deen
Nexia Ebner Stolz

Anforderungen des IT-Sicherheitsgesetzes für den Gesundheitssektor

Verfügbarkeit, Integrität und Vertraulichkeit sind die drei Sicherheitsziele, die spätestens seit dem Regierungsbeschluss zu dem seit 25.7.2015 anzuwendenden Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (oder kurz „IT-Sicherheitsgesetz“) in vieler Munde sind. Aufgrund des erhöhten Vorkommens von sensiblen Daten im Gesundheitswesen bestehen in diesem Sektor bereits per se verstärkte Anforderungen an den Schutz dieser Informationen.

Kern­pro­zesse der pfle­ge­ri­schen und medi­zi­ni­schen Ver­sor­gung der Pati­en­ten wer­den mit Hilfe der IT in Kran­ken­haus­in­for­ma­ti­ons­sys­te­men (KIS) abge­bil­det, so die Behand­lung bei­spiels­weise inn­er­halb der elek­tro­ni­schen Pati­en­ten­akte.

© Thinkstock

Mit dem genann­ten Gesetz gel­ten seit dem 25.7.2015 für Bet­rei­ber kri­ti­scher Infra­struk­tu­ren aus sie­ben Bran­chen ver­schärfte Regeln im Hin­blick auf die Sicher­heit der eige­nen IT, wobei unter IT in die­sem Kon­text alle tech­ni­schen Mit­tel zur Ver­ar­bei­tung oder Über­tra­gung von Infor­ma­tio­nen zu ver­ste­hen sind (§ 2 Abs. 1 BSIG – Gesetz über das Bun­de­s­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik).

Die Frage, wel­che Bet­rei­ber in den Kreis der kri­ti­schen Infra­struk­tu­ren („KRI­TIS“) fal­len, wurde hin­ge­gen erst im Mai 2016 für zunächst vier der ins­ge­s­amt sie­ben betrof­fe­nen Bran­chen (Ener­gie, Was­ser, Ernäh­rung, Infor­ma­ti­ons­tech­nik und Tele­kom­mu­ni­ka­tion) beant­wor­tet. Bet­rei­ber von KRI­TIS in den Berei­chen Finanz- und Ver­si­che­rungs­we­sen, Trans­port & Ver­kehr sowie Gesund­heit wer­den in einer zwei­ten Ver­ord­nung defi­niert. Zuletzt hatte das Bun­de­s­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) in der Besch­rei­bung der „Lage der IT-Sicher­heit in Deut­sch­land 2016“ das Früh­jahr 2017 als Ziel­da­tum für die zweite Ver­ord­nung genannt.

Allen Bran­chen gemein wird sein, dass für kri­ti­sche Bet­rei­ber in jeweils einer der bei­den Ver­ord­nun­gen Schwel­len­werte zur Bestim­mung der Kri­ti­ka­li­tät defi­niert sein wer­den. Sobald diese über­s­tie­gen wer­den, sind hieran bestimmte Rechts­fol­gen geknüpft. Für das Gesund­heits­we­sen sind diese Kri­te­rien noch nicht ver­öf­f­ent­licht. Im Rah­men einer Sek­tor­stu­die zum Gesund­heits­we­sen sind jedoch fol­gende Berei­che als „beson­ders kri­ti­sch“ ein­ge­stuft wor­den:

  • Sta­tio­näre Ver­sor­gung
  • Ver­sor­gung mit ver­sch­rei­bungspf­lich­ti­gen Medi­ka­men­ten und Impf­stof­fen
  • Ver­sor­gung mit Blut- und Plas­ma­de­ri­va­ten
  • Ver­sor­gung mit Diag­nose-,  The­ra­pie- und Ope­ra­ti­ons­tech­nik

Als Kon­se­qu­enz einer etwai­gen Ein­stu­fung als KRI­TIS sieht sich der Kreis der Betrof­fe­nen pri­mär der Rege­lung des § 8a BSIG gegen­über. Diese ver­langt, dass ange­mes­sene orga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen (TOM) getrof­fen wer­den. Die Ange­mes­sen­heit ori­en­tiert sich an dem Ziel, Stör­un­gen der Ver­füg­bar­keit, Inte­gri­tät, Authen­ti­zi­tät und Ver­trau­lich­keit der IT und der Pro­zesse zu ver­hin­dern. Ein zen­tra­ler Aspekt ist hier­bei der Ver­weis auf den Stand der Tech­nik unter Anwen­dung von (bran­chen­spe­zi­fi­schen) Sicher­heits­stan­dards.

