Neuerungen in CISIS12

ISIS12 wurde in seiner neuen Version 3.0 in CISIS12 umbenannt. CISIS12 steht dabei für Compliance InformationsSIcherheitsmanagementSystem in 12 Schritten. Der Grund für die Umbenennung war insbesondere die Hervorhebung des Themas „Compliance“ und der damit verbundene erweiterte Fokus. Dadurch soll auch die Führungsebene einer Organisation verstärkt angesprochen werden.

Im Zuge dessen wurden die Dokumente umfangreich überarbeitet (Handbuch, Katalog, Norm). Dabei wurde die inhaltliche Orientierung näher an die ISO 27000er Reihe angelehnt. Die Maßnahmen sind nun z.B. mit „Muss“, „Soll“, und „Kann“ klassifiziert.

Des Weiteren wurde die Bedeutung der Prozesse in den Vordergrund gerückt und spezifische Bausteine hierzu ergänzt. Intention dahinter war durch die Verknüpfung von Assets und Prozessen einen weiteren Schritt in Richtung ganzheitliches Managementsystem zu gehen.

Softwaregestützte Umsetzung von CISIS12

In einem vorherigen Blogbeitrag haben wir bereits auf die softwaregestützte Umsetzung der Schritte in ISIS12 mit ibi systems iris hingewiesen (https://www.ibi-systems.de/de/2019/11/isis12-2-0-neuerungen-und-aenderungen/ ).

Die ISMS und GRC Software unterstützt Sie auch bei der Umsetzung von CISIS12 und hier insbesondere bei den folgenden Aufgaben:

  • Erfassung von Assets und Prozessen (Modellierung von Anwendungen, IT-Infrastruktur und Gebäuden u.a. über Bausteine bzw. Kategorisierung)
  • Risikomanagement
  • Compliancemanagement (Berücksichtigung von internen und externen Vorgaben)
  • Maßnahmen (Festlegung und Tracking sowie Ableitung bzw. inhaltliche Übernahme aus den in der Software integrierten Bausteinen)
  • Prüfungsmanagement (z.B. Internes Audit)
  • Datenschutz (u.a. Verfahrensverzeichnis, Datenschutzfolgenabschätzung)
  • Abbildung des gesamtheitlichen Zusammenhangs (u.a. Verknüpfung von Normen, Maßnahmen, Kontrollen, Risiken)
  • Reporting (diverse Dashboards und Berichtsvorlagen)

Fazit

Die Umsetzung von CISIS12 wird durch den Einsatz der Software ibi systems iris entscheidend erleichtert. CISIS12 ist dabei ein geeigneter Einstiegspunkt in das Thema Informationssicherheit sowie für eine angestrebte Zertifizierung nach ISO 27001 oder IT-Grundschutz. Dabei haben Sie mit ibi systems iris von Anfang an ein verlässliches Tool zur Hand, das Sie beim Management der Informationssicherheit unterstützt.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Gründe für ein Lieferkettengesetz

Bereits im Juni 2011 haben die Vereinten Nationen Leitprinzipien für Wirtschaft und Menschenrechte verabschiedet, welche die Verletzung von Menschenrechten durch Unternehmen verhindern sollen. Diese Leitprinzipien zielten darauf ab, die staatlichen Pflichten sowie die unternehmerische Verantwortung in globalen Lieferketten zu definieren.

Da die Leitlinien offen lassen, ob die Verantwortung freiwillig oder verbindlich übernommen werden soll, hatte Deutschland zunächst auf ein Gesetz verzichtet. Umfrageergebnissen zufolge, erfüllen bislang jedoch zu wenige Unternehmen die menschenrechtliche Sorgfaltspflicht. Der Koalitionsplan der Regierung sieht daher vor weitere gesetzliche Regelungen auf den Weg zu bringen.

Die folgenden Gründe sprechen für eine gesetzliche Regulierung:

  • Geringes (freiwilliges) Engagement: Weniger als 20 Prozent der Unternehmen erfüllen die Vorgaben.
  • Fehlende Bereitschaft zur Verantwortungsübernahme: Wer Schäden anrichtet muss sich dafür verantworten. In den vergangenen Jahren ereigneten sich weltweit immer wieder Katastrophen, an denen deutsche Unternehmen durch ihre Geschäftstätigkeit (direkt oder indirekt) beteiligt waren.
  • Menschenrechtsverletzungen dürfen kein Wettbewerbsvorteil sein: Weltweit müssen 152 Millionen Kinder laut Schätzungen der Internationalen Arbeitsorganisation (ILO) unter Bedingungen arbeiten, die sie ihrer elementaren Rechte und Chancen berauben.
  • Deutschland als Vorreiter: Deutschland ist nach den USA und China das drittgrößte Importland und nimmt somit eine wichtige Rolle im globalen Lieferkettennetzwerk ein. Frankreich, Großbritannien und die USA haben die Verantwortung in Lieferketten bereits gesetzlich geregelt. Die Niederlande bereiten ein Gesetz vor.

