Suchen

Wenn Leben von IT-Sicherheit abhängen Mit B3S zu mehr Sicherheit in Krankenhäusern

| Autor / Redakteur: Jörg Kretzschmar / Julia Mutzbauer

Bei Angriffen auf Krankenhäuser haben es Cyberkriminelle oft auf wertvolle Patientendaten abgesehen. Aus diesem Grund gelten sie gemäß BSI als Kritische Infrastrukturen (KRITIS). Um Krankenhäuser bei der Umsetzung der gesetzlichen Anforderungen in Bezug auf Cyber-Sicherheit zu unterstützen, hat die Deutsche Krankenhausgesellschaft (DKG) den branchenspezifischen Sicherheitsstandard B3S Krankenhaus entworfen.

Firma zum Thema

Um Krankenhäuser bei der Umsetzung des IT-Sicherheitsgesetzes zu unterstützen, legte die DKG dem BSI als Leitfaden den Sicherheitsstandard B3S Krankenhaus vor
Um Krankenhäuser bei der Umsetzung des IT-Sicherheitsgesetzes zu unterstützen, legte die DKG dem BSI als Leitfaden den Sicherheitsstandard B3S Krankenhaus vor
(Bild: adam121 - stock.adobe.com )

Insbesondere die letzten Angriffe auf Krankenhäuser in Deutschland machten deutlich, wie schnell komplette Einrichtungen lahmgelegt werden können. Patientendaten werden auf IT-Systemen gespeichert und auch diverse medizintechnische Geräte kommunizieren über die IT. Fällt diese aus, gerät die Patientenversorgung ins Stocken.

Solchen und anderen Vorfällen soll das seit Juli 2015 gültige IT-Sicherheitsgesetz entgegenwirken. Um einen angemessenen Schutz der IT-Systeme gewährleisten zu können, müssen Krankenhäuser technische und organisatorische Mindeststandards einführen und diese alle drei Jahre überprüfen lassen. Kommt es dennoch zu Sicherheitsvorfällen, müssen diese dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Doch Krankenhäuser fallen nicht nur unter das IT-Sicherheitsgesetz und somit die KRITIS-Verordnung des BSI. Gleichzeitig gelten für sie die Europäische Datenschutz-Grundverordnung (EU-DSGVO), der BSI IT-Grundschutz oder die ISO 27001 sowie ISO 80001. Jede Anforderung beinhaltet spezifische Maßnahmen, die es unbedingt umzusetzen gilt. Diese zunehmenden Anforderungen in Bezug auf Informationssicherheit sowie Datenschutz oder auch IT-Notfallplanung stellen viele Projektverantwortliche in Krankenhäusern vor große Herausforderungen.

B3S als branchenspezifischer Sicherheitsleitfaden

Um daher Krankenhäuser bei der Umsetzung insbesondere der Anforderungen des IT-Sicherheitsgesetzes zu unterstützen, legte die DKG dem BSI als Leitfaden den Sicherheitsstandard B3S Krankenhaus vor. BS3 gilt für Krankenhäuser mit mindestens 30.000 vollstationären Patienten pro Jahr. Der Standard beschreibt umfänglich Prozesse und über 160 spezifische Maßnahmen – technisch sowie organisatorisch.

Diese sollten Krankenhäuser umsetzen, um eine widerstandsfähige IT zu etablieren und so die Patientenversorgung langfristig sicherzustellen. Dazu zählt beispielsweise die Einführung eines gelebten Informationssicherheits-Managementsystems (ISMS) mit Risikomanagement oder auch ein Business Continuity Management inklusive prozessorientierter Notfallplanung.

Doch wieder stehen die Projektverantwortlichen vor der Herausforderung, sich durch Kataloge zu wälzen, die Umsetzung der Anforderungen entsprechend stets aktuell zu dokumentieren und die Maßnahmen langfristig aufrechtzuerhalten.

Vorteile einer softwarebasierten Umsetzung

Verantwortliche in Krankenhäusern bauen bei der Umsetzung von Sicherheitsstandards meist noch auf Word-Vorlagen und Excel-Tabellen. So auch externe Berater, die an diesem Punkt häufig in das Projekt involviert werden. Diese werden ausgedruckt, in diversen Aktenordnern abgeheftet und ins Regal gestellt. Ändern sich nun Zuständigkeiten, werden Nachweise fällig oder muss beispielsweise eine Regelung aktualisiert werden, beginnt die Suche nach der Nadel im Heuhaufen. Um dauerhaft ein aktuelles Managementsystem auf die Beine zu stellen, reichen händisch durchgeführte Dokumentationen in Word und Excel also nicht aus.

Im Gegensatz zu dieser Vorgehensweise kann eine entsprechende Softwarelösung, wie die Software INDITOR, nicht nur die Einführung, sondern auch die langfristige Pflege beispielsweise eines ISMS enorm erleichtern. Der Nutzer kann die geforderten Maßnahmen dokumentieren und beispielsweise bestehende Dokumente aus branchenspezifischen Normen und Katalogen einbinden. Über Importer und Schnittstellen lassen sich zudem Daten wie die IT-Infrastruktur oder das Personal in eine entsprechende Softwarelösung laden und dort zentral pflegen. Sind Zuständigkeiten, Prozesse sowie Infrastrukturen erst einmal systematisch dokumentiert und verknüpft, erleichtert dies die Umsetzung diverser Sicherheitsstandards enorm.

Fazit

Durch die zunehmenden Cyberangriffe auf Krankenhäuser stehen diese mehr denn je in der Verantwortung, ihre IT sowie die von IT-Systemen abhängigen Prozesse angemessen abzusichern, um so jederzeit eine zuverlässige Patientenversorgung zu gewährleisten. Mit dem neuen branchenspezifischen Sicherheitsstandard B3S liefert die Deutsche Krankenhausgesellschaft einen Leitfaden, um Einrichtungen die Umsetzung technischer und organisatorischer Maßnahmen zu vereinfachen. Inzwischen gibt es bereits Softwarelösungen, die den B3S-Katalog integriert haben, um Anwendern eine selbstständige Umsetzung sowie eine einfache, langfristige Pflege zu ermöglichen.

Weitere Informationen

Das vollständige Dokument zum Sicherheitsstandard für die Gesundheitsversorgung finden Sie hier

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46276136)