58 I KU Gesundheitsmanagement 5/2017

IT-S

ICH

ERH

EIT

(K)eine Aufgabe für die IT?Informationssicherheit und ISMS

Das Thema IT-Sicherheit gewinnt im Gesund-heitswesen zunehmend an Bedeutung. DieDigitalisierung von Prozessen und dieVernetzung von Programmen erhöht zwar dieEffektivität, macht Krankenhäuser jedochauch angreifbar. Der Gesetzgeber folgte demRuf nach mehr Sicherheit im Juli 2015 in Kraftgetretene IT-Sicherheitsgesetz. Doch wiewirken sich die Gesetzesvorschriften konkretaus? Diese Fragen beantworten Randolf-HeikoSkerka, Experte für Informationssicherhetis-Managementsysteme und Prof. Dr. AndreasBecker, Berater für Einrichtungen im Gesund-heitswesen

Im Juli 2015 ist das „Gesetz zurErhöhung der Sicherheit infor-mationstechnischer Systeme

(IT-Sicherheitsgesetz)“ in Kraftgetreten. Der in der Zwischenzeitvorliegende Referentenentwurfdes Bundesministeriums des In-neren zur ersten „Verordnung zurÄnderung der BSI-Kritisverord-nung“ beinhaltet insbesondereauch den neuen § 6 „Sektor Ge-sundheit“. In diesem werden diefolgenden vier kritischen Dienst-

leistungen im Sinne des § 10 Ab-satz 1 Satz 1 des BSI-Gesetzes fürden Sektor Gesundheit identifi-ziert:

1. Medizinische Versorgung inden Bereichen Aufnahme, Dia-gnose, Therapie, Unterbrin-gung/Pflege und Entlassung

2. Versorgung mit Medizinpro-dukten, die Verbrauchsgütersind, in den Bereichen Herstel-lung und Abgabe

3. Versorgung mit verschrei-bungspflichtigen Arzneimittelnin den Bereichen Herstellung,Distribution und Abgabe

4. Laboratoriumsdiagnostik inden Bereichen Transport undAnalytik

Welche Krankenhäusergehören dazu?Im Anhang 5 des Referentenent-wurfs ist ein Krankenhaus defi-niert als „Standort oder Betriebs-stätten eines nach § 108 des fünf-ten Buches Sozialgesetzbuch inder jeweils geltenden Fassung zu-gelassenen Krankenhauses, die

für die Erbringung stationärerVersorgungsleistungen notwen-dig sind“.

Gemäß der Begründung zum Re-ferentenentwurf (Teil B) sind„räumlich getrennte Standorteoder Betriebsstätten eines Kran-kenhauses als Anlage anzusehen,wenn sie aus planungsrechtlicherSicht, etwa aus organisatori-schen, technischen, medizini-schen oder sicherheitsbezogenenAspekten, als Einheit betrachtetwerden“.

Sowohl medizinische Gebrauchs-güter wie CT- oder Röntgenappa-rate als auch Labore werden alsNebeneinrichtungen von Kran-kenhäusern gezählt. In Bezug aufdas IT-Sicherheitsgesetz sind die-se Nebeneinrichtungen für Kran-kenhäuser nicht separat noch ein-mal zu berücksichtigen.

Der für die AnlagenkategorieKrankenhaus vorgeseheneSchwellwert liegt im derzeitigenEntwurf bei einer vollstationärenFallzahl von 30.000 pro Jahr. ImReferentenentwurf wird davonausgegangen, dass 110 Kranken-

Foto: sdecoret – Fotolia

59KU Gesundheitsmanagement 5/2017 I

IT-S

ICH

ERH

EIT

�

häuser als kritisch einzustufensind, da sie aufgrund von Größeund erbrachtem Leistungsspekt-rum eine hinreichende Bedeu-tung für die medizinische Versor-gung der Allgemeinheit haben.

Interessanterweise beruft mansich bei der Festlegung desSchwellenwertes auf die „Ein-schätzung von Experten und be-troffenen Branchenverbänden“(Begründung, Teil B), eine weiter-führende Rationale wird nicht ge-nannt. Würden die 110 in Fragekommenden Krankenhäuser imMittel 50.000 Patienten pro Jahrvollstationär versorgen, so wärendies insgesamt 5,5 Millionen Fälle.Bezogen auf das Jahr 2015 mitrund 19 Millionen vollstationäreFällen entspricht dieser Wert rund29 %. Es kann daher spekuliertwerden, dass der aktuelle Schwel-lenwert nur zum Einstieg gewähltwurde und in den nächsten Jah-ren abgesenkt wird.