„Die Ausbeutung von Mensch und Natur sowie Kinderarbeit darf nicht zur Grundlage einer globalen Wirtschaft und unseres Wohlstandes werden.“

Bundesentwicklungsminister Dr. Gerd Müller

Funktionen des Lieferkettengesetzes

Das Lieferkettengesetz soll die Unternehmen in die Verantwortung nehmen und diese verpflichten, ihre Aktivitäten daraufhin zu überprüfen, ob sie sich nachteilig auf Menschenrechte auswirken.

Die folgenden drei Funktionen des Gesetzes sollen dabei faire Lieferketten gewährleisten:

  • Definition der Pflichten: Das Lieferkettengesetz soll definieren welche Pflichten Unternehmen beim Schutz von Menschenrechten haben und wie sie diesen in ihren Lieferketten nachkommen können.
  • Berichterstattung: Unternehmen sollen über Ihre Anstrengungen Bericht erstatten.
  • Stärkung der Arbeitsrechte: Das Gesetz soll die Rechte von Arbeitern vor Gericht stärken und einen Weg eröffnen, Schadensersatzansprüche in Deutschland geltend zu machen.

Umsetzung des Lieferkettengesetzes

Was sollen die Unternehmen also machen und wie sollten Sie die Umsetzung angehen? Würde das Gesetz in Kraft treten, müssen die Firmen Verfahren entwickeln, um Risikofelder zu identifizieren. Als Risikofelder sind etwa Zwangs- und Kinderarbeit, Diskriminierung, Verstöße gegen den Arbeitsschutz und die Schädigung der Gesundheit und Umwelt zu nennen.

Das Lieferkettengesetz sieht vor, dass die Unternehmen geeignete Maßnahmen ergreifen, um negativen Auswirkungen vorzubeugen und die Geschäftsbeziehungen sauber zu halten. Einmal im Jahr müssen die Unternehmen öffentlich darüber Bericht erstatten, wie Menschenrechtsverletzungen verhindert werden. Kommt es entlang der Lieferkette zu einer Verletzung der Menschenrechte, obwohl das Unternehmen im Rahmen der tatsächlichen und rechtlichen Möglichkeiten alles Angemessene getan hat, haftet es dagegen nicht.

Um die Einhaltung des Gesetzes zu gewährleisten, ist es ratsam als Unternehmen auf eine softwaregestützte Umsetzung zu setzen.

Vorgehen zum Lieferkettengesetz in ibi systems iris

Die Software ibi systems iris unterstützt dabei ganzheitlich. Es können Prüfungen auf Basis von individuellen Katalogen für das Lieferkettengesetz angelegt und durchgeführt werden. Im Rahmen der Prüfung werden Risiken identifiziert, bewertet und mit Hilfe von Maßnahmen behandelt.

So wird etwa ein konkretes Risiko zum Thema Arbeitsschutz hinsichtlich Eintrittswahrscheinlichkeit und Schadenauswirkung zunächst bewertet. Nachdem die Bewertung vorliegt, können Maßnahmen zur Behandlung definiert werden. Nach Umsetzung der Maßnahmen wird das Risiko dann erneut bewertet. Dadurch lässt sich feststellen, welche Auswirkung die ergriffene(n) Maßnahme(n) auf das Risiko hatte (z. B. Reduktion der Eintrittswahrscheinlichkeit).

Alle so erfassten Risiken werden in einer Heatmap sowie in einer filterbaren Liste dargestellt und sind als Bericht exportierbar. Die kritischen Risiken sind also sofort ersichtlich und der Bewertungs- und Behandlungsverlauf der Einzelrisiken jederzeit einsehbar.

Durch die Unterstützung der Software ibi systems iris ist ein strukturiertes Vorgehen garantiert. Die erforderlichen Berichte sind mit wenigen Klicks erzeugbar und der Überblick über den aktuellen Stand ist stets gewährleistet.

