IT-Sicherheitsgesetz: KRITIS Krankenhaus
IT-Sicherheitsgesetz: KRITIS Krankenhaus (Solidaris).
Durch das im Jahr 2015 in Kraft getretene IT-Sicherheitsgesetz werden Betreiber sogenannter Kritischer Infrastrukturen (KRITIS) dazu verpflichtet, einen angemessenen IT-Schutz gemäß dem aktuellen Stand der Technik zu implementieren. Als Kritische Infrastrukturen werden Organisationen oder
Einrichtungen bezeichnet, deren Ausfall oder Beeinträchtigung nachhaltig
wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit
oder andere dramatische Konsequenzen zur Folge haben würde. Neben
Energieversorgern und Telekommunikationsanbietern zählt unter anderem auch der
Sektor Gesundheit (medizinische Versorgung, Versorgung mit Arzneimitteln und
Medizinprodukten) zu den KRITIS. Ziel ist es, trotz wachsender Bedrohungen (z.
B. durch Cyber-Angriffe) größere Ausfälle der Versorgungssicherheit zu
vermeiden.
Am 30. Juni 2017 trat die „Erste Verordnung zur Änderung der
BSI-Kritisverordnung“ in Kraft. Sie beinhaltet unter anderem die Vorgaben des
Gesetzgebers im Hinblick auf den Gesundheitssektor. Demnach werden alle
Krankenhäuser (medizinische Versorgung) mit mehr als 30.000 stationären Fällen
pro Jahr als KRITIS eingestuft und fallen unter die Vorschriften des
IT-Sicherheitsgesetzes. Ein Krankenhaus im Sinne der Verordnung ist ein
Standort oder eine Betriebsstätte eines nach § 108 SGB V zugelassenen
Krankenhauses, der oder die für die Erbringung stationärer
Versorgungsleistungen notwendig ist.
Die Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei
Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und
technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit,
Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen
Systeme, Komponenten oder Prozesse zu treffen. In diesem Zusammenhang hat der
Branchenarbeitskreis Medizinische Versorgung (BAK MV) der Initiative
Umsetzungsplan KRITIS (UP KRITIS) Ende Mai 2017 konkrete Handlungsempfehlungen
zur Verbesserung der Informationssicherheit an Kliniken veröffentlicht. Der UP
KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer
Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. Zu
seinen Aufgaben zählt unter anderem die Entwicklung branchenspezifischer
Sicherheitsstandards für die einzelnen Sektoren. Zu den seitens des BAK MV
entwickelten Anforderungen gehören unter anderem:
die Einführung einer geeigneten Organisationsstruktur, um den besonderen
Anforderungen der IT-Sicherheit begegnen zu können,
die Identifikation aller kritischen Patientenversorgungsprozesse der
stationären Versorgung,
die Einführung eines Informationssicherheit-Management-Systems (ISMS) nach dem
Stand der Technik,
die Einbindung des IT-Risikomanagements für die identifizierten kritischen
Prozesse in das Unternehmensrisikomanagement,
die Einführung eines Business Continuity Managements (zumindest für die
kritischen Patientenversorgungsprozesse) sowie
die Etablierung eines Meldeverfahrens/Meldestelle für die Meldung von
relevanten Vorfällen an die Datenschutzaufsichtsbehörden und an die Meldestelle
des BSI.
Diese Anforderungen müssen von den KRITIS-Betreibern (d. h. auch von
Krankenhäusern mit jährlich mehr als 30.000 stationären Fällen) innerhalb von
zwei Jahren, also bis Juni 2019, umgesetzt und geprüft werden. Die Auditierung
der ergriffenen Maßnahmen erfolgt nach § 8a BSI-Gesetz und muss ebenfalls bis
Juni 2019 abgeschlossen worden sein.
Brancheneinheitlicher Sicherheitsstandard (B3S) für den Sektor Gesundheit
Am 18. Dezember 2018 wurde ein erster Entwurf eines branchenspezifischen
Sicherheitsstandards (B3S) für den Sektor Gesundheit seitens der Deutschen
Krankenhaus Gesellschaft (DKG) sowie des UP KRITIS zur Verfügung gestellt.
Eine Aktualisierung erfolgte Anfang April 2019 mit der Version 1.0. Somit
konnten sich die betroffenen Betreiber kritischer Infrastrukturen des Sektors
Gesundheit (medizinische Versorgung, Arzneimittel und Impfstoffe sowie Labore)
mit den Anforderungen befassen, während das Bundesamt für Sicherheit in der
Informationstechnik (BSI) die Eignung des B3S prüft und abschließend
feststellt.
