Whitepaper

KRITIS – ISO 27001:2013 im Gesundheitswesen Seite 1 von 8

WHITEPAPER

KRITIS – ISO 27001:2013 im Gesundheitswesen

Eine Zertifizierung nach ISO 27001 zur Umsetzung des

IT-Sicherheitsgesetzes für Betreiber Kritischer Infrastrukturen

Ansprechpartner: Horst Wenning

E-Mail: horst.wenning@aurasec.de

Unter den Linden 16

10117 Berlin

T 030 408173352

F 05334 948624

Whitepaper

KRITIS – ISO 27001:2013 im Gesundheitswesen Seite 2 von 8

INHALT

1 MANAGEMENT SUMMARY ................................................................................................... 3

2 WAS UMFASST DEN KRITIS-SEKTOR „GESUNDHEIT“ ........................................................... 4

3 WAS VERBIRGT SICH HINTER ISO 27001 .............................................................................. 5

4 BRANCHENSPEZIFISCHES FACHWISSEN – WICHTIG FÜR DAS AUDIT .................................. 5

5 KOSTEN-NUTZEN BETRACHTUNG ......................................................................................... 7

6 SCHRITTE ZUR UMSETZUNG EINES ISMS NACH ISO 27001 ................................................. 7

7 FAZIT ...................................................................................................................................... 8

Whitepaper

KRITIS – ISO 27001:2013 im Gesundheitswesen Seite 3 von 8

1 Management Summary

Infrastrukturen im Allgemeinen und Kritische Infrastrukturen im Besonderen sind die unverzichtbaren

Lebensadern moderner, leistungsfähiger Gesellschaften. In Deutschland existieren im Rahmen der

nationalen Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) sowie der aktuellen

Gesetzgebung für Einrichtungen und Institutionen im Gesundheitswesen viele neue Herausforderun-

gen.

Kritische Infrastrukturen sind gemäß der Definition des Bundesministeriums des Inneren „Institutio-

nen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall

oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentli-

chen Sicherheit oder andere dramatische Folgen eintreten würden.“

Die Gewährleistung des Schutzes dieser Infrastrukturen ist daher eine Kernaufgabe staatlicher und

unternehmerischer Sicherheitsvorsorge und zentrales Thema der Sicherheitspolitik unseres Landes.

Deutschland hat sich sowohl national als auch international des Schutzes Kritischer Infrastrukturen

aktiv angenommen und wird vom Grundsatz gemeinschaftlichen Handelns von Staat, Gesellschaft und

Wirtschaft geleitet.

Um unter anderem Mindestsicherheitsstandards zu gewährleisten, wurden Gesetze wie das

IT-Sicherheitsgesetz und das KonTraG erlassen, aber auch branchenspezifische Regelungen wie das

Energiewirtschaftsgesetz (EnWG) für den Energiebereich, das Telekommunikationsgesetz (TKG) für

den Telekommunikationsbereich oder MaRisk für den Banken- und Finanzdienstleistungsbereich

angepasst. Weitere Standards entstehen über die Definition branchenspezifischer Mindestsicherheits-

anforderungen.

Für das Gesundheitswesen fehlt es bisher sowohl an dezidierten Branchenstandards als auch an einer

Rechtsverordnung.

Bedeutet dies, nichts zu tun und abzuwarten?

Die aktuellsten Ereignisse – Hackerangriff auf ein Krankenhaus, OP-Termine abgesagt – zeigen, dass

niemand vor Angriffen auf seine IT-Infrastruktur sicher ist. Vor diesem Hintergrund erscheint es

fahrlässig, nicht zu handeln, denn die Verantwortlichen müssen sicherstellen, dass die Informations-

sicherheit zu jedem Zeitpunkt gewährleistet ist, um eigene Haftungsrisiken zu minimieren. Zudem

wird die Zeit bis zur nachweislichen Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz

schnell knapp. Bis Ende 2018 müssen die Anforderungen umgesetzt sein und der damit zusammen-

hängende Aufwand sollte nicht unterschätzt werden.

Whitepaper

KRITIS – ISO 27001:2013 im Gesundheitswesen Seite 4 von 8

Was kann jetzt getan werden?

Die Gefährdung der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit der Informationen

durch menschliche Fehlhandlung, technisch-organisatorische Mängel, höhere Gewalt und Angriffe von

außen werden durch die Einführung eines ISMS (Informations-Sicherheits-Management-Systems)

minimiert bzw. auf jeden Fall erheblich reduziert.

Was ist der richtige Weg?

In Ermangelung eines einheitlichen ISMS-Branchenstandards für das Gesundheitswesen ist es

notwendig, einen generischen und skalierbaren Ansatz zu wählen, der zukünftige Entwicklungen

antizipieren kann: Die ISO/IEC 27001 als internationaler De-Facto-Standard mit nationaler Anerken-

nung durch das BSI Gesetz (§ 8 a Nr. 3 Satz 2: DER NACHWEIS KANN DURCH SICHERHEITS-AUDITS, PRÜFUNGEN

ODER ZERTIFIZIERUNGEN ERFOLGEN…) setzt bereits heute die bekannten Forderungen von KRITIS um, ohne

von zukünftigen Entwicklungen abgeschnitten zu sein.

