Welche Gefahr droht den KRITIS-Unternehmen und speziell dem Gesundheitssektor?

Seit vier Jahren ist das IT-Sicherheitsgesetz in Kraft und legt gestiegene Anforderungen an die IT fest. Diese beziehen sich auf die Erhöhung des Sicherheitsniveaus informationstechnischer Systeme und den Schutz von Unternehmen und Bürgern im Internet. Informationstechnologien entwickeln sich stetig weiter. Daher spielen strenge Regularien in Branchen, die maßgeblich zur Versorgung grundlegender Bedürfnisse der Bevölkerung beitragen, eine wichtige Rolle. Um diese Branchen zu benennen und Anforderungen sowie Vorschriften zu definieren, trat am 03. Mai 2016 der erste Teil der BSI KRITIS-Verordnung in Kraft. Sie gliedert die Sektoren in die Bereiche Energie, Gesundheit, Informationstechnik und Telekommunikation (IT und TK), Transport und Verkehr, Medien und Kultur, Wasser, Finanz- und Versicherungswesen, Ernährung sowie Staat und Verwaltung (siehe Abbildung).

Die Branchen unterliegen der Vorgabe, informationstechnische Systeme, welche für die Funktionsfähigkeit kritischer Infrastrukturen notwendig sind, nach dem Stand der Technik abzusichern. Dieser umschreibt keine allgemeingültigen Maßnahmen, sondern branchenspezifische Sicherheitsstandards, die auf der jeweiligen Expertise im Branchenumfeld basieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet für die entsprechenden KRITIS-Sektoren zahlreiche Orientierungshilfen.

Speziell im Gesundheitswesen wollen sich Patienten in jeglicher Hinsicht gut versorgt fühlen. Auch bei der Versorgung im Krankenhaus durch hochmoderne Medizintechnik, Arzneimittel und Impfstoffe. Zur Gesundheitsbranche zählen, neben Krankenhäusern und Kliniken, auch Institutionen der gesamten medizinischen Wertschöpfungskette: Medizingeräte- und Pharmahersteller, Pharmagroßhändler, Blutspende-Organisationen und Labor-Einrichtungen. Es existieren umfassende Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken. Diese sind adaptierbar und somit auf die angrenzenden Tätigkeitsfelder im Gesundheitssektor anwendbar. Die Deutsche Krankenhausgesellschaft veröffentlichte im Dezember 2018 detaillierte branchenspezifische Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus. Durch deren Umsetzung wird das Informationssicherheitsniveau um ein Vielfaches erhöht.

Auf Grund des Wertes für das Gemeinwesen wurden für verschiedene Anwendungsfälle im Gesundheitssektor Schwellenwerte definiert. Sie ermöglichen die Einordnung von Einrichtungen oder Unternehmen in den Bereich KRITIS.

• 30.000 vollstationäre Patienten pro Jahr im Bereich der stationären medizinischen Versorgung
• 90,68 Mio. Euro Jahresumsatz für Produktionsstätten unmittelbar lebenserhaltender Medizinprodukte
• 4,65 Mio. Verpackungen pro Jahr für Produktionsstätten verschreibungspflichtiger Arzneimittel sowie Blut- und Plasmakonzentrate zur Anwendung im oder am menschlichen Körper
• 34.000 Produkte pro Jahr für Anlagen und Systeme zur Entnahme und Weiterverarbeitung von Blutspenden
• 1,5 Mio. übermittelte Aufträge/ Befunde pro Jahr in der Laboratoriums-Diagnostik

Status quo der Informationssicherheit und IT-Sicherheit im Gesundheitssektor

Laut Lagebericht der IT-Sicherheit 2018 landete der Sektor »Gesundheit« gemessen an der Zahl gemeldeter Sicherheitsvorfälle bei KRITIS-Unternehmen auf dem 4. Platz. Damit ist er Mittelmaß im Sektorenvergleich. Im Extremfall fügt ein Cyber-Angriff Patienten und der gesamten Bevölkerung erheblichen Schaden zu. Durch die fortschreitende Digitalisierung im Gesundheitswesen eröffnen sich zukünftig noch mehr Einfallstore für kriminelle Aktivitäten. Smarte Medizinprodukte wie Herzschrittmacher, Defibrillatoren und stationäre Beatmungsgeräte gewinnen an Bedeutung, da sie miteinander automatisiert kommunizieren und Daten austauschen können. Aus diesen Informationen ergeben sich zahlreiche neue Schnittstellen für behandelnde Ärzte, welche jedoch einer gesonderten Betrachtung zur Absicherung der IT-Sicherheit bedürfen. Auch der Einsatz sogenannter Wearables, vernetzter Fitnessarmbänder und Uhren, stellt ein erhöhtes Risiko dar – vor allem in Anbetracht der Erfassung und Übertragung sensibler personenbezogener Daten und ähnlich kritischer Informationen.