IT-Sicherheit ist nicht gleichInformationssicherheitAuch wenn es sich um ein Gesetzzur IT-Sicherheit handelt, ist da-von auszugehen, dass auch fürden Sektor Gesundheit ein Infor-mationssicherheitsmanagement-system (ISMS) in den betroffenenKrankenhäusern einzuführen ist.Dabei ist IT-Sicherheit nichtgleich Informationssicherheit.

Üblicherweise verantwortet dieIT-Abteilung die Betreuung der IT-Systeme und damit auch deren Si-cherheit. Dazu gehören sowohldie Betreuung (zum Beispiel dasBenutzer- und Rechtemanage-ment) als auch der Schutz (zumBeispiel das Patch- und Konfigu-rationsmanagement) der IT-Syste-me beziehungsweise der elektro-nisch gespeicherten Daten, aberauch die Gewährleistung derFunktionalität, Verfügbarkeit undder Zuverlässigkeit.

Bei der Informationssicherheitsteht allgemein der Schutz von In-formationen im Fokus. Dabei wer-den neben digitalen auch analogeInformationen berücksichtigt.Darunter können zum Beispiel Pa-tientenunterlagen oder auch aus-gestellte Rezepte und abgeschlos-sene Verträge in Papierform fal-

len. Einen kontinuierlichen Pro-zess in der Informationssicherheitstellen das Identifizieren und Be-werten von Risiken, verbundenmit der Umsetzung von Maßnah-

men zur Reduzierung oder sogarEliminierung dar.

Die hierfür zugrundeliegendenSchutzziele umfassen die Vertrau-lichkeit, Integrität, Verfügbarkeitund Authentizität. Im Glossar desIT-Grundschutz-Katalogs des BSIsind diese Begriffe wie folgt defi-niert:

* Vertraulichkeit:„Vertraulichkeit ist der Schutzvor unbefugter Preisgabe von In-formationen. Vertrauliche Da-ten und Informationen dürfenausschließlich Befugten in derzulässigen Weise zugänglichsein.“

* Integrität:„Integrität bezeichnet dieSicherstellung der Korrektheit(Unversehrtheit) von Daten undder korrekten Funktionsweisevon Systemen.“

* Verfügbarkeit:„Die Verfügbarkeit von Dienst-leistungen, Funktionen eines IT-Systems, IT-Anwendungen oderIT-Netzen oder auch von Infor-mationen ist vorhanden, wenndiese von den Anwendern stetswie vorgesehen genutzt werdenkönnen.“

* Authentizität:„Mit dem Begriff Authentizitätwird die Eigenschaft bezeich-net, die gewährleistet, dass einKommunikationspartner tat-sächlich derjenige ist, der er vor-gibt zu sein. Bei authentischenInformationen ist sichergestellt,dass sie von der angegebenenQuelle erstellt wurden. Der Be-

„Auch wenn es sich um ein Gesetz zur IT-Sicherheithandelt, ist davon auszugehen,

dass auch für den Sektor Gesundheitein Informationssicherheitsmanagementsystem (ISMS)

in den betroffenen Krankenhäusern einzuführen ist.“

griff wird nicht nur verwendet,wenn die Identität von Personengeprüft wird, sondern auch beiIT-Komponenten oder Anwen-dungen.“

Die Informationssicherheit bein-haltet zahlreiche Bereiche, wiezum Beispiel Personal, Organisa-tion, Verantwortlichkeiten undphysischer Sicherheit, aber insbe-sondere auch die Sicherheit unddas Management der IT-Systeme.Somit ist die IT-Sicherheit ein Be-standteil der Informationssicher-heit. Die Verantwortung für dieInformationssicherheit und dasdamit verbundene ISMS sollte beider Geschäftsführung liegen. Dadie IT-Abteilung einen wichtigenTeil des gesamten Management-systems darstellt, sollte sie früh-zeitig und intensiv in den Aufbauund den Betrieb des ISMS einge-bunden sein (�Abb., Seite 60).