Einen Über­blick dar­über zu gewin­nen, was ange­mes­se­nen – und damit indi­vi­du­ell zuge­schnit­te­nen – TOM nach Stand der Tech­nik ent­spricht, ist per se ein dif­fi­zi­les Unter­fan­gen. Übli­che Maß­nah­men in die­sem Bereich sind nach­fol­gend exem­pla­risch dar­ge­s­tellt:

Einen ziel­ge­nauen Über­blick zu gewin­nen, was für die eigene betrof­fene Orga­ni­sa­tion schluss­end­lich den Schutz nach dem Stand der Tech­nik aus­macht, ist jedoch bis­wei­len recht kon­tur­los und sehr kom­plex - zumal dies an der Bran­che und vor allem den jewei­li­gen Gege­ben­hei­ten des ein­zel­nen Unter­neh­mens aus­zu­ma­chen ist. Aus die­sem Grund ver­weist der Geset­zes­text auf die Anwen­dung bereits beste­hen­der aner­kann­ter Stan­dards. Dar­über hin­aus eröff­net § 8a Abs. 2 BSIG die Mög­lich­keit, für den betrof­fe­nen Sek­tor bran­chen­spe­zi­fi­sche Stan­dards zur Anwen­dung kom­men zu las­sen – vor­aus­ge­setzt, die jeweils zustän­dige Auf­sichts­be­hörde und das BSI stim­men dem zu. Ein Bei­spiel für ein bereits umge­setz­tes Bran­chen­spe­zi­fi­kum ist der IT-Sicher­heits­ka­ta­log nach § 11 Abs. 1a EnWG (Gesetz über die Elek­tri­zi­täts- und Gas­ver­sor­gung - Ener­gie­wirt­schafts­ge­setz) für den Ener­gie­sek­tor.

Sowohl im IT-Sicher­heits­ka­ta­log nach EnWG als auch abseits von Bran­chen­lö­sun­gen scheint dabei stets der Weg zu einer inter­na­tio­nal aner­kann­ten Norm zu füh­ren, der ISO 27001:2013. So sch­reibt auch die Bun­des­netza­gen­tur im IT-Sicher­heits­ka­ta­log, dass „[...] Netz­be­t­rei­ber ein ISMS (Infor­ma­ti­ons­si­cher­heits-Mana­ge­ment­sys­tem) zu imp­le­men­tie­ren [haben], das den Anfor­de­run­gen der DIN ISO/IEC 27001 in der jeweils gel­ten­den Fas­sung genügt[...]“, (IT-Sicher­heits­ka­ta­log nach §11 Abs. 1a EnWG, S. 8). Die bereits als DIN über­nom­me­nen EN ISO 27799 „Medi­zi­ni­sche Infor­ma­tik - Sicher­heits­ma­na­ge­ment im Gesund­heits­we­sen“ stellt glei­cher­weise ledig­lich eine Kon­k­re­ti­sie­rung zur bran­chen­spe­zi­fi­schen Anwen­dung der ISO 27002, wel­che sich wie­derum als Kon­k­re­ti­sie­rung der ISO 27001 ver­steht, dar.

So lässt sich eben­falls aus der anhal­ten­den Dis­kus­sion um Daten- und IT-Sicher­heit die Rele­vanz und Zen­tra­li­tät der besag­ten ISO-Norm immer wie­der ablei­ten. So hat sich auch die Evan­ge­li­sche Kir­che abseits der KRI­TIS in 2015 um eigene Vor­ga­ben im Bereich IT-Sicher­heit bemüht. Als Ergeb­nis sind alle ange­bun­de­nen Stel­len gemäß der IT-Sicher­heits­ver­ord­nung – ITSVO-EKD – seit dem 29.5.2015 verpf­lich­tet, TOM im Hin­blick auf die bekann­ten Sicher­heits­ziele Ver­füg­bar­keit, Inte­gri­tät und Ver­trau­lich­keit zu beach­ten und ent­sp­re­chende Maß­nah­men umzu­set­zen.

Zwar bezieht sich die Kir­che dabei auf den IT-Grund­schutz des BSI, der Kern der Sache leuch­tet jedoch sch­nell ein: Infor­ma­ti­ons­si­cher­heits-Mana­ge­ment­sys­teme sind ein „All­heil­mit­tel“ zur Erfül­lung stei­gen­der gesetz­li­cher Anfor­de­run­gen.