Fazit

Nach dem vorgesehenen Gesetz kann die zuständige Bundesbehörde Bußgelder verhängen, wenn die ergriffenen Maßnahmen zum Schutz der Menschenrechte nicht ausreichen. Unternehmen, gegen die ein höheres Bußgeld verhängt wurde, sollen darüber hinaus für eine gewisse Zeit von öffentlichen Aufträgen ausgeschlossen werden.

Teile der Wirtschaft lehnen das Vorhaben für ein solches Gesetz dennoch strikt ab. Es wird kritisiert, dass Unternehmen für das Verhalten Dritter in Haftung genommen werden könnten, auf die sie gar keinen direkten Einfluss haben.

Um Bußgelder zu vermeiden und Imageschäden vorzubeugen ist es in jedem Fall sinnvoll für die Umsetzung des Lieferkettengesetzes zu sorgen. Dafür sind angemessene Prozesse zu etablieren und notwendige Maßnahmen zu ergreifen. Die Software ibi systems iris kann bei der Umsetzung und Berichterstattung erheblich unterstützen.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

Bedeutung und Verortung von Nachhaltigkeitsmanagement

Das Thema Nachhaltigkeit betrifft und beschäftigt uns alle. Die EU versucht durch Investitionen und Konzepte eine nachhaltige und klimaneutrale Wirtschaft zu fördern. Die Europäische Kommission stellte Ende des Jahres 2019 den European Green Deal vor. In diesem Konzept ist das Ziel verankert bis 2050 die Netto-Emissionen von Treibhausgasen innerhalb der Europäischen Union auf null zu reduzieren. Somit will Europa hier Vorreiter und Vorbild sein und als erster Kontinent klimaneutral werden. Der European Green Deal umfasst zur Erreichung dieses Ziels eine Reihe von Maßnahmen in den Bereichen Finanzmarktregulierung, Energieversorgung, Verkehr, Handel, Industrie sowie Land- und Forstwirtschaft.

European Green Deal

Nachhaltiges Wirtschaften ist für Unternehmen, Gesellschaft und vor allem für die Umwelt von großer und wachsender Bedeutung. Die Kundennachfrage nach klimafreundlichen, nachhaltigen Produkten und Dienstleistungen steigt weiter an. Durch die Gesetzgebung sind zunehmende regulatorische Anforderungen in den kommenden Jahren zu erwarten. Die BaFin hat etwa angekündigt, dass spätestens ab 2021 geprüft werden soll, ob im Risikomanagement von Banken das Thema Nachhaltigkeit berücksichtigt wird. Die Unternehmen sollten dies berücksichtigen und das Thema Nachhaltigkeitsmanagement fest in die bestehenden Prozesse zu verankern.

Chancen und Vorteile

Das Thema Nachhaltigkeit wird zwar von Gesellschaft und Gesetzgebung verstärkt gefordert, aber es sollte nicht nur als lästige Pflicht von den Unternehmen angesehen werden. Es besteht sogar die Chance einen Wettbewerbsvorteil gegenüber der Konkurrenz zu kreieren.

Mögliche Vorteile durch die softwaregestützte Implementierung des Nachhaltigkeitsmanagements sind u.a.:

  • Hohe Reputation durch erworbene Zertifikate und Siegel
  • Gesamtheitliche Betrachtung des Themas Nachhaltigkeit im Unternehmen
  • Vermeidung von fehleranfälligen, manuellen Verfahren und Checklisten
  • Berechtigungsbasierte Freigaben und To-Do´s
  • Revisionssichere Ablage von Kontrollen inkl. Feststellungen, Dokumente, Risiken und Maßnahmen
  • Flexible Reportingmöglichkeiten

Nachhaltigkeitsmanagement mit der Software ibi systems iris

Durch ibi systems iris erhalten Sie einen vollständigen Blick auf das Thema Nachhaltigkeit bei Ihnen im Unternehmen. Ihre Prozesse werden dabei individuell abgebildet und Sie vermeiden fehleranfällige Kontrollverfahren.

Mit ibi systems iris betreiben Sie ein effektives und effizientes systemgestütztes Nachhaltigkeitsmanagement, ganz nach Ihren Ansprüchen und immer individuell anpassbar. So unterstützt die Software bei der revisionssicheren Abbildung des vollständigen Kontrollprozesses inklusive der Identifikation von Feststellungen, Risiken und Maßnahmen.

