Home
Intern
veröffentlicht am 20. März 2019; Autoren: Jürgen Schwestka, Konrad Klein
Mit dem seit Juli 2015 gültigen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) sollen die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gemacht werden. Insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS) – wie etwa Strom- und Wasserversorgung oder Ernährung – hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen. Es wird damit gerechnet, dass Versorgungsengpässe zu sozialen Unruhen führen könnten, die unbedingt vermieden werden sollen. Die Verfügbarkeit und Sicherheit der IT-Systeme, der Komponenten und Prozesse spielt somit eine wichtige und zentrale Rolle, wenn sie für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen maßgeblich sind.
Im Bereich Gesundheitswirtschaft zählen u. a. die folgenden Bereiche als Kritische Infrastrukturen:
Auch wenn sie eigentlich zum Sektor Finanz- und Versicherungswesen zählen, gelten Private Krankenversicherungen mit 2.000.000 Leistungsfällen und gesetzliche Kranken- und Pflegeversicherungen mit mehr als 3.000.000 Versicherten zu den Betreibern Kritischer Infrastrukturen.
Betreiber Kritischer Infrastrukturen werden verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezialregelungen bestehen – diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen.
Darüber hinaus müssen die Betreiber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche IT-Sicherheitsvorfälle melden. Die aus diesen Meldungen, aber auch aus diversen weiteren Informationen, gewonnenen Erkenntnisse stellt das BSI allen KRITIS-Betreibern zur Verfügung, damit diese ihre IT angemessen schützen können.
Die Pflicht zur Einhaltung von IT-Sicherheitsstandards (Stand der Technik), zu denen Betreiber Kritischer Infrastrukturen mit dem IT-Sicherheitsgesetz verpflichtet werden, besteht erst zwei Jahre nach Inkrafttreten der Verordnung, aus der der Kreis der konkret Betroffenen ermittelt werden kann. Konsequenterweise drohen auch erst dann Bußgelder, wenn der Pflicht nicht nachgekommen wird. Für die Gesundheitswirtschaft ist der Stichtag der 29. Juni 2019.
„Stand der Technik” ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen Jahren bewährt, in Gesetzen auf den „Stand der Technik” abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unterscheiden können, ist es nicht möglich, den „Stand der Technik” allgemeingültig und abschließend zu beschreiben.
Die Deutsche Krankenhausgesellschaft hat einen ersten Teil eines Entwurfs für einen Branchenspezifischen Sicherheitsstandard (B3S) erstellt und mit dem Branchenarbeitskreis „Medizinische Versorgung” in mehreren, teils umfangreichen Kommentierungsrunden abgestimmt. Dieser ist inzwischen zur Feststellung der Eignung für die Umsetzung der Anforderungen nach § 8a BSIG an das Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt worden.
Im Bereich der Krankenversorgung werden insbesondere folgende Bereiche als kritisch gesehen:
Hinzu kommen die allgemeine Informationstechnik und die Kommunikationstechnik.
Während sich beim KIS alle einig sind, kommen bei anderen Systemen wie dem Essensbestellsystem regelmäßig Diskussionen auf. Für einen Teil gilt dieses System als extrem kritisch, für andere ist es von nur geringer Bedeutung. Dies zeigt deutlich, dass man sich kritisch mit jedem einzelnen System auseinander setzen muss, insbesondere mit der Frage, was ein Ausfall für die medizinische Versorgung bedeuten würde: Kann die Kritische Dienstleistung weiter erbracht werden? Gibt es eventuell alternative Wege, den Prozess am Laufen zu halten? Und wie lange darf ein System ausfallen, damit die Kritische Dienstleistung nicht gefährdet ist? Eine hundertprozentige Sicherheit gibt es nie – man muss aber auf alle Eventualitäten vorbereitet sein und geeignete Gegenmaßnahmen ergreifen können (z.B. schneller System-Restore, der die Datenintegrität garantieren kann).
Hier zeigt sich, wie wichtig die Erfahrung der Prüfer ist, um die Situation vor Ort richtig beurteilen zu können. Es gelten insbesondere die folgenden Anforderungen:
Da der B3S zum aktuellen Zeitpunkt noch keine genauen Prüfkriterien zur Beurteilung enthält, empfiehlt es sich bis auf Weiteres die Prüfungshilfe des Instituts der Wirtschaftsprüfer in Deutschland e. V. (IDW) als Vergleichsgrundlage heranzuziehen. Darin sind knapp 100 Kriterien enthalten, die zur Beurteilung der IT-Systeme herangezogen werden können. Diese umfassen die folgenden Prüfgebiete:
Die Anwendung der Prüfungshilfe erleichtert ebenfalls eine Vergleichbarkeit der Prüfungen über verschiedene Prüfungsgesellschaften und Anbieter Kritischer Dienstleistungen hinweg. Zudem stellt sie ein gewisses Mindestniveau an Prüfungsqualität und Dokumentation sicher.
Jürgen Schwestka
Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW
Partner
Anfrage senden
Jonas Buckel
B.A. Wirtschaftsinformatik, Zert. ITSiBe / CISO, IT-Auditor IDW
Manager
Assurance & IT