Kurz gesagt: Die Menge der Schnittstellen im Gesundheitssektor wächst rasant an. Hersteller und Anwender müssen sich der Risiken bewusst sein und diese idealerweise proaktiv oder zur Not reaktiv minimieren. Unternehmen, die sich den KRITIS-Schwellenwerten annähern oder diese überschreiten, raten wir, sich mit den Regelungen der branchenspezifischen Sicherheitsstandards (B3S) auseinanderzusetzen und diese umzusetzen. Diese Anforderungen entspringen dem § 8 a BSIG, welcher den unbestimmten Rechtsbegriff »Stand der Technik« als Maßstab für die KRITIS-Betreiber darstellt. Die beschriebenen Maßnahmen sind nicht verpflichtend, helfen dem KRITIS-Betreiber jedoch, sich gegenüber dem BSI zu rechtfertigen, welches von der Einhaltung der rechtlichen Vorschriften ausgeht.

Die erwähnten branchenüblichen Standards erleichtern verantwortlichen Unternehmen die Herangehensweise und die Verbesserung der gesamten Informations- und IT-Sicherheit. Weitere interessante Einblicke rund um das Thema »Risiken im IoT-Bereich« haben wir für Sie auf unserem Blog aufbereitet. >>

Das Informationssicherheits-Managementsystem (ISMS) – Ein Best-Practice-Ansatz

Um die Informations- und IT-Sicherheit im Unternehmen maßgeblich mitzugestalten und zu verbessern, bietet das BSI selbstformulierte Methoden und Vorgehensweisen. Neben diesen Standards besteht ebenfalls die Möglichkeit, ein Managementsystem für Informationssicherheit (ISMS) einzuführen. Ein gut aufgebautes ISMS bietet IT-Sicherheit und sorgt für überschaubare Organisationsstrukturen, Unternehmens- und IT-Prozesse und kann somit langfristig Kosten senken. Die Maßnahmen bauen auf tiefgreifenden Strukturanalysen auf und bewirken Verbesserungen für verschiedene Bereiche und Abteilungen eines Unternehmens. Zum Beispiel in Sachen personelle Sicherheit, Zugangskontrollen, Kryptografie und Kommunikationssicherheit sowie Notfallpläne für Sicherheitsvorfälle und Lieferengpässe. Zur Einführung eines ISMS und von Maßnahmen zum Schutz der IT-Sicherheit existieren die übergreifenden Leitlinien der Norm ISO 27001. Mit der ISO 27799 wurde speziell für die Anforderungen der medizinischen Informatik eine Norm geschaffen. Sie beschreibt ein Sicherheitsmanagement für das Gesundheitswesen. Diese beiden Standards bilden die Basis für den bereits beschriebenen B3S-Branchenstandard.

Auch ein nicht-zertifiziertes Managementsystem unterstützt die Verbesserung und Aufrechterhaltung der Informationssicherheit. Folgen Sie hierfür den Empfehlungen der Standards und setzen Sie die entsprechenden Maßnahmen auf Ihre Organisation angepasst um. Wichtig ist hierbei zu wissen, dass die formulierten Anforderungen des IT-Sicherheitsgesetzes unabhängig von der Verwendung eines Standards einzuhalten sind. Die Aufrechterhaltung des Versorgungsniveaus des Gesundheitssektors steht somit im Mittelpunkt. Als grundlegende Vorgehensweise empfehlen wir, dass Sie die Ziele und Tätigkeiten zunächst priorisieren, entsprechende Maßnahmen festlegen und diese anschließend umsetzen. Die Festlegung des Geltungsbereiches der Maßnahmen und strategischer Ziele ist ein fundamentaler Baustein. Wir raten Ihnen darüber hinaus, die Unterstützung durch Experten mit Erfahrungen im Bereich ISO 27001 sowie IT-Grundschutz einzubeziehen. Neben der Begleitung beim Aufbau des ISMS kann dies wesentlich zur optimalen Umsetzung und künftigen Reduktion von Schwachstellen beitragen.

Sie haben Fragen zur Einführung eines ISMS? Dann kontaktieren Sie uns gern per E-Mail an it-sicherheitnoSpam@softline-group.com.

Ein Blick in die digitale Zukunft der Informations- und IT-Sicherheit

Die Digitalisierung entwickelt sich unentwegt weiter. Das IT-Sicherheitsgesetz muss dies im logischen Umkehrschluss ebenfalls tun. Zum aktuellen Zeitpunkt, circa vier Jahre nach der Veröffentlichung, ist ein Referentenentwurf des »IT-Sicherheitsgesetzes 2.0« in Arbeit. Dieser beinhaltet neben Ergänzungen neuer Sektoren die Anpassung verschiedener Schwellenwerte. Die Veröffentlichung des IT-Sicherheitsgesetzes 2.0 soll voraussichtlich Ende 2019 erfolgen. Wie sich die Anforderungen an Unternehmen im Sektor Gesundheit verändern, bleibt bisher offen. Fest steht hingehen, dass sie sich in wesentlichem Maß verschärfen. Wir halten Sie künftig mit unserem complexITy Newsletter zu dieser Thematik auf dem Laufenden. Alle weiteren kritischen Fragen und neuen Gesetze rund um die Informationssicherheit und IT-Sicherheit lassen wir nicht außer Acht.

Haben Sie eine Frage oder benötigen Rat unserer spezialisierten Consultants, kontaktieren Sie uns jederzeit gern per E-Mail an it-sicherheitnoSpam@softline-group.com oder telefonisch unter +49 341 24051-0.