Zum Vorgehen:

  1. Strukturierung der Risiken (Wesentlichkeit)
  2. Hinterlegung von nationalen und internationalen CSR Rahmenwerken und Standards
  3. Erstellung von Prüfungsvorlagen und Ableitung von Prüfungen inkl. Planung und Durchführung
  4. Verwalten von Feststellungen und Umsetzung von Maßnahmen inklusive Statusüberwachung
  5. Reports und Dashboards

Lesen Sie für weitere Details zum Vorgehen auch unser Whitepaper zu Nachhaltigkeitsmanagement mit ibi systems iris.

Partnerschaft von ibi systems Gmbh und syracom

ibi systems und das Business- und IT-Beratungshaus syracom gehen eine strategische Partnerschaft ein und bieten gemeinsam auf Basis der webbasierten Software ibi systems iris einen integrierten, toolbasierten Lösungsansatz zum Thema Nachhaltigkeitsmanagement und dessen ganzheitlicher Verankerung in Ihrem Unternehmen an.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • https://ec.europa.eu/info/sites/info/files/european-green-deal-communication_de.pdf
  • https://www.pressebox.de/pressemitteilung/syracom-ag/syracom-und-ibi-systems-mit-innovativer-Loesung-fuer-das-Nachhaltigkeitsmanagement/boxid/1018115?utm_source=Belegmail&utm_medium=Email&utm_campaign=Aktiv
  • https://www.syracom.de/news/blog/banken/nachhaltigkeitsmanagement-ein-echter-wettbewerbsvorteil.html

Arbeitsschutz in Zeiten der Pandemie

Gesundheit und Sicherheit am Arbeitsplatz sollten gerade in kleinen und mittleren Unternehmen und Behörden eine große Rolle spielen. Die Gesundheit der Mitarbeiter als die wichtigste „Ressource“ eines Unternehmens besitzt dabei selbstverständlich den höchsten Stellenwert. Sicherheitschecks bieten hier eine gute Orientierungshilfe. Nicht zuletzt geht es schließlich gerade bei Unternehmen dieser Größe auch um die Aufrechterhaltung des Geschäftsbetriebs und somit auch um die eigene Existenz.

„Als Arbeitsschutz bzw. Arbeitnehmerschutz werden die Maßnahmen, Mittel und Methoden zum Schutz der Beschäftigten vor arbeitsbedingten Sicherheits- und Gesundheitsgefährdungen verstanden.“

Quelle: Wikipedia

In Zeiten der Corona-Pandemie haben viele Unternehmen ihre Mitarbeiter ins Homeoffice geschickt, um das Infektionsrisiko zu minimieren. Gerade in bestimmten Branchen wo man „nur“ auf die Nutzung von PC, Telefon und Internet angewiesen ist, hat man gute Erfahrungen mit dem Arbeiten von Zuhause aus gemacht.

Softwaregestützte Sicherheitschecks für die geplante Rückkehr ins Büro

Nachdem vielerorts in Deutschland ein Rückgang der Neuinfektionen zu verzeichnen war, planen dennoch viele kleinen und mittleren Unternehmen die Rückkehr ins Büro. Was aber sollte zum Thema Arbeitsschutz in Zeiten der Pandemie durch das Coronavirus (SARS-CoV-2) dabei beachtet werden? Welche Punkte sollte ein angemessenes Sicherheits- bzw. Hygienekonzept beinhalten?

Die gesetzliche Unfallversicherung Verwaltungs-Berufsgenossenschaft (VBG) hat beispielsweise eine Checkliste „Gesund und sicher durch die Pandemie“ veröffentlicht. Diese bietet schließlich eine gute Hilfestellung, um angemessene Vorkehrungen für den Arbeitsschutz zu treffen.

Die Vorteile eines systemgestützten Sicherheitschecks mit ibi systems iris sind:

  • Strukturierung von Kontrollen und Checklisten in Form von Prüfungen
  • Hinterlegung von Regelwerken (z.B. Richtlinien für Mitarbeiter und Besucher)
  • Identifikation von Feststellungen (Schwachstellen, Verbesserungspotentiale)
  • Definition und Tracking von Maßnahmen
  • Übersichtliche Exportmöglichkeiten in Form von Reports und Dashboards

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

Auditmanagement in der Webanwendung ibi systems iris

Mit ibi systems iris planen und verwalten Sie alle internen und externen Audits in Ihrem Unternehmen. Die Prüfungen lassen sich entweder direkt in der Software oder als Offline-Prüfungen via Excel durchführen. Bei der Prüfungsdurchführung besteht die Möglichkeit Feststellungen (z.B. Abweichungen oder Schwachstellen), Dokumente, Maßnahmen und Risiken zu verknüpfen. Dabei macht es keinen Unterschied, ob Sie die Prüfung über die Benutzeroberfläche durchführen oder das Excel dazu nutzen.

