KRITIS in der Gesundheitswirtschaft: ab dem 29. Juni 2019 drohen Bußgelder!

PrintMailRate-it

veröffentlicht am 20. März 2019 

 

Mit dem seit Juli 2015 gültigen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) sollen die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gemacht werden. Insbesondere im Bereich der Kritischen Infrastruk­turen (KRITIS) – wie etwa Strom- und Wasserversorgung oder Ernährung – hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen. Es wird damit gerechnet, dass Versorgungsengpässe zu sozialen Unruhen führen könnten, die unbedingt vermieden werden sollen. Die Verfügbarkeit und Sicherheit der IT-Systeme, der Komponenten und Prozesse spielt somit eine wichtige und zentrale Rolle, wenn sie für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen maßgeblich sind.

 

  

 

Fokus Gesundheitswirtschaft

Im Bereich Gesundheitswirtschaft zählen u. a. die folgenden Bereiche als Kritische Infrastrukturen:

 

 

 

Auch wenn sie eigentlich zum Sektor Finanz- und Versicherungswesen zählen, gelten Private Krankenver­sicherungen mit 2.000.000 Leistungsfällen und gesetzliche Kranken- und Pflegeversicherungen mit mehr als 3.000.000 Versicherten zu den Betreibern Kritischer Infrastrukturen.

 

Betreiber Kritischer Infrastrukturen werden verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforder­liche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezial­regelungen bestehen – diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen.

 

Darüber hinaus müssen die Betreiber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erheb­liche IT-Sicherheitsvorfälle melden. Die aus diesen Meldungen, aber auch aus diversen weiteren Informationen, gewonnenen Erkenntnisse stellt das BSI allen KRITIS-Betreibern zur Verfügung, damit diese ihre IT angemessen schützen können.

 

Die Pflicht zur Einhaltung von IT-Sicherheitsstandards (Stand der Technik), zu denen Betreiber Kritischer Infra­struk­­turen mit dem IT-Sicherheitsgesetz verpflichtet werden, besteht erst zwei Jahre nach Inkrafttreten der Verordnung, aus der der Kreis der konkret Betroffenen ermittelt werden kann. Konsequenterweise drohen auch erst dann Bußgelder, wenn der Pflicht nicht nachgekommen wird. Für die Gesundheitswirtschaft ist der Stichtag der 29. Juni 2019.

 

Die Schwierigkeit liegt im Detail

„Stand der Technik” ist ein gängiger juristischer Begriff. Die technische Entwicklung ist schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen Jahren bewährt, in Gesetzen auf den „Stand der Technik” abzustellen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung unter­schei­den können, ist es nicht möglich, den „Stand der Technik” allgemeingültig und abschließend zu beschreiben.

 

Die Deutsche Krankenhausgesellschaft hat einen ersten Teil eines Entwurfs für einen Branchenspezifischen Sicherheitsstandard (B3S) erstellt und mit dem Branchenarbeitskreis „Medizinische Versorgung” in mehr­eren, teils umfangreichen Kommentierungsrunden abgestimmt. Dieser ist inzwischen zur Feststellung der Eignung für die Umsetzung der Anforderungen nach § 8a BSIG an das Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt worden.

 

Im Bereich der Krankenversorgung werden insbesondere folgende Bereiche als kritisch gesehen:

 

  • Krankenhausinformationssystem (KIS)
  • Laborinformationssystem (LIS)
  • Radiologieinformationssystem (RIS)
  • Picture Archive and Communication System (PACS)
  • Dokumenten-Management-System (elektronische Patientenakte)
  • Medizintechnik
  • Transportlogistik
  • Versorgungsdienste

 

Hinzu kommen die allgemeine Informationstechnik und die Kommunikationstechnik.

 

Während sich beim KIS alle einig sind, kommen bei anderen Systemen wie dem Essensbestellsystem regelmäßig Diskussionen auf. Für einen Teil gilt dieses System als extrem kritisch, für andere ist es von nur geringer Bedeutung. Dies zeigt deutlich, dass man sich kritisch mit jedem einzelnen System auseinander setzen muss, insbesondere mit der Frage, was ein Ausfall für die medizinische Versorgung bedeuten würde: Kann die Kritische Dienstleistung weiter erbracht werden? Gibt es eventuell alternative Wege, den Prozess am Laufen zu halten? Und wie lange darf ein System ausfallen, damit die Kritische Dienstleistung nicht gefährdet ist? Eine hundertprozentige Sicherheit gibt es nie – man muss aber auf alle Eventualitäten vorberei­tet sein und geeignete Gegenmaßnahmen ergreifen können (z.B. schneller System-Restore, der die Datenintegrität garantieren kann).

 

Hier zeigt sich, wie wichtig die Erfahrung der Prüfer ist, um die Situation vor Ort richtig beurteilen zu können. Es gelten insbesondere die folgenden Anforderungen:

 

  • Spezielle Prüfverfahrens-Kompetenz für § 8a BSIG,
  • Audit-Kompetenz,
  • IT-Sicherheits-Kompetenz bzw. Informationssicherheits-Kompetenz und
  • Branchen-Kompetenz.

 

Prüfungshilfe des IDW als alternative oder ergänzende Grundlage

Da der B3S zum aktuellen Zeitpunkt noch keine genauen Prüfkriterien zur Beurteilung enthält, empfiehlt es sich bis auf Weiteres die Prüfungshilfe des Instituts der Wirtschaftsprüfer in Deutschland e. V. (IDW) als Vergleichs­grundlage heranzuziehen. Darin sind knapp 100 Kriterien enthalten, die zur Beurteilung der IT-Systeme herangezogen werden können. Diese umfassen die folgenden Prüfgebiete:

 

  • Informationssicherheitsmanagementsystem (ISMS)
  • Asset Management
  • Risikoanalysemethoden
  • Continuity Management für kDL („BCM” für kDL)
  • Notfallmanagement und Übungen
  • Technische Informationssicherheit
  • Personelle und organisatorische Sicherheit
  • Baulich / physische Sicherheit
  • Vorfallserkennung und -bearbeitung
  • Überprüfung im laufenden Betrieb
  • Externe Informationsversorgung und Unterstützung
  • Lieferanten, Dienstleister und Dritte

 

Die Anwendung der Prüfungshilfe erleichtert ebenfalls eine Vergleichbarkeit der Prüfungen über verschie­dene Prüfungsgesellschaften und Anbieter Kritischer Dienstleistungen hinweg. Zudem stellt sie ein gewisses Mindestniveau an Prüfungsqualität und Dokumentation sicher.


 

 

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Security-Auditor, IT-Auditor IDW

Associate Partner

+49 911 9193 3508
+49 911 9193 3679

Anfrage senden

Contact Person Picture

Konrad Klein

Bachelor of Science, CISA, IT-Auditor IDW

Associate Partner

+49 911 9193 3686
+49 911 9193 3679

Anfrage senden

 Bleiben Sie informiert!

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu