Warum ein ISMS-Tool eine sinnvolle Investition darstellt

Nach einer Umfrage von bitkom, die Ende 2018 durchgeführt wurde, gaben sieben von zehn befragten Unternehmen an, in den vergangenen beiden Jahren Opfer von Sabotage, Datendiebstahl oder Spionage gewesen zu sein. Dabei entstand ein Gesamtschaden von über 43 Milliarden Euro! Diese Zahl veranschaulicht die Dringlichkeit, in die Verbesserung der IT-Sicherheit zu investieren und angemessene Maßnahmen zu ergreifen.

„Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.“

www.security-insider.de

Eine toolgestützte ISMS-Implementierung etwa auf Basis der ISO 27001 ist dabei aus folgenden Gründen sinnvoll:

Generierung eines Wettbewerbsvorteils
Einem Unternehmen, das seine sensiblen Daten schützt, wird in der Regel mehr Vertrauen entgegengebracht. Häufig wird auch darauf geachtet, dass Zulieferer ein bestimmtes Niveau an IT-Sicherheit einhalten. Wer nachweisen kann, dass Informationssicherheitsmaßnahmen umgesetzt werden, sichert nicht nur die Zukunft des Unternehmens, sondern schafft dafür auch einen Wettbewerbsvorteil.

Vermeidung teurer IT-Vorfälle
Maßnahmen zu ergreifen und damit Vorsorge zu leisten, ist grundsätzlich immer besser als nichts zu tun. Dies sollte natürlich in einem angemessenen Kosten-Nutzen-Verhältnis stehen und die Umsetzung dokumentiert sein.

Erhöhung der Transparenz
Darstellung des Status der Informationssicherheit eines Unternehmens in übersichtlicher Art und Weise, um so einen regelmäßigen Management-Review zu ermöglichen.

Erhöhung der Qualität
Verfolgung eines bewährten und nachvollziehbaren Vorgehens bei der Implementierung eines ISMS nach dem PDCA-Zyklus. Das ISMS kann dadurch kontinuierlich überwacht und verbessert werden.

Senkung von Kosten
Vermeidung von Redundanzen und Doppelarbeiten durch die einheitliche Erfassung der ISMS-Aktivitäten in einem einzigen Tool.

Welche Anforderungen sollte ein ISMS-Tool erfüllen

Bei der Auswahl eines ISMS-Tools sind die Anforderungen abhängig von der Unternehmensgröße, dem bereits definierten Prozessen als auch von bevorzugter Technik und Betriebsform (Webanwendung? SaaS? On Premises?). Welche Anforderungen erfüllt sein sollten, sind im Folgenden aufgeführt:

Dashboards und Report-Generierung
Grafischer Überblick über alle relevanten Informationen und umfassende Exportmöglichkeiten in Form von Reports.

Integrierte Regelwerke, Standards und Richtlinien
Möglichkeit der Abbildung bzw. Unterstützung verschiedener Standards (z. B. ISO 27001, ISO 27019, IT-Sicherheitskatalog, TISAX, VDA etc.) sowie deren Verknüpfung zu anderen Datensätzen in der Software (Risiken, Schwachstellen, Maßnahmen etc.).

Durchführung von Audits
Softwareunterstützung beim gesamten Audit inklusive Follow-Up (Zuweisung von Aufgaben und Verantwortlichkeiten, Durchführung von Kontrollen, Erstellung des Statement of Applicability, Schwachstellenmanagement, Maßnahmendefinition etc.)

Management von Risiken
Beschreibung, Bewertung und Behandlung des Risikos sollten unbedingt Bestandteil eines ISMS-Tools sein. Am Ende sollten die aktuellen Bewertungen der Risiken in einer Risikomatrix visualisiert werden und der Umgang mit den Risiken über den Zeitverlauf einsehbar bzw. nachvollziehbar sein.

Workflowfähigkeit
Um die Vorgehensweise z. B. bei der Anlage von Datensätzen genauer einzugrenzen und den Benutzer an die Hand zu nehmen (User Guidance), sollten individuelle Workflows vorgegeben werden können.

Mandantenfähigkeit
Basierend auf einem Berechtigungskonzept sollte die Trennung von Datensätzen für verschiedene Mandanten möglich sein. Darüber hinaus wäre es sinnvoll, wenn die Möglichkeit bestünde, individuelle Berechtigungen auf Datensatzebene (zeitlich befristet oder dauerhaft) anzupassen.

Flexibilität
Es sollte möglich sein, die Datensätze und die Verknüpfungen untereinander in beliebiger Reihenfolge anzulegen.

Konfigurierbarkeit
Die Software sollte umfangreiche Konfigurationsmöglichkeiten aufweisen, um den Kunden eine bestmögliche Anpassung der Software an deren individuelle Anforderungen und Wünsche zu ermöglichen.

Fazit

Im Rahmen der erwähnten Umfrage von bitkom gaben zwei Drittel der befragten Unternehmen als künftige Bedrohung den Mangel an IT-Sicherheitskräften an. Um diesem Mangel an IT Sicherheitskräften mit Effizienzsteigerungen entgegenzuwirken, sollte unbedingt ein ISMS-Tool wie die ibi systems iris genutzt werden. Damit lassen sich die ISMS-Prozesse nicht nur effizienter durchführen, sondern auch der Überblick über den Status quo bleibt erhalten und es können jederzeit und bequem Reports für das Management generiert werden. Eine toolgestützte ISMS-Implementierung ist also sehr zu empfehlen.

Die Wichtigkeit der erwähnten Anforderungen an ein ISMS-Tool ergibt sich aus den individuellen Präferenzen der Anwender. Die Auflistung hat auch keinen Anspruch auf Vollständigkeit, aber stellt eine gute Basis für eine erfolgversprechende Auswahl eines ISMS-Tools dar.

Zurück zur Übersicht

____________________

Quellen:

Bußgeldregelungen bei Verletzung der Pflichten des Verantwortlichen

Regelungen zu den Bußgeldern sind in Artikel 83 der DSGVO zu finden. Geldbußen müssen demnach wirksam, verhältnismäßig, aber auch abschreckend sein.

  • Bei Verstößen gegen die Pflichten des Verantwortlichen oder des Auftragsverarbeiters werden Bußgelder von bis zu 10 Millionen Euro fällig oder bei Unternehmen von bis zu zwei Prozent des weltweiten Umsatzes des Vorjahres. Der jeweils höhere Betrag zählt.
  • Das Gleiche gilt, wenn Zertifizierungsstellen oder Überwachungsstellen ihre Pflichten verletzen.
  • In diesen Bereich fällt auch die Einhaltung der Vorschrift, dass Kinder erst ab 16 Jahren selbst in die Datenverarbeitung einwilligen dürfen. Das hatte übrigens auch Auswirkungen auf die Nutzung von Facebook und WhatsApp.
  • Beispiele: fehlendes Vorhandensein eines Verzeichnisses der Verarbeitungstätigkeiten, unzureichende Sicherheitsvorkehrungen bei der Datenverarbeitung oder nicht ordnungsgemäße Erfüllung der Aufgaben durch den betrieblichen Datenschutzbeauftragten.

Ausgangslage

Die im Jahr 2016 verabschiedete europäische Datenschutzgrundverordnung (DSGVO) schafft einen gemeinsamen rechtlichen Rahmen für das Datenschutzrecht innerhalb der Europäischen Union (EU). Dabei ergeben sich für viele Unternehmen Veränderungen und neue Pflichten. Ein besonderes Augenmerk sollte auf den verfolgten risikobasierten Ansatz hinsichtlich technisch-organisatorischer Maßnahmen gelegt werden.

Seit dem 25. Mai 2018 ist die neue DSGVO direkt anwendbar. Damit löst das neue EU-Recht das bisherige Bundesdatenschutzgesetz (BDSG) und die Datenschutzrichtlinie (Richtlinie 95/46/EG) ab. Gleichzeitig zur neuen DSGVO tritt eine neue Fassung des BDSG in Kraft, welches die DSGVO konkretisiert. Weitere Neuerungen sind mit der EU-e-Privacy- Verordnung abzusehen. Dabei sorgte die neue Regelung nicht nur für eine einheitliche Datenschutzregelung innerhalb der EU, sondern auch für Furore und Verängstigungen, denn die Regelungen erscheinen kompliziert und die Strafmaßnahmen im Fall von Verstößen sind empfindlich.

Bußgeldregelungen bei Verstößen gegen Grundsätze der Datenverarbeitung

Härter sind die Strafen im Falle eines Verstoßes gegen die Grundsätze der Datenverarbeitung. Der Fokus liegt hierbei auf der Frage ob Daten überhaupt erhoben bzw. verarbeitet werden dürfen und hierfür die entsprechenden Bestimmungen eingehalten wurden.

  • Wer Daten verarbeitet, obwohl er es eigentlich gar nicht darf, muss mit Geldbußen von bis zu 20 Millionen Euro rechnen oder bis zu vier Prozent des Unternehmensumsatzes des Vorjahres. Auch hier gilt der Betrag, der höher ist.
  • Wer sich einer Anweisung der Aufsichtsbehörde widersetzt, muss mit denselben Bußgeldern rechnen.
  • Vergehen in dieser Kategorie liegen beispielsweise vor, wenn Daten ohne vorherige Einwilligung des Betroffenen verarbeitet werden oder die Rechte des Betroffenen verletzt werden.
  • Das kann schon der Fall sein, wenn ein Unternehmen seiner Informationspflicht gegenüber den Betroffenen über die Datenverarbeitung nicht nachkommt oder es kein Löschkonzept gibt. Betroffene haben das Recht auf Vergessenwerden, wenn der Zweck für die Datenverarbeitung weggefallen ist.
  • Dieselben Strafen werden verhängt, wenn personenbezogene Daten in Drittländer oder internationale Organisationen übermittelt werden und die extra dafür vorgesehenen Paragrafen der DSGVO missachtet werden.

Die Schonfrist ist vorbei

Die erste Zeit der Zurückhaltung ist vorbei. Das erste höhere Bußgeld in Europa kam von der Datenschutzbehörde in Portugal. Aufgrund mangelhafter Zugriffsbeschränkungen wurde ein Bußgeld von 400.000 Euro gegen ein Krankenhaus verhängt. Im November 2018 wurde in Baden-Württemberg das erste Bußgeld nach Art 83. DSGVO verhängt. Und auch gegen den Internetriesen Google wurde in Frankreich eine Rekordstrafe in Höhe von 50 Millionen Euro verhängt.

Zahlreiche Verfahren laufen noch – allein in Bayern sind es über 80. Dabei wurde der Großteil der Verfahren durch Beschwerden Betroffener ausgelöst. Bußgelder, Schadenersatzforderungen bis hin zu Freiheitsstrafen bei Vorsatz.

Werden Sie aktiv!

Das Risiko infolge mangelhafter Datenverarbeitung oder suboptimaler Datensicherheit zur Rechenschaft gezogen zu werden, ist deutlich gestiegen. Folgende strategische Überlegungen sollten Unternehmen treffen:

Effektive Umsetzung der DSGVO
„Angriff ist die beste Verteidigung“. Um Strafen zu vermeiden sollten die Anforderung der DSGVO und der jeweiligen nationalen Vorschriften erfolgreich umgesetzt werden. Nicht nur belastbare Strukturen und Prozesse, sondern auch ein effektives Datenschutz- bzw. Compliance-Managementsystem sind unerlässlich.

Schwachstellen identifizieren
Wie bereits erwähnt entsteht der Großteil der Bußgeldverfahren durch die Beschwerde betroffener Personen. Es ist daher ratsam gerade in besonders gefährdeten Bereichen, bspw. Beschwerden von Beschäftigten, besonders genau hinzusehen. Ein besonderes Konfliktpotential bergen Kontrollmechanismen.

Prozessorientierte Dokumentation
Mit der neuen DSGVO wurde das sogenannte Rechenschaftsprinzip, Art. 5 Abs. 2 DSGVO, eingeführt. Die verantwortliche Person, häufig die Unternehmensleitung, muss durch eine umfangreiche Dokumentation nachweisen, dass die Datenschutzregel eingehalten werden. Neben Verfahrensverzeichnisses bis hin zu Checklisten für eventuelle Datenschutzpannen- die Liste ist lang und die Dokumentation daher unübersichtlich. Medienbrüche, Informationsverluste und ein damit einhergehendes steigendes Risikopotential sind die Folge.

Fazit

Unternehmen sollten daher nicht tatenlos abwarten, sondern auf professionelle Unterstützung bauen. Die Anforderungen hieran sollten nicht zu niedrig liegen, denn die Verantwortung für die korrekte Umsetzung des Datenschutzes liegt ausschließlich beim Unternehmen selbst.

ibi systems iris ist eine ISMS- und GRC-Software durch die Sie nicht nur die Einhaltung der DSGVO mittels Audits überprüfen, sondern gleichzeitig Schwachstellen und Risiken erkennen und mittels geeigneter Maßnahmen beseitigen. ibi systems iris unterstützt damit nachgewiesen die Einhaltung der Anforderungen der DSGVO.

Zurück zur Übersicht

____________________

Quellen:

  • Art. 82 DSGVO: Allgemeine Bedingungen für die Verhängung von Geldbußen, Online im Internet: https://dsgvo-gesetz.de/art-83-dsgvo/, Abfrage: 04.02.2018, 15:49 Uhr.
  • IHK Osnabrück, Emsland, Grafschaft Bentheim: Stichtag 25. Mai 2018: EU-Datenschutzrecht, Online im Internet: https://www.osnabrueck.ihk24.de/blob/osihk24/recht_und_fair_play/recht/Downloads/3936174/8b15a20815b682588d036e5076d51a72/Ueberblick-EU-DSGVO-data.pdf, Abfrage: 05.02.2018, 15:07 Uhr.
  • ePrivacy-Verordnung: Die Ergänzung zur EU-Datenschutzverordnung, Online im Internet: https://www.datenschutz.org/eprivacy-verordnung/, Abfrage: 13.02.2019, 10:44 Uhr.
  • DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen, Online im Internet: https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html, Abfrage: 13.02.2019, 10:36 Uhr.

Inhalte der BAIT

Die BaFin veröffentlichte am 3.11.2017 ein verbindliches Regelwerk über die Bankaufsichtlichen Anforderungen an die IT (BAIT). Darin werden KWG und MaRisk konkretisiert bzw. ergänzt. In dem 20-seitigen Schreiben spezifiziert die BaFin Anforderungen an IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte, Anwendungsentwicklung, IT-Betrieb (inkl. Datensicherung) und Auslagerungen von IT-Dienstleistungen. Grundsätzlich sollen bei der Ausgestaltung der IT-Systeme und der dazugehörigen Prozesse auch gängige Standards wie die IT-Grundschutzkataloge oder ISO/IEC 2700X herangezogen werden.

Nach der BAIT ist eine Informationssicherheitsleitlinie durch die Geschäftsleitung zu definieren. Zu deren Unterstützung und zur Vermeidung von Interessenskonflikten ist verbindlich, die organisatorisch und prozessual unabhängige Funktion eines Informationssicherheitsbeauftragten einzurichten. Zudem verfasst der Informationssicherheitsbeauftragte quartalsweise Berichte an die Geschäftsleitung über alle Probleme und besonderen Vorkommnisse, die die IT-Sicherheit betreffen.

Zentrale Aspekte der BAIT sind ein sicheres und nachvollziehbares IT-Management und ein konkretisiertes IT-Risikomanagement. So sind konsistente Prozesse für die Vergabe von Benutzerberechtigungen zu definieren und das Vorgehen soll dabei nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) erfolgen. Im Rahmen des Informationsrisikomanagements sollen Informationsverbünde mit gegenseitigen Abhängigkeiten modelliert werden und Schutzziele für die einzelnen Bestandteile festgehalten werden. Die Geschäftsleitung ist quartalsweise über die Ergebnisse der Risikoanalyse und Veränderungen an der Risikosituation zu unterrichten.

Unterstützung durch ibi systems iris

In ibi systems iris können viele Teilbereiche einzeln, aber auch in Verbindung mit anderen Bereichen und somit gesamtheitlich betrachtet werden. ibi systems iris unterstützt bei der Umsetzung der Anforderungen aus den BAIT und gewährleistet stets einen umfassenden Überblick über alle Aspekte der Informationssicherheit.

Die BAIT – aber auch KWG, MaRisk, ISO/IEC 2700X und die IT-Grundschutzkataloge des BSI – können in ibi systems iris unter den Regelwerken hinterlegt und mit anderen relevanten Elementen in Verbindung gebracht werden.

Der Informationsverbund eines Unternehmens kann mittels Assets und Prozessen abgebildet und deren Abhängigkeiten zueinander modelliert werden. Für jedes Asset und jeden Prozess ist es möglich, den Schutzbedarf für die vier Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität“ festzustellen. Dabei kann der Schutzbedarf manuell eingegeben werden und/oder sich durch Vererbung basierend auf der Modellierung ergeben. Des Weiteren können Dokumente, Feststellungen (z.B. Schwachstellen), Prüfungen und Kennzahlen in der Software angelegt werden.

Der Informationssicherheitsbeauftragte kann mit dem Tool alle Belange der Informationssicherheit managen und z.B. Maßnahmen definieren sowie ein effektives Informationsrisikomanagement für das Unternehmen etablieren. Die Risiken werden dabei angelegt, mit den relevanten Elementen verknüpft (u.a. bestimmte Kapitel eines Regelwerks wie den BAIT, betroffene Assets und/oder Prozesse, Schwachstellen), in einem iterativen Vorgehen bewertet und mit geeigneten Maßnahmen zur Risikobehandlung in Verbindung gebracht.

Ein umfangreiches Reporting mit individueller Berichtserstellung gewährleistet stets einen gesamtheitlichen Überblick über alle Belange der Informationssicherheit. So können etwa die quartalsweisen Berichte an die Geschäftsleitung im Handumdrehen und mit nur wenigen Klicks erstellt werden.

Zurück zur Übersicht

____________________

Quellen:

  • Bundesanstalt für Finanzdienstleistungsaufsicht (2017): Bankaufsichtliche Anforderungen an die IT (BAIT), Online im Internet: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.pdf?__blob=publicationFile&v=6, Abfrage: 11.01.2018, 14:43 Uhr.

Problemstellung

Die Betreiber kritischer Anlagen müssen nach dem IT-Sicherheitsgesetz ein Mindestniveau an IT-Sicherheit einhalten und erhebliche Störungen an das BSI melden. Im Juni 2017 ist die zweite Tranche der Verordnung zu kritischen Infrastrukturen (KRITIS) in Kraft getreten. Damit werden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt. Im Gesundheitswesen bringt das nicht nur große Kliniken in Zugzwang, sondern auch Hersteller lebenswichtiger Medizinprodukte, medizinische Labors und große Arzneihändler.

Das Thema IT-Sicherheit genießt bei Investitionsvorhaben in Krankenhäusern bislang nicht den höchsten Stellenwert. Die Digitalisierung der Prozesse schreitet jedoch auch im Gesundheitswesen und insbesondere im Klinikumfeld unaufhaltsam voran. Daher ist es wenig überraschend, dass viele deutsche Kliniken bereits Lehrgeld bezahlen mussten. Laut einer Studie von Roland Berger waren bereits zwei von drei Kliniken Opfer von Cyber-Angriffen. Demnach führen mangelhafte IT-Infrastrukturen und fehlendes Fachpersonal nicht selten zu Sicherheitslücken.

„[…] für eine bessere und sichere IT-Infrastruktur benötigen Krankenhäuser weitere Investitionsmittel. Eine optimale Digitalisierung können klinische Einrichtungen nur im Rahmen einer breiteren Geschäftsstrategie stemmen. Kosteneinsparungen und Investitionen in relevante Bereiche müssen Hand in Hand gehen, damit Krankenhäuser wirtschaftlich bleiben.“

Peter Magunia, Leiter der Roland Berger Healthcare Practice Deutschland

Lösung

Damit die Digitalisierung im Klinikumfeld nicht durch eine mangelnde IT-Sicherheit gestoppt wird, ist für einen effektiven Umgang mit IT-Risiken eine strukturierte Vorgehensweise dringend erforderlich. Wichtige Aspekte sind dabei die Identifikation relevanter Risiken und eine umfassende Sicherheitskonzeption nach gängigen Standards.

Ein ISMS-Tool zur Unterstützung des Informationssicherheitsmanagements ist dabei ein nützliches und effektives Werkzeug bei der Implementierung von Standards (z.B. ISO 27001) und zur Verbesserung der Informationssicherheit der Kliniken. Idealerweise unterstützt das Tool in möglichst vielen Bereichen und deckt auch den Lösungsbereich Risiko-Management umfangreich ab.

Vorgehen mit ibi systems iris

Im Folgenden soll ein möglicher Informationssicherheitsmanagementprozesses mit der Software ibi systems iris und dem Fokus auf Risiko-Management skizziert und erläutert werden:

1. Integration von relevanten Gefährdungen
2. Identifikation und Erfassung aller kritischen Assets und Prozesse
3. Identifikation und Anlage von Schwachstellen (z.B. Identifikation im Rahmen von Prüfungen, die mit ibi systems iris durchgeführt wurden)
4. Anlage von Risiken und Verknüpfung mit anderen relevanten Elementen (u.a. Verknüpfung mit: Gefährdungen, Schwachstellen, Assets und Prozessen)
5. Durchführung einer Risikobewertung (IST-Bewertung)
6. Auswahl einer Risikobehandlungsstrategie (inkl. Definition von Maßnahmen)
7. Angabe einer angestrebten Risikobewertung nach durchgeführter Risikobehandlung (SOLL-Bewertung)
8. Wiederholung der Schritte 5 bis 7, bis ein akzeptables Restrisiko verbleibt

Haben wir Ihr Interesse geweckt? Bitte kommen Sie für eine Vorstellung und/oder einen kostenfreien Test gerne auf uns zu (info@ibi-systems.de; +49 (0)941-462939-0).

Zurück zur Übersicht

____________________

Quellen:

  • Bundesamt für Sicherheit in der Informationstechnik – BSI (2013): Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT: Management-Kurzfassung, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/RisikoanalyseKrankenhaus.pdf?__blob=publicationFile&v=4, Abfrage: 13.12.2017, 15:01 Uhr.
  • Bundesamt für Sicherheit in der Informationstechnik – BSI (2016): Das IT-Sicherheitsgesetz: Kritische Infrastrukturen schützen, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__blob=publicationFile&v=5, Abfrage: 13.12.2017, 14:02 Uhr.
  • Hauke, Gerlof (2017): Kliniken in Zugzwang, Online im Internet: https://www.aerztezeitung.de/praxis_wirtschaft/klinikmanagement/article/937004/kritis-kliniken-zugzwang.html, Abfrage: 04.12.2017, 16:58 Uhr.
  • Liedtke, Dirk (2017): Diagnose Hackerangriff: Wie Cyberattacken deutsche Kliniken lahmlegen, Online im Internet: https://www.stern.de/gesundheit/krankenhaus/hackerangriff–wie-cyberattacken-deutsche-kliniken-lahmlegen-7762362.html, Abfrage: 13.12.2017, 15:37 Uhr.
  • Roland Berger (2017): Deutsche Krankenhäuser in der Zwickmühle: Kliniken wollen digitaler werden, aber die Investitionsmittel für eine moderne und sichere IT-Infrastruktur fehlen, Online im Internet: http://www.tagesspiegel.de/advertorials/ots/roland-berger-deutsche-krankenhaeuser-in-der-zwickmuehle-kliniken-wollen-digitaler-werden-aber-die-investitionsmittel-fuer-eine-moderne-und-sichere-it-infrastruktur-fehlen/20044632.html, Abfrage: 13.12.2017, 16:15 Uhr.
  • UPKRITIS Branchenarbeitskreis medizinische Versorgung (2017): Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken, Online im Internet: http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Handlungsempfehlungen_Kliniken.pdf?__blob=publicationFile, Abfrage: 04.12.2017, 14:35 Uhr.