Die Grundlage für eine Prüfung nach § 8a BSIG wurde seitens des Gesetzgebers
sowie des BSI nicht explizit festgelegt. Die Betreiber kritischer
Infrastrukturen haben folglich die Wahl zwischen einem branchenspezifischen
Sicherheitsstandard (B3S), der Orientierungshilfe B3S (OH B3S) sowie
verschiedenen Mischformen. Es empfiehlt sich, frühzeitig eine Festlegung der
Prüfungsgrundlage zu treffen und mit der prüfenden Stelle, welche die Prüfung
nach § 8a BSIG durchführen soll, im Vorfeld abzustimmen. Dabei ist es sinnvoll,
der Anwendung des B3S den Vorzug zu geben, da es sich hierbei um ein von den
Verbänden der Branche Gesundheit erarbeitetes Dokument handelt, das
branchentypische Sicherheitsaspekte zusammenfasst und Nachweise nach § 8a Abs.
1 BSIG erleichtern soll.
Der Entwurf orientiert sich wesentlich an der in der Praxis etablierten
internationalen Norm ISO 27001, dem Stand der Technik sowie
darüberhinausgehenden branchenspezifischen Anforderungen der Norm ISO 27799.
Dabei wird explizit darauf hingewiesen, dass eine Zertifizierung nach ISO 27001
für den Nachweis der notwendigen Maßnahmen nicht erforderlich ist. Wie bereits
nach den Empfehlungen des Branchenarbeitskreises „Medizinische Versorgung“ zur
Verbesserung der Informationssicherheit an Kliniken zu erwarten war, liegen die
Schwerpunkte des B3S auf der Umsetzung einer geeigneten Organisationsstruktur,
der Implementierung eines Information Security Management Systems (ISMS) sowie
dem Aufbau eines IT-Risikomanagementsystems. Darüber hinaus werden die
Etablierung eines Meldeverfahrens sowie die Einführung eines Business
Continuity Managements gefordert. Insgesamt werden 168 Maßnahmen zur Umsetzung
der Anforderungen des B3S sowie 37 Management-Anforderungen für die
Implementierung eines Informations-Risikomanagements aufgezeigt. Diese lassen
sich wie folgt klassifizieren:
„MUSS“: Die Einhaltung der Anforderung ist zwingend für die Umsetzung des B3S.
„SOLL“: Die Einhaltung der Anforderung wird empfohlen, ist jedoch nicht
zwingend für die Umsetzung des B3S, sofern hierdurch die Informationssicherheit
nicht gefährdet wird. Die Nicht-Umsetzung ist nachvollziehbar zu begründen.
„KANN“: Die Einhaltung der Anforderungen wird empfohlen, ist jedoch nicht
zwingend für die Umsetzung des B3S erforderlich.
Hilfreich sind in diesem Zusammenhang die Ausführungen in der
Orientierungshilfe zu Nachweisen gemäß § 8a Abs. 3 BSIG des BSI (Tz. 5.5). Hier
wird nochmals darauf hingewiesen, dass eine komplette Prüfung des gesamten
Informationsverbundes in der Regel nicht mit wirtschaftlich vertretbarem
Aufwand möglich ist. Insofern muss im Rahmen einer Prüfung nach § 8a BSIG ein
angemessener Umfang in Verbindung mit einer angemessenen Stichprobenauswahl im
Prüfplan festlegt werden. Finden zumindest alle kritischen Prozesse in jeder
Prüfung ihre Berücksichtigung, so ist eine Aufteilung der Prüfung nach § 8a
BSIG auf mehrere Prüfungszyklen denkbar und im Sinne des BSI.
IT-Sicherheitsgesetz – zur Prüfung nach § 8a BSIG
Zur Ermittlung des tatsächlichen Handlungsbedarfs ist es erforderlich, den
IST-Zustand innerhalb der Kritischen Infrastruktur (KRITIS) zu erheben und dem
geforderten Soll-Zustand gegenüberzustellen (GAP-Analyse). Dabei wird der
Umfang durch die Prozesse innerhalb der kritischen Dienstleistungen (z. B. der
stationären medizinischen Patientenversorgung) bestimmt. Im Rahmen dieser
GAP-Analysen stellen wir regelmäßig fest, dass bereits geforderte
organisatorische Maßnahmen wie die Bestellung eines IT- Sicherheitsbeauftragten
und die Schaffung einer geeigneten Organisationsstruktur für
Informationssicherheit bislang kaum umgesetzt werden.KRITIS BASISANALYSE
Informationssicherheit
Oft werden mit IT-Sicherheit ausschließlich technische Lösungen verbunden, so
dass die Verantwortung fälschlicherweise allein in die Hände der IT-Abteilungen
gelegt wird. Technik allein löst jedoch nicht die Sicherheitsprobleme, sondern
sie muss immer in organisatorische Rahmenbedingungen eingebunden werden. Daher
lautet eine grundlegende Forderung zum Stand der Technik, dass die oberste
Leitung nachweislich die Führung und die Verpflichtung in Bezug auf das
Informationssicherheitsmanagementsystem (ISMS) übernimmt.
