Inhalte der BAIT

Die BaFin veröffentlichte am 3.11.2017 ein verbindliches Regelwerk über die Bankaufsichtlichen Anforderungen an die IT (BAIT). Darin werden KWG und MaRisk konkretisiert bzw. ergänzt. In dem 20-seitigen Schreiben spezifiziert die BaFin des Weiteren Anforderungen an IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte, Anwendungsentwicklung, IT-Betrieb (inkl. Datensicherung) und Auslagerungen von IT-Dienstleistungen. Darüber hinaus sollen bei der Ausgestaltung der IT-Systeme und der dazugehörigen Prozesse auch gängige Standards wie die IT-Grundschutzkataloge oder ISO/IEC 2700X herangezogen werden.

Nach der BAIT ist eine Informationssicherheitsleitlinie durch die Geschäftsleitung zu definieren. Zu deren Unterstützung und zur Vermeidung von Interessenskonflikten ist zudem verbindlich, die organisatorisch und prozessual unabhängige Funktion eines Informationssicherheitsbeauftragten einzurichten. Zudem verfasst der Informationssicherheitsbeauftragte quartalsweise Berichte an die Geschäftsleitung über alle Probleme und besonderen Vorkommnisse, die die IT-Sicherheit betreffen.

Zentrale Aspekte der BAIT sind ein sicheres und nachvollziehbares IT-Management und ein konkretisiertes IT-Risikomanagement. So sind konsistente Prozesse für die Vergabe von Benutzerberechtigungen zu definieren und das Vorgehen soll dabei nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) erfolgen. Im Rahmen des Informationsrisikomanagements sollen Informationsverbünde mit gegenseitigen Abhängigkeiten modelliert werden und dabei Schutzziele für die einzelnen Bestandteile festgehalten werden. Die Geschäftsleitung ist ferner quartalsweise über die Ergebnisse der Risikoanalyse und Veränderungen an der Risikosituation zu unterrichten.

Unterstützung durch ibi systems iris

In ibi systems iris werden viele Teilbereiche einzeln, aber auch in Verbindung mit anderen Bereichen und somit gesamtheitlich betrachtet. ibi systems iris unterstützt bei der Umsetzung der Anforderungen aus den BAIT und gewährleistet stets einen umfassenden Überblick über alle Aspekte der Informationssicherheit.

Die BAIT – aber auch KWG, MaRisk, ISO/IEC 2700X und die IT-Grundschutzkataloge des BSI – werden in ibi systems iris unter den Regelwerken hinterlegt und mit anderen relevanten Elementen in Verbindung gebracht.

Der Informationsverbund eines Unternehmens wird mittels Assets und Prozessen abgebildet und deren Abhängigkeiten zueinander modelliert. Für jedes Asset und jeden Prozess ist es möglich, den Schutzbedarf für die vier Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität“ festzustellen. Dabei kann der Schutzbedarf manuell eingegeben werden und/oder sich durch Vererbung basierend auf der Modellierung ergeben. Des Weiteren können Dokumente, Feststellungen (z.B. Schwachstellen), Prüfungen und Kennzahlen in der Software angelegt werden.

Der Informationssicherheitsbeauftragte kann mit dem Tool alle Belange der Informationssicherheit managen und z.B. Maßnahmen definieren sowie ein effektives Informationsrisikomanagement für das Unternehmen etablieren. Die Risiken werden dabei angelegt, mit den relevanten Elementen verknüpft (u.a. bestimmte Kapitel eines Regelwerks wie den BAIT, betroffene Assets und/oder Prozesse, Schwachstellen), in einem iterativen Vorgehen bewertet und mit geeigneten Maßnahmen zur Risikobehandlung in Verbindung gebracht.

Ein umfangreiches Reporting mit individueller Berichtserstellung gewährleistet stets einen gesamtheitlichen Überblick über alle Belange der Informationssicherheit. So werden etwa die quartalsweisen Berichte an die Geschäftsleitung im Handumdrehen und mit nur wenigen Klicks erstellt.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Bundesanstalt für Finanzdienstleistungsaufsicht (2017): Bankaufsichtliche Anforderungen an die IT (BAIT), Online im Internet: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.pdf?__blob=publicationFile&v=6, Abfrage: 11.01.2018, 14:43 Uhr.

Problemstellung

Die Betreiber kritischer Anlagen müssen nach dem IT-Sicherheitsgesetz ein Mindestniveau an IT-Sicherheit einhalten und erhebliche Störungen an das BSI melden. Im Juni 2017 ist die zweite Tranche der Verordnung zu kritischen Infrastrukturen (KRITIS) in Kraft getreten. Damit werden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt. Im Gesundheitswesen bringt das nicht nur große Kliniken in Zugzwang, sondern auch Hersteller lebenswichtiger Medizinprodukte, medizinische Labors und große Arzneihändler.

