de en
Nexia Ebner Stolz

Branchen

Anforderungen des IT-Sicherheitsgesetzes für den Gesundheitssektor

Verfügbar­keit, In­te­grität und Ver­trau­lich­keit sind die drei Si­cher­heits­ziele, die spätes­tens seit dem Re­gie­rungs­be­schluss zu dem seit 25.7.2015 an­zu­wen­den­den Ge­setz zur Erhöhung der Si­cher­heit in­for­ma­ti­ons­tech­ni­scher Sys­teme (oder kurz „IT-Si­cher­heits­ge­setz“) in vie­ler Munde sind. Auf­grund des erhöhten Vor­kom­mens von sen­si­blen Da­ten im Ge­sund­heits­we­sen be­ste­hen in die­sem Sek­tor be­reits per se verstärkte An­for­de­run­gen an den Schutz die­ser In­for­ma­tio­nen.

Kern­pro­zesse der pfle­ge­ri­schen und me­di­zi­ni­schen Ver­sor­gung der Pa­ti­en­ten wer­den mit Hilfe der IT in Kran­ken­haus­in­for­ma­ti­ons­sys­te­men (KIS) ab­ge­bil­det, so die Be­hand­lung bei­spiels­weise in­ner­halb der elek­tro­ni­schen Pa­ti­en­ten­akte.

© Thinkstock

Mit dem ge­nann­ten Ge­setz gel­ten seit dem 25.7.2015 für Be­trei­ber kri­ti­scher In­fra­struk­tu­ren aus sie­ben Bran­chen ver­schärfte Re­geln im Hin­blick auf die Si­cher­heit der ei­ge­nen IT, wo­bei un­ter IT in die­sem Kon­text alle tech­ni­schen Mit­tel zur Ver­ar­bei­tung oder Über­tra­gung von In­for­ma­tio­nen zu ver­ste­hen sind (§ 2 Abs. 1 BSIG – Ge­setz über das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik).

Die Frage, wel­che Be­trei­ber in den Kreis der kri­ti­schen In­fra­struk­tu­ren („KRI­TIS“) fal­len, wurde hin­ge­gen erst im Mai 2016 für zunächst vier der ins­ge­samt sie­ben be­trof­fe­nen Bran­chen (En­er­gie, Was­ser, Ernährung, In­for­ma­ti­ons­tech­nik und Te­le­kom­mu­ni­ka­tion) be­ant­wor­tet. Be­trei­ber von KRI­TIS in den Be­rei­chen Fi­nanz- und Ver­si­che­rungs­we­sen, Trans­port & Ver­kehr so­wie Ge­sund­heit wer­den in ei­ner zwei­ten Ver­ord­nung de­fi­niert. Zu­letzt hatte das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) in der Be­schrei­bung der „Lage der IT-Si­cher­heit in Deutsch­land 2016“ das Frühjahr 2017 als Ziel­da­tum für die zweite Ver­ord­nung ge­nannt.

Al­len Bran­chen ge­mein wird sein, dass für kri­ti­sche Be­trei­ber in je­weils ei­ner der bei­den Ver­ord­nun­gen Schwel­len­werte zur Be­stim­mung der Kri­ti­ka­lität de­fi­niert sein wer­den. So­bald diese über­stie­gen wer­den, sind hieran be­stimmte Rechts­fol­gen geknüpft. Für das Ge­sund­heits­we­sen sind diese Kri­te­rien noch nicht veröff­ent­licht. Im Rah­men ei­ner Sek­tor­stu­die zum Ge­sund­heits­we­sen sind je­doch fol­gende Be­rei­che als „be­son­ders kri­ti­sch“ ein­ge­stuft wor­den:

  • Sta­tionäre Ver­sor­gung
  • Ver­sor­gung mit ver­schrei­bungs­pflich­ti­gen Me­di­ka­men­ten und Impf­stof­fen
  • Ver­sor­gung mit Blut- und Plas­ma­de­ri­va­ten
  • Ver­sor­gung mit Dia­gnose-,  The­ra­pie- und Ope­ra­ti­ons­tech­nik

Als Kon­se­quenz ei­ner et­wai­gen Ein­stu­fung als KRI­TIS sieht sich der Kreis der Be­trof­fe­nen primär der Re­ge­lung des § 8a BSIG ge­genüber. Diese ver­langt, dass an­ge­mes­sene or­ga­ni­sa­to­ri­sche und tech­ni­sche Vor­keh­run­gen (TOM) ge­trof­fen wer­den. Die An­ge­mes­sen­heit ori­en­tiert sich an dem Ziel, Störun­gen der Verfügbar­keit, In­te­grität, Au­then­ti­zität und Ver­trau­lich­keit der IT und der Pro­zesse zu ver­hin­dern. Ein zen­tra­ler As­pekt ist hier­bei der Ver­weis auf den Stand der Tech­nik un­ter An­wen­dung von (bran­chen­spe­zi­fi­schen) Si­cher­heits­stan­dards.

