KRITIS: Auswirkungen der BSI Verordnung auf die ... · KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheitin Krankenhäusern Dr. med. Alexander Euteneier MBA APS‐Jahrestagung

KRITIS: Auswirkungen der BSI‐Verordnung auf diePatientensicherheit in Krankenhäusern

Dr. med. Alexander Euteneier MBA

APS‐Jahrestagung03./04. Mai 2018Berlin

KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin

Herausgeber und Hauptautor: Alexander EuteneierISBN 978‐3‐662‐45149‐6Erscheinungsdatum: 17. November 2015, 670 Seiten35 Autoren aus dem deutschsprachigen RaumKaufpreis 99,99.‐€


Unsere Ausbildungen und Seminare

Herrsching am Ammersee: 07.– 09. Juni & 05.– 07. Juli 2018

Berlin 05. Juni 2018

Cyber‐Sicherheit für das Krankenhaus

Zertifizierte Ausbildung zum klinischen Risikomanager



Cybersicherheit – Fallbeispiele BSI – Verordnung Erste Schritte



Grafik: Prof. Dr. Fredmund Malik, St. Gallen

Die Grosse Transformation des 21 Jahrhunderts – die Alte Welt, wird zu einer Neuen Welt, die wir noch nicht kennenDigitales IoT

Zeitalter der Disruption


Verlagerung klassischer Kommunikationsrisiken

in informationstechnische Prozessrisiken


Cybersicherheit –Fallbeispiele


Angriff im OP: Hacker könnten Narkosegeräte manipulieren

Sonntag, 09.08.2015 – 18:39 Uhr


Montag, 28.12.2015


Montag, 15.02.2016


Industrialisierung von HackingDatendiebstahl als Milliardengeschäft

$ 2500$ >1000

$ 1 /15 friends$ 1

$ 0,25‐60

$ 300 $ ‐7/hour$ >50 $ 50/500k

$ 150

$ 450 Mrd. –$ 1.000 Mrd.


Device ThreatsNetworks Threats



IT‐Risiken in IT‐Netzwerken:

physische

technische

organisatorische

verfahrenstechnische


IT‐Notfälle: Brand

Feuchtigkeitsschäden und Wasser

Fremdzugriff

Stromausfall, ‐schwankung und Überspannung

Ausfall von Netzwerkkomponenten (aktive und passive Komponenten),

elektromagnetische Störungen

Hackerangriffe mittels eingeschleuster Schadsoftware

(Fehl‐)Verhalten der eigenen Mitarbeiter

Nicht‐Verfügbarkeit von Internet oder Telefonie

etc


Ergebnisse der BSI‐Umfrage zur Betroffenheit durch Ransomware im deutschen Gesundheitswesen Frühjahr 2016

Ransomware im deutschen Gesundheitswesen


BSI – Software‐Schwachstellen ‐ 2016

Anzahl aller Schwachstellen der 10 verbreitetsten in der BSI‐Schwachstellenampel erfassten Softwareprodukte.


IEC 80001 IT – Risiken

BSI DIE LAGE DER IT‐SICHERHEIT IN DEUTSCHLAND 2016


Aktuelle Cyber‐Sicherheitsindustrie


BSI – Verordnung


IT‐Sicherheitsgesetz (Juli 2015) ‐ Artikelgesetz

Das IT‐Sicherheitsgesetz beinhaltet insbesondere umfassende Anforderungen an KRITIS‐Betreiber. Diese treten nach Konkretisierungen in den Rechtsverordnungen in Kraft.

Meldepflichten Benennung einer Kontaktstelle und Meldung erheblicher Sicherheitsvorfälle an das BSI

IT SicherheitsstandardsAngemessene organisatorische und technische Sicherheitsmaßnahmen nach Stand der Technologie, branchenspezifische Sicherheitsstandards sind möglich

AuditsDie Erfüllung der IT Sicherheitsstandards ist alle zwei Jahre durch Audits, Prüfungen oder Zertifizierungen zu belegen.


Nationale Strategie zum Schutz Kritischer Infrastrukturen

Im Jahr 2009 veröffentlichte das Bundesministerium des Innern (BMI) die „Nationale Strategie zum Schutz Kritischer Infrastrukturen“, in der auch auf die besonderen Risiken und Gefährdungen für Informations‐infrastrukturen Bezug genommen wird.

K1: 03.05.2016 K2: 31.05.2017

K1

K1

K1

K1

K2

K2

K2


Nach § 8a BSIG, müssen Betreiber Kritischer Infrastrukturen die Einhaltung von IT‐Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.


Wesentlichen Kriterien

Vertraulichkeit: Der Arzt muss die Vertraulichkeit der übermittelten Information gewährleisten, so dass nicht Unbefugte Kenntnis von diesen erhalten.

Authentizität: Die sichere Zuordnung der patientenbezogenen Information zum Urheber (Absender) und der Nachweis, dass die Information nicht verändert wurde, müssen gegeben sein.

Integrität: Die patientenbezogene Information muss in allen Phasen der Verarbeitung unversehrt, vollständig, gültig und widerspruchsfrei bleiben.

Verfügbarkeit: Die patientenbezogene Information muss dort, wo sie benötigt wird, zeitgerecht und bearbeitbar zur Verfügung stehen.