Welche Maßnahmen hierfür konkret notwendig sind, ist den gängigen Rahmenwerken,
Standards und Normen zu entnehmen, zum Beispiel den COBIT des internationalen
Berufsverbandes der IT-Revisoren, IT-Sicherheitsmanager und
IT-Governance-Experten (ISACA), dem IT-Grundschutz des Bundesamtes für
Sicherheit in der Informationstechnik (BSI) und den ISO 27001. Diese Werke
dienen u. a. auch den Prüfern, die die Einhaltung der Maßnahmen gemäß § 8a BSIG
alle zwei Jahre beurteilen müssen, als Prüfungsrahmen. Sich unter strategischen
Gesichtspunkten für eine Umsetzung dieser Werke zu entscheiden, erscheint nicht
nur für die direkt betroffenen Krankenhäuser essentiell. Durch die Umsetzung
der Rahmenwerke, Standards oder Normen wird ein Sicherheitsniveau nach dem
Stand der Technik gewährleistet. Im Umkehrschluss bedeutet dies, dass Häuser,
die sich nicht explizit für eine Implementierung entscheiden, dem Stand der
Technik mit hoher Wahrscheinlichkeit hinterherhinken. Die Initiierung und
Kontrolle der Umsetzung solcher Rahmenwerke ist daher im Verantwortungsbereich
der Geschäftsführung und der Aufsichtsorgane anzusiedeln.
Dem BSI waren bis Ende Juni 2019 Nachweise über das angemessene
Sicherheitsniveau einzureichen. Dabei sollte auch die Dauer der Prüfung
einkalkuliert werden. Die voraussichtliche Prüfungsdauer ist stark abhängig von
den organisatorischen Strukturen der Krankenhäuser. Das BSI geht von einem
Prüfungsaufwand von 20 bis 40 Personentagen aus. Dies setzt eine Prüfung durch
einen qualifizierten Prüfer voraus, der die attestierte Befähigung besitzt,
Prüfungen gemäß § 8a BSIG durchzuführen.
Solidaris als „Prüfende Stelle“ im Sinne des BSIG
Die Solidaris erfüllt die Voraussetzungen des Bundesamts für Sicherheit in der
Informationstechnik (BSI) und kann als sogenannte „Prüfende Stelle“ Betreiber
Kritischer Infrastrukturen (KRITIS) im Gesundheitswesen nach § 8a BSIG prüfen.
Durchgeführt werden entsprechende Prüfungen durch erfahrene Prüferteams mit der
entsprechenden Prüfverfahrenskompetenz nach § 8a Abs. 3 BSIG.
KRITIS-Betreiber sind nach § 8a Abs. 1 BSIG dazu verpflichtet, angemessene
organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der
Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer
informationstechnischen Systeme, Komponenten und Prozesse zu treffen. Die
Betreiber Kritischer Infrastrukturen müssen mindestens alle zwei Jahre die
Erfüllung der zuvor genannten Anforderungen auf „geeignete Weise“ nachweisen.
Als Prüfungsgrundlage können herangezogen werden:
Die Orientierungshilfe zu branchenspezifischen Sicherheitsstandards (B3S) nach
§ 8a Abs. 2 BSIG,
andere B3S gemäß 8a Abs. 2 BSIG, deren Eignung festgestellt wurde, oder
einschlägige Standards wie zum Beispiel Zertifizierungsschemata nach ISO 27001.
Bei der Auswahl der Prüfungsgrundlage ist einem branchenspezifischen
Sicherheitsstandard für den Sektor Gesundheit nach Eignungsfeststellung durch
das BSI der Vorzug zu geben. Aktuell befindet sich ein B3S für den Sektor
Gesundheit noch im Abstimmungsprozess. Wird ein anderes Prüfverfahren zum
Nachweis der Erfüllung der Anforderungen herangezogen, so ist der Beschreibung
des Prüfungsumfangs (Scope) noch mehr als bisher Bedeutung beizumessen. Wird
der Umfang der Prüfung zu gering bemessen, so besteht die Gefahr, dass
wesentliche informationstechnische Systeme, Komponenten und Prozesse außer Acht
gelassen werden. Infolgedessen können Sicherheitsmängel zu einem akuten
Handlungsbedarf führen und gegebenenfalls Geldbußen nach sich ziehen.