Einen Über­blick darüber zu ge­win­nen, was an­ge­mes­se­nen – und da­mit in­di­vi­du­ell zu­ge­schnit­te­nen – TOM nach Stand der Tech­nik ent­spricht, ist per se ein dif­fi­zi­les Un­ter­fan­gen. Übli­che Maßnah­men in die­sem Be­reich sind nach­fol­gend ex­em­pla­ri­sch dar­ge­stellt:

Einen ziel­ge­nauen Über­blick zu ge­win­nen, was für die ei­gene be­trof­fene Or­ga­ni­sa­tion schluss­end­lich den Schutz nach dem Stand der Tech­nik aus­macht, ist je­doch bis­wei­len recht kon­tur­los und sehr kom­plex - zu­mal dies an der Bran­che und vor al­lem den je­wei­li­gen Ge­ge­ben­hei­ten des ein­zel­nen Un­ter­neh­mens aus­zu­ma­chen ist. Aus die­sem Grund ver­weist der Ge­set­zes­text auf die An­wen­dung be­reits be­ste­hen­der an­er­kann­ter Stan­dards. Darüber hin­aus eröff­net § 8a Abs. 2 BSIG die Möglich­keit, für den be­trof­fe­nen Sek­tor bran­chen­spe­zi­fi­sche Stan­dards zur An­wen­dung kom­men zu las­sen – vor­aus­ge­setzt, die je­weils zuständige Auf­sichts­behörde und das BSI stim­men dem zu. Ein Bei­spiel für ein be­reits um­ge­setz­tes Bran­chen­spe­zi­fi­kum ist der IT-Si­cher­heits­ka­ta­log nach § 11 Abs. 1a EnWG (Ge­setz über die Elek­tri­zitäts- und Gas­ver­sor­gung - En­er­gie­wirt­schafts­ge­setz) für den En­er­gie­sek­tor.

So­wohl im IT-Si­cher­heits­ka­ta­log nach EnWG als auch ab­seits von Bran­chenlösun­gen scheint da­bei stets der Weg zu ei­ner in­ter­na­tio­nal an­er­kann­ten Norm zu führen, der ISO 27001:2013. So schreibt auch die Bun­des­netz­agen­tur im IT-Si­cher­heits­ka­ta­log, dass „[...] Netz­be­trei­ber ein ISMS (In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem) zu im­ple­men­tie­ren [ha­ben], das den An­for­de­run­gen der DIN ISO/IEC 27001 in der je­weils gel­ten­den Fas­sung genügt[...]“, (IT-Si­cher­heits­ka­ta­log nach §11 Abs. 1a EnWG, S. 8). Die be­reits als DIN über­nom­me­nen EN ISO 27799 „Me­di­zi­ni­sche In­for­ma­tik - Si­cher­heits­ma­nage­ment im Ge­sund­heits­we­sen“ stellt glei­cher­weise le­dig­lich eine Kon­kre­ti­sie­rung zur bran­chen­spe­zi­fi­schen An­wen­dung der ISO 27002, wel­che sich wie­derum als Kon­kre­ti­sie­rung der ISO 27001 ver­steht, dar.

So lässt sich eben­falls aus der an­hal­ten­den Dis­kus­sion um Da­ten- und IT-Si­cher­heit die Re­le­vanz und Zen­tra­lität der be­sag­ten ISO-Norm im­mer wie­der ab­lei­ten. So hat sich auch die Evan­ge­li­sche Kir­che ab­seits der KRI­TIS in 2015 um ei­gene Vor­ga­ben im Be­reich IT-Si­cher­heit bemüht. Als Er­geb­nis sind alle an­ge­bun­de­nen Stel­len gemäß der IT-Si­cher­heits­ver­ord­nung – ITSVO-EKD – seit dem 29.5.2015 ver­pflich­tet, TOM im Hin­blick auf die be­kann­ten Si­cher­heits­ziele Verfügbar­keit, In­te­grität und Ver­trau­lich­keit zu be­ach­ten und ent­spre­chende Maßnah­men um­zu­set­zen.

Zwar be­zieht sich die Kir­che da­bei auf den IT-Grund­schutz des BSI, der Kern der Sa­che leuch­tet je­doch schnell ein: In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­teme sind ein „All­heil­mit­tel“ zur Erfüllung stei­gen­der ge­setz­li­cher An­for­de­run­gen.