Datenschutz und Cyber‐Sicherheit


Schwellenwerte für einzelne Branchen

Umsetzungsplans Kritische Infrastrukturen im Gesundheitswesen: Ab 1.4.2017

Betroffenen Krankenhäuser: > 30.000 vollstationäre Fälle / a

Meldepflichten Ab dem Zeitpunkt der Benennung der Kontaktstelle entsteht für den Betreiber auch die Verpflichtung zur Meldung von „erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“ der eingesetzten informations‐technischen Systeme, Komponenten und Prozesse, wenn diese den Ausfall oder die Beeinträchtigung der Funktionsfähigkeit der betriebenen kritischen Infrastruktur zur Folge hatten oder hätten haben können. (www.dkgev.de)


Meldepflichtige IT‐Störungen


Benennung der IT-Ansprechpartner (IT-Sicherheits-beauftragter) aus den Kliniken

beim BSI Dezember 2017 Erster Audit-Bericht Juli 2019


Erste Schritte


IT‐Grundschutzkatalog


Die BSI‐Standards 200‐1, 200‐2 und 200‐3 lösen seit Oktober 2017 die BSI‐Standards der Reihe 100‐x ab.Der BSI‐Standard 200‐1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er ist weiterhin kompatibel zum ISO‐Standard 27001 und berücksichtigt die Empfehlungen der anderen ISO‐Standards wie beispielsweise ISO 27002.Der BSI‐Standard 200‐2 bildet die Basis der bewährten BSI‐Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS). Er etabliert drei neue Vorgehensweisen bei der Umsetzung des IT‐Grundschutzes. Aufgrund der ähnlichen Struktur der beiden Standards 200‐1 und 200‐2 können Anwender sich gut in beiden Dokumenten zurechtfinden.Der BSI‐Standard 200‐3 beinhaltet erstmals gebündelt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT‐Grundschutzes. Der Vorteil für die Anwender ist ein deutlich reduzierter Aufwand, um ein angestrebtes Sicherheitsniveau zu erreichen. Der Standard bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT‐Grundschutz‐Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT‐Grundschutz‐Analyse anschließen möchten.

BSI ‐ Standards


Audits gemäß B3S als Nachweis der IT‐Sicherheit

Branchensicherheitsstandard als Prüfgrundlage


Relevante Dokumente für das BSI

Ergänzende Dokumente IT‐Sicherheitsgesetz/BSI‐Gesetz

ISO/IEC DIS 27001:2013

ISO/IEC FDIS 27002:2013

ISO/DIS 27799:2014

IEC 80001

IEC 60601‐1‐8

KRITIS‐Sektorstudie Gesundheit, nicht‐öffentliche Version, Entwurf, 02/2016

BSI‐Grundschutz


ISO/IEC 27001:2013 GRC – Ansatz

Informationssicherheit ManagementsystemISMS nach ISO/IEC 27001

= Information Systems Audit and Control Association



Cyber‐Sicherheit

THIRD Line of DefenceInterne / externe Audits

SECOND Line of DefenceRisikomanagement

FIRST Line of DefenceManagement

Cybersicherheit ComplianceInterne TestsKontrollen

Risiko‐ID und BewertungMaßnahmen zur R‐ReduzierungBusiness Continuity Management

SelbstbewertungenManagement‐ReviewRessourcenbereitstellungRisiko‐Strategie


Cyber‐Sicherheit

Primär muss ein Verständnis des Managements vorhanden sein für die Notwendigkeit von Maßnahmen zur Cyber-Sicherheit, den Schutzbedarf der Patientenprozesse sowie deren

Abhängigkeiten und Cyber-Bedrohungen durch Einsatz von IT.


Prüfverfahrenskompetenzfür § 8a BSIG

Audit –Kompetenz

IT‐Sicherheits ‐Kompetenz

Branchen –Kompetenz

Kompe

tenz‐

bereiche

In den letzten 3 Jahren: Auditteamleitungen von 4

Erstparteien oder Zweitparteien‐Audits 30

PT inkl. IT‐AnteilOder: Beteiligung an Zertifizierungen 30 PT, davon max. 10 PT als

Fachexperte

In den letzten 8 Jahren:Berufserfahrung 5 Jahre IT, davon

2 Jahre IT‐Sicherheit

In den letzten 5 Jahren:3 Jahre

Berufserfahrung im zu prüfenden

Prüfgegenstand

Kompe

tenz‐‐

anforderun

gen


Prüfgrundlage

Es gibt folgende Möglichkeiten

Auf Basis eines geeigneten B3S

Auf Basis einer individuell definierten Prüfgrundlage

Mischung aus beiden

Anmerkung: Sofern ein B3S vorliegt, dessen Eignung durch das BSI festgestellt wurde und in diesem Anforderungen stehen, die von denen der Orientierungshilfe abweichen, gehen die spezifischen Anforderungen des B3S vor




Kategorisierung der Verfügbarkeit im Rahmen von

»service level agreements«Klasse VerfügbarkeitInstabil <90 %Labil 90–99 %Stabil 99 %Verfügbar 99,9 %Hochverfügbar 99,99 % Fehlerunempfindlich 99,999 %Fehlertolerant 99,9999 %»Six sigma level« 99,99966 %Fehlerresistent 99,99999 %

ca. 8 h/aca. 0,88 h/a


Shell-Modell

Hörmann, in Handbuch klinisches Risikomanagement, Euteneier, 2015


screw itLet´s do it


Dr. med. Alexander Euteneier, MBA Risikomanagement‐ und Prozessmanagement‐BeratungFacharzt für Chirurgie, Notfallmedizin

Euteneier Consulting GmbH Neuhauserweg 582211 Herrsching am AmmerseeTel: 08152 9991881Mobile: 0151 1660 8888 Email: ae@euteneier‐consulting.de www.euteneier‐consulting.de Reg. Gericht München HRB 209332

Besten Dank für Ihre Aufmerksamkeit

Documents

KRITIS: Auswirkungen der BSI Verordnung auf die ... · KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheitin Krankenhäusern Dr. med. Alexander Euteneier MBA APS‐Jahrestagung