Dabei dient das sys­te­ma­ti­sche Mana­ge­ment der Infor­ma­ti­ons­si­cher­heit nach ISO 27001 nicht allein der Com­p­li­ance, son­dern kann auch aus der ganz­heit­li­chen GRC-Sicht (Gover­nance, Risk & Com­p­li­ance) einige Vor­teile mit sich brin­gen. Der Schutz der Unter­neh­mens­in­for­ma­tio­nen kann über den Selbst­weck der Com­p­li­ance hin­aus wich­tige Steue­rungs- und Opti­mie­rungs­funk­tio­nen für inner­be­trieb­li­che Abläufe bie­ten.

Die ISO-Norm 27001:2013 lässt sich im Kern in 114 Kon­trol­len unter­tei­len, die im Kol­lek­tiv die Sicher­heit der Infor­ma­tio­nen einer Orga­ni­sa­tion gewähr­leis­ten sol­len. Bei geziel­ter Umset­zung der ISO 27001 las­sen sich Syn­er­gien z. B. zwi­schen ver­schie­de­nen (schon beste­hen­den) Mana­ge­ment-Sys­te­men (ISO 9001, 22301, etc.) als auch Ver­bes­se­rungs­po­ten­tiale in Pro­zess­ab­läu­fen (Bün­de­lung von Infor­ma­tio­nen, ver­bes­serte Daten­hal­tung, bes­sere Ver­füg­bar­keit der Sys­teme, etc.) heben.

Mit der rich­ti­gen Ver­tei­lung von inter­nem und exter­nem Auf­wand (z. B. auch unter Nut­zung von Tools) und geziel­ter Fest­le­gung des ISMS-Anwen­dungs­be­reichs las­sen sich die Anfor­de­run­gen des Gesetz­ge­bers durch die Ein­füh­rung eines ISMS nach ISO 27001 wider Erwar­ten mit ver­t­ret­ba­rem Auf­wand umset­zen. Auch eine gemein­same Umset­zung der Norm für meh­rere recht­lich unselb­stän­dige (multi-site) oder recht­lich selb­stän­dige Ein­hei­ten (sha­red ISMS) ist umsetz­bar – ohne den Auf­wand pro­por­tio­nal zu ver­viel­fa­chen.

Wesent­lich für den Gesetz­ge­ber ist jedoch ein Nach­weis, der die Ein­rich­tung der not­we­ni­gen TOM alle zwei Jahre in geeig­ne­ter Weise bestä­tigt. Die­ser Nach­weis kann gemäß § 8a Abs. 3 BSIG in Form von Sicher­heit­sau­dits, Prü­fun­gen oder Zer­ti­fi­zie­run­gen erfol­gen. Im Falle einer ISO 27001-Imp­le­men­tie­rung ist eine Zer­ti­fi­zie­rung nahe­lie­gend, da sie neben dem Com­p­li­ance-Nach­weis auch einen gewis­sen Mar­ke­ting-Effekt am Markt bie­tet. Auch hierzu gibt das BSI jedoch einen ein­ge­schränk­ten Hand­lungs­spiel­raum, indem es klare Richt­li­nien vor­gibt, wie sich die Erfül­lung der gesetz­li­chen Anfor­de­rung geeig­net nach­wei­sen las­sen.

Aller Vor­aus­sicht nach wird die Mehr­zahl aller Kran­ken­häu­ser als KRI­TIS ein­ge­stuft und damit zum Adres­sa­ten­kreis des IT-Sicher­heits­ge­set­zes gehö­ren. Es emp­fiehlt sich daher, auf fol­gende Fra­gen früh­zei­tig anzu­ge­hen:

  • Wel­che Sicher­heits­vor­keh­run­gen sind ange­mes­sen und daher ab wann zu tref­fen? Beste­hen bran­chen­spe­zi­fi­sche Anfor­de­run­gen?
  • Wel­che Audi­tie­rungspf­lich­ten beste­hen ab wann?
  • Wie kann die Kon­takt­s­telle zum BSI orga­ni­siert wer­den?

Hin­weis

Ebner Stolz hat den Bereich IT-Revi­sion mit einem ins­ge­s­amt zehn­köp­fi­gen Team wei­ter ver­stärkt. Sehr gerne unter­stüt­zen Sie unsere Kran­ken­haus-IT-Exper­ten bei einer ers­ten Bestands­auf­nahme.
 


nach oben