Wird der Scope zu weit gefasst, so kann ein erhöhter Aufwand für die
Vorbereitung der Prüfung die Folge sein. Dies sollte, insbesondere vor dem
Hintergrund der Vielzahl der umzusetzenden Maßnahmen, verhindert werden.
Andernfalls besteht das Risiko, dass die Prüfung und somit die
Prüfungsergebnisse nicht rechtzeitig beim BSI eingereicht werden können. Wir
empfehlen, den Scope im Vorfeld der Prüfung zwischen KRITIS-Betreiber und
prüfender Stelle zu klären, damit sich beide Seiten auf den zu erwartenden
Aufwand einstellen können. Die Eignung des Scopes ist stets Gegenstand der
Prüfung nach § 8a Abs. 3 BSIG und muss von der prüfenden Stelle gegenüber dem
BSI bestätigt werden.
Der KRITIS-Betreiber beauftragt eine prüfende Stelle mit der Prüfung der
Erfüllung der Anforderungen nach § 8a Abs. 1 BSIG. Die prüfende Stelle wiederum
benennt ein Prüferteam mit Prüfverfahrenskompetenz nach § 8a Abs. 3 BSIG. Die
Ergebnisse der Prüfung werden durch die prüfende Stelle an den KRITIS-Betreiber
weitergeleitet. Die Kommunikation über die Prüfung und deren Ergebnisse erfolgt
dabei im Regelfall nur zwischen dem KRITIS-Betreiber und dem BSI.
Nicht selten erleben wir in der Praxis, dass Teilbereiche oder Prozesse auf
Dritte ausgelagert werden. Der Betreiber einer Kritischen Infrastruktur ist für
die Umsetzung des § 8a BSIG in seinem Unternehmen verantwortlich. Somit muss er
auch in den Fällen die Erfüllung der entsprechenden Anforderungen
sicherstellen, in denen er die Leistung auf einen Dienstleister ausgelagert
hat. In diesen Fällen empfiehlt es sich, frühzeitig die
Umsetzungsverpflichtungen in die vertraglichen Vereinbarungen mit dem externen
Dienstleister aufzunehmen und deren Einhaltung regelmäßig zu kontrollieren.
§-8a-BSIG-Prüfungen der KRITIS-Betreiber – Lessons Learned
Mit dem IT-Sicherheitsgesetz werden Betreiber kritischer Infrastrukturen
(KRITIS) dazu verpflichtet, einen angemessenen IT- Schutz „gemäß dem aktuellen
Stand der Technik“ zu implementieren. Welche Krankenhäuser unter die Regelungen
des IT-Sicherheitsgesetzes fallen, wurde mit der ersten Verordnung zur Änderung
der BSI-Kritisverordnung (BSI-KritisV) bekanntgegeben. Demnach wurde für
Krankenhäuser ein Schwellenwert von 30.000 stationären Fällen pro Jahr
festgelegt. Es ist davon auszugehen, dass zwischen 5 und 10 % der
Krankenhausbetreiber hierunter fallen. Die Betreiber kritischer Infrastrukturen
werden verpflichtet, spätestens zwei Jahre nach Inkrafttreten der
Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur
Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und
Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse
zu treffen. Bis zum 30. Juni 2019 mussten die Betreiber erstmals
Prüfungsnachweise beim Bundesamt für Sicherheit in der Informationstechnik
(BSI) einreichen. Die Solidaris Revisions-GmbH als vom BSI anerkannte prüfende
Stelle hat entsprechende Prüfungen mit Auditoren-Teams durchgeführt, die neben
der Prüfverfah- renskompetenz nach § 8a BSIG auch Auditerfahrung und die
erforderliche die Branchenkompetenz besitzen. Auf Basis unserer Erfahrung aus
diesen Prüfungen beleuchten wir typische Fallstricke für die Kritis-Betreiber
und stellen Best-Practice-Ansätze vor.
In den überwiegenden Fällen wurde seitens der Betreiber der
„Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im
Krankenhaus“ (B3S) in der Version 1.0 vom 2. April 2019 als Prüfungsgrundlage
gewählt. In einigen wenigen Fällen hatten sich die Betreiber bei der
Vorbereitung auf die entsprechende Prüfung sowohl an den Anforderungen nach
ISO/IEC 27001 als auch am B3S orientiert. Erschwerend kam auf der Zielgeraden
hinzu, dass der B3S im Vergleich zu der im Dezember 2018 veröffentlichten
Fassung (Version 0.86) signifikante Änderungen bei der Einstufung von „MUSS“-
und „SOLL“-Kriterien erfahren hat. Auch wenn keine konkrete Verpflichtung zur
Anwendung des B3S besteht, hat dies in vielen Fällen zu zusätzlichem Aufwand
bei den Betreibern geführt.