Bestehendes nutzenIn Krankenhäusern ist bereitsheute die Qualitätsmanagement-

Randolf-Heiko SkerkaBereichsleiter Informationssicherheits-

ManagementsystemeSRC Security Research & Consulting GmbH

Bonn

Prof. Dr. Andreas BeckerInstitut Prof. Dr. Becker

Rösrath

60 I KU Gesundheitsmanagement 5/2017

IT-S

ICH

ERH

EIT

Richtlinie des Gemeinsamen Bun-desausschusses (QM-RL) umzu-setzen. Diese dort aufgeführtenProzesse zum Qualitäts- und Risi-komanagement sowie die konse-quente Forderung zur Anwen-dung des PDCA-Zyklus können alsBasis für das Implementieren ei-nes ISMS fungieren. So kann bei-spielsweise ein ISMS nach ISO27001 ohne weiteres in ein vor-handenes Qualitätsmanagementnach ISO 9001 integriert werden.Aufgrund der einheitlichen Struk-tur gängiger Managementsystemeund der Forderung von Transpa-renz, Dokumentation und der Ein-bindung aller Mitarbeiter ist da-von auszugehen, dass sehr wahr-scheinlich wesentliche Manage-ment-Prozesse bereits vorhandensind.

Diese sollten vergleichsweise ein-fach um die Gegebenheiten der In-formationssicherheit erweitertund genutzt werden können. Da-durch lassen sich zum einen dienotwendigen Ressourcen bündelnbeispielsweise durch kombinierteAudits, zum anderen steigt durcheine schlanke Organisation dieAkzeptanz der Mitarbeiter für dieManagementsysteme und schafftklare Strukturen sowie wider-spruchsfreie Kommunikationnach Innen und Außen.

Die grundsätzliche Herangehens-weise zum Aufbau eines ISMS be-steht dabei insbesondere aus denfolgenden Schritten:

1. Anforderungen identifizieren:Der erste Schritt für den Aufbaueines ISMS ist die Bestimmungder anwendbaren Gesetze undanderer Auflagen. Dies könnensowohl externe Anforderun-gen, beispielsweise aufgrund

existierender Verträge, als auchinterne Anforderungen sein,weil unter Umständen bereitsandere Managementsysteme,wie zum Beispiel ein QMS nachISO 9001 existieren, in die dasISMS integriert werden soll.

2. Sicherheitspolitik definieren:Ziel ist die abstrakte Festlegungdes zu erreichenden Sicher-heitsniveaus.

3. Definition des Geltungsbereich:Ziel ist die Bestimmung der zuschützenden Prozesse. Daraufaufbauend können zu berück-sichtigende Systeme, Informa-tionen, Personen und weitereRessourcen identifiziert wer-den. Dabei wird auf Basis derzuvor erkannten Anforderun-gen festgelegt, welche „Ge-schäftsprozesse“ geschütztwerden sollen. Im Kontext desIT-Sicherheitsgesetzes wirdhier insbesondere der Ge-schäftsprozess „stationäreKrankenversorgung“ zu sehensein.

4. Inventarisierung der Werte:Bevor eine Konzeption zumSchutz erfolgen kann, müssenzuvor die schützenswerten In-formationen beziehungsweiseWerte oder Assets, und daraufaufbauend die zugrunde lie-genden IT-Systeme sowie diefür den ordnungsgemäßen Be-trieb benötigten Ressourcen er-fasst werden.

5. Bestimmung des Schutzbedarfs:Mit dem Ziel, die stationäreKrankenversorgung zu schüt-zen, muss für alle erfassten As-sets deren Schutzbedarf be-stimmt werden. Darauf aufbau-end vererbt sich der Schutzbe-

darf auf die zur Verarbeitunggenutzten beziehungsweise diedie stationäre Krankenversor-gung unterstützenden Syste-me, die dafür genutzten Räumeund so weiter. Die weitere An-forderung der ISO 27001, jedemAsset einen Verantwortlichenzuzuordnen, kann in diesemSchritt direkt mit erledigt wer-den.

