Problemstellung

Die Betreiber kritischer Anlagen müssen nach dem IT-Sicherheitsgesetz ein Mindestniveau an IT-Sicherheit einhalten und erhebliche Störungen an das BSI melden. Im Juni 2017 ist die zweite Tranche der Verordnung zu kritischen Infrastrukturen (KRITIS) in Kraft getreten. Damit werden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt. Im Gesundheitswesen bringt das nicht nur große Kliniken in Zugzwang, sondern auch Hersteller lebenswichtiger Medizinprodukte, medizinische Labors und große Arzneihändler.

Das Thema IT-Sicherheit genießt bei Investitionsvorhaben in Krankenhäusern bislang nicht den höchsten Stellenwert. Die Digitalisierung der Prozesse schreitet jedoch auch im Gesundheitswesen und insbesondere im Klinikumfeld unaufhaltsam voran. Daher ist es wenig überraschend, dass viele deutsche Kliniken bereits Lehrgeld bezahlen mussten. Laut einer Studie von Roland Berger waren bereits zwei von drei Kliniken Opfer von Cyber-Angriffen. Demnach führen mangelhafte IT-Infrastrukturen und fehlendes Fachpersonal nicht selten zu Sicherheitslücken.

„[…] für eine bessere und sichere IT-Infrastruktur benötigen Krankenhäuser weitere Investitionsmittel. Eine optimale Digitalisierung können klinische Einrichtungen nur im Rahmen einer breiteren Geschäftsstrategie stemmen. Kosteneinsparungen und Investitionen in relevante Bereiche müssen Hand in Hand gehen, damit Krankenhäuser wirtschaftlich bleiben.“

Peter Magunia, Leiter der Roland Berger Healthcare Practice Deutschland

Lösung

Damit die Digitalisierung im Klinikumfeld nicht durch eine mangelnde IT-Sicherheit gestoppt wird, ist für einen effektiven Umgang mit IT-Risiken eine strukturierte Vorgehensweise dringend erforderlich. Wichtige Aspekte sind dabei die Identifikation relevanter Risiken und eine umfassende Sicherheitskonzeption nach gängigen Standards.

Ein ISMS-Tool zur Unterstützung des Informationssicherheitsmanagements ist dabei ein nützliches und effektives Werkzeug bei der Implementierung von Standards (z.B. ISO 27001) und zur Verbesserung der Informationssicherheit der Kliniken. Idealerweise unterstützt das Tool in möglichst vielen Bereichen und deckt auch den Lösungsbereich Risiko-Management umfangreich ab.

Vorgehen mit ibi systems iris

Im Folgenden soll ein möglicher Informationssicherheitsmanagementprozesses mit der Software ibi systems iris und dem Fokus auf Risiko-Management skizziert und erläutert werden:

1. Integration von relevanten Gefährdungen
2. Identifikation und Erfassung aller kritischen Assets und Prozesse
3. Identifikation und Anlage von Schwachstellen (z.B. Identifikation im Rahmen von Prüfungen, die mit ibi systems iris durchgeführt wurden)
4. Anlage von Risiken und Verknüpfung mit anderen relevanten Elementen (u.a. Verknüpfung mit: Gefährdungen, Schwachstellen, Assets und Prozessen)
5. Durchführung einer Risikobewertung (IST-Bewertung)
6. Auswahl einer Risikobehandlungsstrategie (inkl. Definition von Maßnahmen)
7. Angabe einer angestrebten Risikobewertung nach durchgeführter Risikobehandlung (SOLL-Bewertung)
8. Wiederholung der Schritte 5 bis 7, bis ein akzeptables Restrisiko verbleibt

Haben wir Ihr Interesse geweckt? Bitte kommen Sie für eine Vorstellung und/oder einen kostenfreien Test gerne auf uns zu (info@ibi-systems.de; +49 (0)941-462939-0).

Zurück zur Übersicht

____________________

Quellen:

  • Bundesamt für Sicherheit in der Informationstechnik – BSI (2013): Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT: Management-Kurzfassung, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/RisikoanalyseKrankenhaus.pdf?__blob=publicationFile&v=4, Abfrage: 13.12.2017, 15:01 Uhr.
  • Bundesamt für Sicherheit in der Informationstechnik – BSI (2016): Das IT-Sicherheitsgesetz: Kritische Infrastrukturen schützen, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__blob=publicationFile&v=5, Abfrage: 13.12.2017, 14:02 Uhr.
  • Hauke, Gerlof (2017): Kliniken in Zugzwang, Online im Internet: https://www.aerztezeitung.de/praxis_wirtschaft/klinikmanagement/article/937004/kritis-kliniken-zugzwang.html, Abfrage: 04.12.2017, 16:58 Uhr.
  • Liedtke, Dirk (2017): Diagnose Hackerangriff: Wie Cyberattacken deutsche Kliniken lahmlegen, Online im Internet: https://www.stern.de/gesundheit/krankenhaus/hackerangriff–wie-cyberattacken-deutsche-kliniken-lahmlegen-7762362.html, Abfrage: 13.12.2017, 15:37 Uhr.
  • Roland Berger (2017): Deutsche Krankenhäuser in der Zwickmühle: Kliniken wollen digitaler werden, aber die Investitionsmittel für eine moderne und sichere IT-Infrastruktur fehlen, Online im Internet: http://www.tagesspiegel.de/advertorials/ots/roland-berger-deutsche-krankenhaeuser-in-der-zwickmuehle-kliniken-wollen-digitaler-werden-aber-die-investitionsmittel-fuer-eine-moderne-und-sichere-it-infrastruktur-fehlen/20044632.html, Abfrage: 13.12.2017, 16:15 Uhr.
  • UPKRITIS Branchenarbeitskreis medizinische Versorgung (2017): Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken, Online im Internet: http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Handlungsempfehlungen_Kliniken.pdf?__blob=publicationFile, Abfrage: 04.12.2017, 14:35 Uhr.