Im Rahmen unserer Prüfungen zeigte sich, dass insbesondere die
nicht-technischen Maßnahmen – hier insbesondere die Dokumentation – im Hinblick
auf die Vorbereitung der Prüfung angepasst bzw. entwickelt werden mussten. Wir
konnten in diesem Zusammenhang bereits im Rahmen früherer GAP-Analysen
feststellen, dass die Informationstechnik sowie zu ergreifende
Sicherheitsmaßnahmen (Firewall, Antivirenlösungen etc.) vielfach den
Anforderungen entsprechen. Eine Herausforderung stellt jedoch oftmals das
interdisziplinäre Zusammenwirken der verschiedenen Berufsgruppen von der IT
über die Medizintechnik bis hin zur Pflege und Ärzteschaft im Kontext der
Informationssicherheit dar. Insofern war es auch wenig überraschend, dass
insbesondere die den Geltungsbereich „stationäre medizinische Versorgung“
betreffenden kritischen Systeme nicht in allen Fällen durch Notfallpläne bzw.
Notbetriebsbeschreibungen für geplante und ungeplante Ausfälle abgesichert
waren. In den Schnittstellen zwischen der IT und den jeweiligen Fachbereichen
offenbarten sich im Rahmen unserer Prüfungen die häufigsten Mängel und
Kommunikationsprobleme.
Der vorliegende B3S legt mit insgesamt 37 Anforderungen zum Risikomanagement
unter anderem einen Schwerpunkt auf eine ganzheitliche, koordinierte
Betrachtung der Risiken. Dabei müssen alle Informationswerte, die innerhalb des
B3S-Geltungsbereichs genutzt werden und eine Auswirkung auf Funktionsfähigkeit
der Systeme und somit die Informationssicherheit haben könnten, berücksichtigt
wer- den. Im Rahmen der Prüfungen zeigte sich, dass insbesondere die
ganzheitliche Betrachtung von medizinischen, betriebswirtschaftlichen und
Informationssicherheits-Risiken oftmals noch nicht geben war. Entscheidend ist
vor diesem Hintergrund, dass zumindest ein einheitlicher Bewertungsmaßstab
gewählt wurde, um eine Vergleichbarkeit der Ergebnisse dieser drei
unterschiedlichen Risikomanagementsysteme zu gewährleisten.
Um eine nachhaltige Verbesserung des Informationssicherheitsniveaus innerhalb
der Krankenhäuser zu erreichen, bedarf es eines kontinuierlichen
Verbesserungsprozesses.
Top 5 unserer Prüfungsfeststellungen:
Die interdisziplinäre Zusammenarbeit im Kontext der Informationssicherheit ist
verbesserungswürdig.
Notfallpläne und Notbetriebsbeschreibungen für geplante und ungeplante Ausfälle
kritischer Systeme konnten oftmals nicht vollständig vorgelegt werden.
Flächendeckende Notfallübungen die kritischen Systeme betreffend wurden oftmals
nicht durch- geführt.
Das ISMS-Risikomanagement ist oftmals nicht in ein bestehendes Risikomanagement
integriert.
Die vorgeschriebene Dokumentation wird oftmals vernachlässigt.
Im Rahmen unserer Prüfungen zeigte sich, dass insbesondere diejenigen
Betreiber, die den aktuellen Umsetzungsstand der Maßnahmen des B3S mittels
eines Reifegradmodells abgebildet haben, im Hinblick auf die
Dokumentationsanforderungen sehr gute Ergebnisse erzielten.
Praxis-Hinweis
Zusammenfassend kann festgehalten werden, dass die Umsetzung der Anforderungen
„gemäß dem aktuellen Stand der Technik“ nach dem IT-Sicherheitsgesetz den
entsprechenden Betreibern zu einem deutlichen „Schub“ verholfen hat. Es bleibt
abzuwarten, inwieweit sich diese Entwicklung künftig verstetigt und ob sie bei
allen Beteiligten zu einer höheren Sensibilisierung für die Thematik führt.
Gerne unterstützen wir Sie bei der Vorbereitung auf eine entsprechende Prüfung
nach § 8a BSIG oder führen diese bei Ihnen durch. In der Funktion eines
Informationssicherheitsbeauftragten in Ihrem Unternehmen sind wir gern
behilflich bei der Umsetzung der Anforderungen des Branchenstandards (B3S).
Quelle: Solidaris, 27.09.2019
