Sicherheit nach dem Stand der Technik sichergestellt ist.^[1] Das im B3S beschriebene Vorgehen hilft, passende organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, insbesondere mit Blick auf Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme und Daten zu treffen. Der B3S orientiert sich dazu an etablierten Standards und Best Practices. Die wesentlichen Elemente, die eingeflossen sind, sind in Abb. 1 dargestellt.

Quelle: Deutsche Krankenhausgesellschaft: Branchenspezifischer Sicherheitsstandard „Medizinische Versorgung“, v1.1, 22.10.2019, S. 22.

Abb. 1: Rahmenbedingungen und Quellen zur Erstellung des B3S

Obwohl ein an die ISO 27001 angelehntes Informationssicherheitsmanagement (ISMS) die Grundlage des B3S darstellt, ist eine Zertifizierung nach ISO 27001 für den Nachweis der erfolgreichen Umsetzung und Anwendung des branchenspezifischen Sicherheitsstandards nicht nötig. Zusätzlich zu den in Abb. 1 aufgeführten Normen und Standards referenziert der B3S u. a. auch die ISO 80.001. Dabei handelt es sich um eine Norm zur Informationssicherheit von Medizintechnischen Geräten in IT-Netzwerken. Ein ausgewiesenes Ziel der ISO 80.001 ist die Betreiber und Hersteller übergreifende Zusammenarbeit beim Risikomanagement für IT-Netzwerke, welche Medizinprodukte beinhalten. Nicht nur daran sieht man, dass Anforderungen durch den B3S an IT-Systeme, IT-Infrastruktur und computerisierte Medizintechnik auch für die Hersteller eben jener Systeme und Gerätschaften relevant sind.

[1] Die BSI listet die diversen branchenspezifischen Sicherheitsstandards auf seiner Internetseite auf. Dort ist auch der beschriebene Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus genannt, vgl. https://www.bsi.bund.de/DE/Themen/KRITIS/IT-SiG/Was_tun/Stand_der_Technik/B3S/B3S.html;jsessionid=98E37FB1CB5D8E3C76220263BBAD5D35.2_cid502?nn=6776460#doc8140926bodyText11. Abrufdatum 22.6.2020. Der Standard selbst ist in der Version 1.1. vom 22.10.2019 auf der Internetseite der Deutschen Krankenhausgesellschaft erhältlich unter: https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/, Abrufdatum 22.6.2020.