6. Risikoanalyse:Ausgehend von den identifi-zierten Assets und derenSchutzbedarf kann eine Risiko-analyse durchgeführt werden.Dabei wird idealerweise der be-reits im Qualitätsmanagementvorhandene Prozess erweitert,um Risiken im Zusammenhangmit dem Verlust von Verfügbar-keit, Vertraulichkeit, Integritätund Authentizität zu ermitteln,deren Eintrittswahrscheinlich-keit und Schadensschwere ein-zuschätzen sowie Kriterien fürdie Risikoakzeptanz oder Risi-kobehandlung festzulegen. All-gemeine Bedrohungen sind ingenerischen Katalogen zusam-mengestellt (wie den Gefähr-dungskatalogen des IT-Grund-schutzes des BSI), spezifischeBedrohungen können hierbeizum Beispiel aus der „KRITIS-Sektorstudie Gesundheit“ ent-nommen werden. Die Einschät-zung von Eintrittswahrschein-lichkeiten und Größe der Schä-den kann kategorisiert erfol-gen, da häufig statistische In-formationen für schädigendeEreignisse nicht verfügbar oderrepräsentativ sind.

7. Auswahl und Umsetzung derMaßnahmen:Nach Kenntnis und Bewertungder allgemeinen und spezifi-schen Risiken können ange-messene Maßnahmen zumSchutz der Assets ausgewähltund umgesetzt werden. DieRisikobehandlung ist durchMaßnahmen möglich, die dieEintrittswahrscheinlichkeitenoder hervorgerufenen Schädenverringern, durch Umstruktu-rierung von Prozessen die Risi-ken verringern, Risiken transfe-rieren (beispielsweise durchVersicherungen) oder dadurch,dass Risiken bewusst akzep-

Informationssicherheit

IT-Sicherheit

Abb.: IT-Sicherheit ist ein Bestandteil der Informationssicherheit.

IT-S

ICH

ERH

EIT

Managementkongress.

www.ku-gesundheitsmanagement.de

Corporate Culture – Wettbewerbsvorteile durch weiche Faktoren

am 26.10.2017 in BerlinVerleiung der KU Awards im Rahmen des Kongresses

Maritim Hotel pro arte BerlinFriedrichstraße 15110117 Berlin

Save the Date

tiert werden, wenn eine andereBehandlung nicht wirtschaft-lich oder umsetzbar erscheint.Der Risikobehandlungsplan istTeil der Pflichtdokumentationund sollte auch Informationendarüber enthalten, wann Maß-nahmen umgesetzt werden sol-len.

8. Prüfung der Umsetzung und Be-wertung der Maßnahmen:Die Wirksamkeit von Maßnah-men kann erst einsetzen, wennsie implementiert wurden, aberauch dann ist es möglich, dasssie in einem konkreten Fall wir-kungslos (geworden) sind. Ne-ben der Revision (Prüfung derUmsetzung) ist daher auch eineBewertung von Maßnahmenunabdingbar (Vollständigkeits-beziehungsweise Aktualisie-rungsprüfung). Der Umset-zungsstatus jeder Maßnahmemuss dokumentiert sein, damitdie Gesamtsicherheitslage je-derzeit bewertet werden kann.Dies ist neben den eigentlichenAudits, bei denen der Doku-

mentationsstand aktiv geprüftwird, insbesondere bei Ände-rungen der Rahmenbedingun-gen sehr hilfreich, zum Beispielfür die Bewertung, ob ein neuesRisiko eine aktuelle Gefahren-quelle darstellt, oder ausrei-chende Maßnahmen zumSchutz bereits implementiertwurden.

Informationssicherheit ist nichtnur ein Thema der IT-Abteilung,sondern adressiert jeden einzel-nen Mitarbeiter. Es ist daher vonBedeutung, dass alle Mitarbeiterdie Notwendigkeit des Schutzesvon Informationen verstehen undsich aktiv an diesem Prozess be-teiligen. Eine hohe Akzeptanzwird einfacher erreicht, wenn sichneue Regelungen nahtlos in dengelebten Alltag integrieren undvon den Beteiligten verstandenwird, dass dem eventuell zusätz-lich entstehenden Aufwand auchein bedeutender Nutzen entge-gensteht. Informationssicherheitist generell ein dauerhafter Pro-zess und kein Produkt, welches

einmalig eingekauft wird. Ein Re-turn on Investment kann dem-nach nur eintreten, wenn die Si-cherheitskonzeption dauerhaftAnwendung findet, gleicherma-ßen wirksam und angemessen ist,und von jedem Mitarbeiter getra-gen wird. $

Literatur beim Verfasser.

Randolf SkerkaSRC Security Research & Consulting GmbH

Emil-Nolde-Str. 753113 Bonn

Prof. Dr. Andreas BeckerInstitut Prof. Dr. Becker

Nonnenweg 120a51503 Rösrath