Das Thema IT-Sicherheit genießt bei Investitionsvorhaben in Krankenhäusern bislang nicht den höchsten Stellenwert. Die Digitalisierung der Prozesse schreitet jedoch auch im Gesundheitswesen und insbesondere im Klinikumfeld unaufhaltsam voran. Daher ist es wenig überraschend, dass viele deutsche Kliniken bereits Lehrgeld bezahlen mussten. Laut einer Studie von Roland Berger waren ferner bereits zwei von drei Kliniken Opfer von Cyber-Angriffen. Demzufolge führen mangelhafte IT-Infrastrukturen und fehlendes Fachpersonal nicht selten zu Sicherheitslücken.

„[…] für eine bessere und sichere IT-Infrastruktur benötigen Krankenhäuser weitere Investitionsmittel. Eine optimale Digitalisierung können klinische Einrichtungen nur im Rahmen einer breiteren Geschäftsstrategie stemmen. Kosteneinsparungen und Investitionen in relevante Bereiche müssen Hand in Hand gehen, damit Krankenhäuser wirtschaftlich bleiben.“

Peter Magunia, Leiter der Roland Berger Healthcare Practice Deutschland

Lösung für Kliniken

Damit die Digitalisierung im Klinikumfeld nicht durch eine mangelnde IT-Sicherheit gestoppt wird, ist für einen effektiven Umgang mit IT-Risiken eine strukturierte Vorgehensweise dringend erforderlich. Wichtige Aspekte sind dabei die Identifikation relevanter Risiken und eine umfassende Sicherheitskonzeption nach gängigen Standards.

Ein ISMS-Tool zur Unterstützung des Informationssicherheitsmanagements ist dabei ein nützliches und effektives Werkzeug bei der Implementierung von Standards (z.B. ISO 27001) und zur Verbesserung der Informationssicherheit der Kliniken. Idealerweise unterstützt das Tool in möglichst vielen Bereichen und deckt auch den Lösungsbereich Risiko-Management umfangreich ab.

Vorgehen mit ibi systems iris

Im Folgenden soll ein möglicher Informationssicherheitsmanagementprozesses mit der Software ibi systems iris und dem Fokus auf Risiko-Management skizziert und erläutert werden:

1. Integration von relevanten Gefährdungen
2. Identifikation und Erfassung aller kritischen Assets und Prozesse
3. Identifikation und Anlage von Schwachstellen (z.B. Identifikation im Rahmen von Prüfungen, die mit ibi systems iris durchgeführt wurden)
4. Anlage von Risiken und Verknüpfung mit anderen relevanten Elementen (u.a. Verknüpfung mit: Gefährdungen, Schwachstellen, Assets und Prozessen)
5. Durchführung einer Risikobewertung (IST-Bewertung)
6. Auswahl einer Risikobehandlungsstrategie (inkl. Definition von Maßnahmen)
7. Angabe einer angestrebten Risikobewertung nach durchgeführter Risikobehandlung (SOLL-Bewertung)
8. Wiederholung der Schritte 5 bis 7, bis ein akzeptables Restrisiko verbleibt

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Bundesamt für Sicherheit in der Informationstechnik – BSI (2013): Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT: Management-Kurzfassung, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/RisikoanalyseKrankenhaus.pdf?__blob=publicationFile&v=4, Abfrage: 13.12.2017, 15:01 Uhr.
  • Bundesamt für Sicherheit in der Informationstechnik – BSI (2016): Das IT-Sicherheitsgesetz: Kritische Infrastrukturen schützen, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__blob=publicationFile&v=5, Abfrage: 13.12.2017, 14:02 Uhr.
  • Hauke, Gerlof (2017): Kliniken in Zugzwang, Online im Internet: https://www.aerztezeitung.de/praxis_wirtschaft/klinikmanagement/article/937004/kritis-kliniken-zugzwang.html, Abfrage: 04.12.2017, 16:58 Uhr.
  • Liedtke, Dirk (2017): Diagnose Hackerangriff: Wie Cyberattacken deutsche Kliniken lahmlegen, Online im Internet: https://www.stern.de/gesundheit/krankenhaus/hackerangriff–wie-cyberattacken-deutsche-kliniken-lahmlegen-7762362.html, Abfrage: 13.12.2017, 15:37 Uhr.
  • Roland Berger (2017): Deutsche Krankenhäuser in der Zwickmühle: Kliniken wollen digitaler werden, aber die Investitionsmittel für eine moderne und sichere IT-Infrastruktur fehlen, Online im Internet: http://www.tagesspiegel.de/advertorials/ots/roland-berger-deutsche-krankenhaeuser-in-der-zwickmuehle-kliniken-wollen-digitaler-werden-aber-die-investitionsmittel-fuer-eine-moderne-und-sichere-it-infrastruktur-fehlen/20044632.html, Abfrage: 13.12.2017, 16:15 Uhr.
  • UPKRITIS Branchenarbeitskreis medizinische Versorgung (2017): Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken, Online im Internet: http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Handlungsempfehlungen_Kliniken.pdf?__blob=publicationFile, Abfrage: 04.12.2017, 14:35 Uhr.