2 Was umfasst den KRITIS-Sektor „Gesundheit“

Mit der Einteilung Kritischer Infrastrukturen in nunmehr neun Sektoren und 29 Branchen liegt nun

erstmals eine zwischen Bund und Ländern abgestimmte Grundlage für die Kooperation von Staat und

Wirtschaft beim Schutz Kritischer Infrastrukturen vor. In den KRITIS-Sektoren wird das Gesundheits-

wesen direkt angesprochen und die Branchen wie folgt definiert:

• medizinische Versorgung

• Arzneimittel und Impfstoffe

• Labore

Allen gemein ist, dass die Umsetzung eines ISMS nach ISO/IEC 27001 sowie ggf. branchen-spezifischer

Ergänzungen wie z.B. der ISO/IEC TR 27019 für IPC-Systeme im Energiebereich, der ISO/IEC 27011 für

TK-Unternehmen oder einer ganzen Reihe von Anforderungen aus MaRisk, BASEL II oder III und

Rundschreiben der BaFin für Banken/Finanzdienstleister etc. vorgesehen ist. Fehlende spezifische

Regelungen müssen binnen zwei Jahren von den Branchenverbänden erstellt werden. Ferner gibt es

ggf. Mitteilungspflichten bei bestimmten Vorfällen an das in seinen Kompetenzen erweiterte BSI.

Brauchen Sie besonderen Schutz?

Informationssicherheit ist in der modernen Geschäftswelt nicht mehr wegzudenken, verlassen sich

doch die Mehrzahl aller Dienste, Leistungen und Angebote auf eine sichere Verarbeitung von

Whitepaper

KRITIS – ISO 27001:2013 im Gesundheitswesen Seite 5 von 8

Informationen. Ein Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit wichtiger Informationen

kann sich schnell geschäftskritisch und besonders rufschädigend auswirken.

Gerade im Zeitalter des Web 2.0 wird die Sicherheit von Informationen immer wichtiger, gleicherma-

ßen aber auch immer gefährdeter.

© Tomasz Zajda | Foto-ID: #98980705 | fotolia.com

3 Was verbirgt sich hinter ISO 27001

Durch eine Zertifizierung nach ISO 27001 kann der Nachweis erbracht werden, dass die zertifizierte

Einrichtung die Anforderung von KRITIS antizipiert und entsprechende Maßnahmen eingeleitet hat.

Der Fokus eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 liegt auf den

Rahmenbedingungen, nach denen ein ISMS aufgesetzt und betrieben werden muss, um die Zertifizie-

rung zu erlangen.

Wenn sich eine Einrichtung des Gesundheitswesens nach ISO 27001 zertifizieren lässt, bedeutet dies,

dass eine akkreditierte Zertifizierungsstelle bestätigt, dass die Einrichtung ein ISMS aufgebaut hat und

dieses nach festgelegten Kriterien, eben der ISO 27001, geprüft und bestätigt wird.

Der Aufbau eines ISMS bildet somit das Herzstück einer ISO 27001-Zertifizierung.

4 Branchenspezifisches Fachwissen – Wichtig für das Audit

In den grundsätzlich branchenneutral gefassten ISO-Normen wird definiert, welche Prozesse,

Kennzahlen und Benchmarks herangezogen werden, um die in der Norm definierten Ziele zu errei-

chen. Für die ISO 27001, auf das Gesundheitswesen angewendet, bedeutet dies, welche Prozesse,

Whitepaper

KRITIS – ISO 27001:2013 im Gesundheitswesen Seite 6 von 8

Kennzahlen und Benchmarks die Informationssicherheit in einer Einrichtung des Gesundheitswesens

gewährleisten.

Ohne Branchenkenntnisse können die kritischen Prozesse jedoch nicht ermittelt werden. Ein Prozess,

der nicht wie geplant abläuft, kann in der einen Einrichtung die gesamte Prozesskette lahmlegen und

in der anderen so gut wie keinen Schaden anrichten.

Es ist daher zwingend erforderlich, dass der Verantwortliche für den Aufbau eines ISMS in einer

Einrichtung des Gesundheitswesens über umfangreiche Branchenkenntnisse verfügt, die ihn in die

Lage versetzen, die kritischen Prozesse zu erkennen. Dies wird man immer von solchen Spezialisten

erwarten können, die bereits Kenntnisse und praktische Erfahrung aus der Einführung, Umsetzung und

Zertifizierung nach ISO 27001 im Gesundheitswesen gewonnen haben.

Nur so werden die kritischen Prozesse entdeckt und die angemessenen Benchmarks gesetzt, damit

die KRITIS-Anforderungen erfüllt werden können.