Da­bei dient das sys­te­ma­ti­sche Ma­nage­ment der In­for­ma­ti­ons­si­cher­heit nach ISO 27001 nicht al­lein der Com­pli­ance, son­dern kann auch aus der ganz­heit­li­chen GRC-Sicht (Go­ver­nance, Risk & Com­pli­ance) ei­nige Vor­teile mit sich brin­gen. Der Schutz der Un­ter­neh­mens­in­for­ma­tio­nen kann über den Selbst­weck der Com­pli­ance hin­aus wich­tige Steue­rungs- und Op­ti­mie­rungs­funk­tio­nen für in­ner­be­trieb­li­che Abläufe bie­ten.

Die ISO-Norm 27001:2013 lässt sich im Kern in 114 Kon­trol­len un­ter­tei­len, die im Kol­lek­tiv die Si­cher­heit der In­for­ma­tio­nen ei­ner Or­ga­ni­sa­tion gewähr­leis­ten sol­len. Bei ge­ziel­ter Um­set­zung der ISO 27001 las­sen sich Syn­er­gien z. B. zwi­schen ver­schie­de­nen (schon be­ste­hen­den) Ma­nage­ment-Sys­te­men (ISO 9001, 22301, etc.) als auch Ver­bes­se­rungs­po­ten­tiale in Pro­zess­abläufen (Bünde­lung von In­for­ma­tio­nen, ver­bes­serte Da­ten­hal­tung, bes­sere Verfügbar­keit der Sys­teme, etc.) he­ben.

Mit der rich­ti­gen Ver­tei­lung von in­ter­nem und ex­ter­nem Auf­wand (z. B. auch un­ter Nut­zung von Tools) und ge­ziel­ter Fest­le­gung des ISMS-An­wen­dungs­be­reichs las­sen sich die An­for­de­run­gen des Ge­setz­ge­bers durch die Einführung ei­nes ISMS nach ISO 27001 wi­der Er­war­ten mit ver­tret­ba­rem Auf­wand um­set­zen. Auch eine ge­mein­same Um­set­zung der Norm für meh­rere recht­lich un­selbständige (multi-site) oder recht­lich selbständige Ein­hei­ten (sha­red ISMS) ist um­setz­bar – ohne den Auf­wand pro­por­tio­nal zu ver­viel­fa­chen.

We­sent­lich für den Ge­setz­ge­ber ist je­doch ein Nach­weis, der die Ein­rich­tung der not­we­ni­gen TOM alle zwei Jahre in ge­eig­ne­ter Weise bestätigt. Die­ser Nach­weis kann gemäß § 8a Abs. 3 BSIG in Form von Si­cher­heits­au­dits, Prüfun­gen oder Zer­ti­fi­zie­run­gen er­fol­gen. Im Falle ei­ner ISO 27001-Im­ple­men­tie­rung ist eine Zer­ti­fi­zie­rung na­he­lie­gend, da sie ne­ben dem Com­pli­ance-Nach­weis auch einen ge­wis­sen Mar­ke­ting-Ef­fekt am Markt bie­tet. Auch hierzu gibt das BSI je­doch einen ein­ge­schränk­ten Hand­lungs­spiel­raum, in­dem es klare Richt­li­nien vor­gibt, wie sich die Erfüllung der ge­setz­li­chen An­for­de­rung ge­eig­net nach­wei­sen las­sen.

Al­ler Vor­aus­sicht nach wird die Mehr­zahl al­ler Kran­kenhäuser als KRI­TIS ein­ge­stuft und da­mit zum Adres­sa­ten­kreis des IT-Si­cher­heits­ge­set­zes gehören. Es emp­fiehlt sich da­her, auf fol­gende Fra­gen frühzei­tig an­zu­ge­hen:

  • Wel­che Si­cher­heits­vor­keh­run­gen sind an­ge­mes­sen und da­her ab wann zu tref­fen? Be­ste­hen bran­chen­spe­zi­fi­sche An­for­de­run­gen?
  • Wel­che Au­di­tie­rungs­pflich­ten be­ste­hen ab wann?
  • Wie kann die Kon­takt­stelle zum BSI or­ga­ni­siert wer­den?

Hinweis

Eb­ner Stolz hat den Be­reich IT-Re­vi­sion mit einem ins­ge­samt zehnköpfi­gen Team wei­ter verstärkt. Sehr gerne un­terstützen Sie un­sere Kran­ken­haus-IT-Ex­per­ten bei ei­ner ers­ten Be­stands­auf­nahme.
 

nach oben