Home
Intern
veröffentlicht am 11. Dezember 2020; Autoren: Jürgen Schwestka, Konrad Klein
Nachdem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) am 28. August 2020 eine neue Version der „Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG” veröffentlicht wurde, warf das einige neue Fragen zur Durchführung der Nachweisverfahren auf. Im Branchenarbeitskreis „Medizinische Versorgung” wurde daher eine Kommentierung zur Orientierungshilfe erstellt, welche den KRITIS-Betreibern, Prüfenden Stellen und Audit-Teams dabei helfen soll, ein gemeinsames Prüfverständnis zu bekommen. Das gemeinsame Verständnis der Anforderungen soll u.a. durch Vorschläge für das Design von zu erstellenden Nachweisdokumenten (insbesondere Geltungsbereich und Netzstrukturplan), die Prüfnachweisplanung durch Anwendung des „BAK Prüfnachweisplaner-Tool V3.0” sowie branchenspezifische Fallbeispiele gestärkt werden. Eine Nachweisführung im Sinne einer „B3S-Checklisten-Prüfung” ist im Branchenkontext nichtzielführend, um den Anforderungen des §8a (3) BSIG gerecht zu werden und eine Verbesserung der Informationssicherheit zu erreichen. Prüfschwerpunkt müssen die organisatorischen und technischen Maßnahmen zur Absicherung der informationstechnischen Systeme, Komponenten und Prozesse im individuellen Betreiberkontext und eine Bewertung deren Angemessenheit sein! Auch wenn die Orientierungshilfe nun das Thema Business Continuity Management (BCM) aufgenommen hat, beinhaltet ein Nachweis gemäß §8a (3) BSIG dennoch keine Überprüfung des vollständigen Business-Continuity-Managements eines KRITIS-Betreibers im Sinn des betriebswirtschaftlichen Sprachgebrauchs. Ebenso beinhaltet es keine Überprüfung des Datenschutzmanagementsystems gemäß DSGVO, auch wenn der Nachweis gemäß §8a (3) natürlich in Teilbereichen das betriebliche Kontinuitätsmanagement und das technische Datenschutzkonzept eines Krankenhauses berührt. Der überarbeitete Prüfnachweisplaner in Version 3.0 soll dabei helfen ein vergleichbares Vorgehen über alle KRITIS-Betreiber und Prüfenden Stellen hinweg zu ermöglichen, sodass sich das BSI ein vernünftiges Lagebild verschaffen kann. Ansonsten besteht die Gefahr, dass Prüfungen im Umfang von drei Prüftagen und Prüfungen im Umfang von 50 Prüftagen gleich gewertet werden und in dem Haus mit der ausführlichen Prüfung in der Konsequenz mehr Mängel identifiziert wurden, da hier wesentlich intensiver geprüft werden konnte. Dies kann zu einer verzerrten Sicht und Interpretation der Ergebnisse führen und lässt das lediglich kursorisch geprüfte Haus im Vergleich zu gut dastehen. Die auf Basis der Anzahl der Fachabteilungen und vollstationären Fälle ermittelten Prüftage sind als Empfehlung zu verstehen, welche auf Basis von Erfahrungswerten entwickelt wurden. Die große Neuerung am Prüfnachweisplaner ergibt sich aus der Möglichkeit, nun für die einzelnen kDL-Systeme, welche im Fokus stehen, die zu prüfenden Schwerpunkte (Kapitel) aus dem B3S festzulegen. Aus dieser Matrix lässt sich ohne großen Aufwand die „Anlage Prüfablauf” erstellen, welche beim BSI gemäß der neuen Orientierungshilfe einzureichen ist. Somit ergibt sich auch für die Prüfenden Stellen ein Vorteil, wenn sie die Prüfung auf Basis des Prüfnachweisplaners aufbauen. Da der Branchenarbeitskreis keinen eigenen Internetauftritt hat, wurden die beiden Dokumente aufseiten des „Bundesverband der Krankenhaus IT-Leiterinnen/Leiter KH-IT” veröffentlicht. Dort ist im Übrigen auch ein Konzeptpapier des BSI zur Durchführung von Remote-Prüfungen zu finden. Dies ist in Abhängigkeit der Entwicklung der Covid-19 Pandemie sicherlich für die Planung der Nachweisverfahren 2021 von Bedeutung.
Jürgen Schwestka
Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW
Partner
Anfrage senden
Jonas Buckel
B.A. Wirtschaftsinformatik, Zert. ITSiBe / CISO, IT-Auditor IDW
Manager