Die Ziele Risikominimierung, Erhöhung der Sicherheit und Minderung der Haftungsrisiken für die

Unternehmensverantwortlichen sind nur mit Branchenkennnissen und praktischer Erfahrung in der

Umsetzung der ISO 27001 zu erreichen.

Die Compliance-Grundsätze im Gesundheitswesen wie Aufbewahrung, Löschung von Patientendaten

nach branchenspezifischen Anforderungen: MedGV, Röntgenverordnung, Transfusionsgesetz,

Arzneimittelgesetz etc. müssen bekannt sein.

© contrastwerkstatt | Foto-ID: #100574955 | fotolia.com

Die Identifizierung und Klassifizierung der schützenswerten Objekte sind stets branchenspezifisch. Sie

erfordern eine hohe fachliche und Zertifizierungsexpertise derjenigen, die die Einrichtung beim Aufbau

eines ISMS unterstützen. Die branchentypische Ausrichtung beginnt bereits mit der Konzeption des

ISMS, da das ISMS die Basis zur Erfüllung der KRITIS-Anforderungen bildet.

Whitepaper

KRITIS – ISO 27001:2013 im Gesundheitswesen Seite 7 von 8

5 Kosten-Nutzen Betrachtung

Eine ISO 27001-Zertifizierung auf Basis eines ISMS kann Kosten senken, da die Wahrscheinlichkeit von

Schadensfällen sinkt.

Die aktuellsten Cyber-Attacken gegen Krankenhäuser zeigen das große Kostenrisiko eines erfolgrei-

chen Angriffs – der vollständige Ausfall der IT-Systeme führt zu einem massiv eingeschränkten Betrieb,

geplante Operationen müssen abgesagt werden und lediglich eine Notfallversorgung ist möglich.

Darüber hinaus sind nach einem solchen Zwischenfall umfangreiche manuelle Nacharbeiten nötig, um

die notwendigen Daten zu erfassen. Hinzu kommen Datenschutzaspekte und der mögliche Missbrauch

von Patientendaten.

Eine Kosten-Nutzen-Betrachtung wird am Beispiel von Versicherungspolicen deutlich, die die Einrich-

tungen im Gesundheitswesen für bestimmte Schadenfälle abschließen, wie beispielsweise gegen die

Haftungsrisiken von Kunstfehlern. Die Versicherungen richten ihre Versicherungsprämien in der Regel

danach aus, wie hoch die Wahrscheinlichkeit ist, dass der jeweils versicherte Schaden eintritt und sie

in die Pflicht genommen würden, den Schaden zu regulieren. Das gleiche gilt für sogenannte Cyber-

Policen, die den Schaden versichern, der durch den Verlust von Vertraulichkeit, Verfügbarkeit und

Integrität von Daten oder IT-Systemen entsteht. Die Kosten für solche Versicherungen werden weiter

steigen, wenn dem nicht seitens des Unternehmens entgegengewirkt wird.

© Sauerlandpics | Foto-ID: #25532432 | fotolia.com

Somit gehört zu einer vollständigen Kosten-Nutzen-Betrachtung immer auch eine Risikoanalyse, die

die Eintrittswahrscheinlichkeit und die Schadenshöhe bewertet.

6 Schritte zur Umsetzung eines ISMS nach ISO 27001

Zur Umsetzung eines ISMS nach der ISO 27001 sind verschiedene Vorbereitungen nötig um das Ziel

einer Zertifizierung nach ISO 27001 zu erreichen.

Whitepaper

KRITIS – ISO 27001:2013 im Gesundheitswesen Seite 8 von 8

Der ersten Schritte sind die Definition der Verantwortlichkeiten und die Bereitstellung der notwendi-

gen personellen Ressourcen. Neben den unmittelbaren Projektverantwortlichen sind die Key Player in

diesem Prozess die Unternehmensleitung, der Informationssicherheits-beauftragte, der Datenschutz-

beauftragte und die Verantwortlichen für die IT-Systeme.

Nach der Definition der Verantwortlichen hat sich in der praktischen Umsetzung ein modulares

Vorgehen bei der Vorbereitung der ISO 27001-Zertifizierung angeboten, wie es in der nachfolgenden

Tabelle vorgestellt wird.

7 Fazit

Die erfolgreiche ISO 27001-Zertifizierung stellt den wichtigsten Schritt zur Umsetzung der KRITIS-

Anforderungen dar und bietet darüber hinaus die Möglichkeit, ein Mehr an Vertrauen in die Sicherheit

und die angebotenen Leistungen einer Einrichtung des Gesundheitswesens zu gewinnen – Gewinn

durch mehr Informationssicherheit. Darüber hinaus reduzieren der Aufbau eines ISMS und eine

Zertifizierung nach ISO 27001 die Haftungsrisiken der verantwortlichen Mitarbeiter und der Geschäfts-

führung erheblich.

© puhhha | Foto-ID: #69082343 | fotolia.com