In der Webanwendung ibi systems iris werden individuelle Prüfvorlagen eingepflegt und verwaltet. Auf Basis dieser Vorlagen werden dann Prüfungen erstellt und die weitere Durchführung geplant. Dazu wird ein Benutzer der Software als „Prüfer“ eingetragen. Diese Zuweisung berechtigt dann den Benutzer die Prüfung innerhalb der Anwendung durchzuführen. Während der Prüfungsdurchführung kann der Prüfer verschiedene weitere Informationen bei den einzelnen Kontrollen erfassen (u.a. Feststellungen und Dokumente). Die Ergebnisse mit allen angegebenen Informationen können danach in Form von Reports in diversen Formaten (z.B. als PDF) exportiert werden.

Offline-Prüfungen via Excel

Neben der Prüfungsdurchführung direkt in ibi systems iris kann ein Excel für Offline-Prüfungen erzeugt werden. In diesem Zusammenhang besteht die Möglichkeit die Inhalte von beliebig vielen, auswählbaren Excel-Vorlagen frei zu definieren. Eine individuelle Anpassung der Vorlagen ist sowohl hinsichtlich des Layouts als auch der abgefragten Informationen möglich. Ein Standard-Excel ist in ibi systems iris bereits bei Auslieferung hinterlegt.

Vorteile

Vorteile durch Offline-Prüfungsdurchführung via Excel in ibi systems iris:

  • Große Flexibilität im Vorgehen
  • Unabhängigkeit von Internet- bzw. Netzverfügbarkeit
  • Hohe Kompatibilität des Formats (Excel)
  • Lizenzeinsparungen (Bearbeitung des Excels auch von einem Mitarbeiter ohne iris-Zugang möglich)
  • Individuelle Anpassung der abgefragten Informationen und des Layouts im Prüfungs-Excel

Anwendungsfälle

Es gibt viele mögliche Anwendungsfälle in denen Offline-Prüfungen mit ibi systems iris vorteilhaft sein können. In einem anderen Blog-Beitrag erläutern wir etwa das Cloud Vendor Assessment (CVA) mit ibi systems iris. Auch hier kann eine Prüfungsdurchführung via Excel vorteilhaft sein.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

Branchenspezifischer Sicherheitsstandard (B3S) für Krankenhäuser

Um die IT-Sicherheit zu erhöhen wurde im Jahr 2015 das IT-Sicherheitsgesetz verabschiedet. Laut dem Gesetz sind branchenspezifische Maßnahmen zu treffen, um kritische Infrastrukturen besser zu schützen. So wurde für den Gesundheitssektor der B3S für Krankenhäuser im Jahr 2019 in der Version 1.1 veröffentlicht. Der Schwellenwert zur Identifikation kritischer Infrastrukturen wurde auf 30.000 vollstationäre Behandlungsfälle festgelegt. Der B3S dient dem Anwender als Hilfestellung und als Prüfgrundlage zum Umsetzungsstand. Der B3S beinhaltet neben allgemeinen Anforderungen an Betreiber kritischer Infrastrukturen auch spezifische Anforderungen an das Risikomanagement sowie eine Übersicht über Kernprozesse von Krankenhäusern. Darüber hinaus werden diverse Bedrohungsszenarien beschrieben und abschließend branchenspezifische Anforderungen und Maßnahmenempfehlungen behandelt.

Übersicht der Kernprozesse und Funktionszuordnungen

Nutzung des B3S als Kompendium in ibi systems iris

In unserer Software ibi systems iris haben Sie die Möglichkeit den B3S für Krankenhäuser als Regelwerk zu nutzen. Somit können Sie die verschiedenen Kapitel als Grundlage bzw. betroffene Elemente zu diversen Datensätzen (u. a. Risiken, Prüfungen und Maßnahmen) verknüpfen. Dadurch dokumentieren Sie die komplette Umsetzung inkl. der gesetzlichen Grundlage auf der diese basiert.

B3S im Funktionsbereich „Regelwerke“

Risikobehandlung bzw. Maßnahmenumsetzung in ibi systems iris

Des Weiteren ist es möglich die Empfehlungen aus dem B3S direkt in der Software ibi systems iris in Form von Maßnahmen umzusetzen. Sie haben die Möglichkeit sich per Knopfdruck den derzeitigen Stand der Maßnahmenplanung und Maßnahmenumsetzung zu generieren. Mit Hilfe des Benachrichtigungssystems wird die Kollaboration zwischen den Benutzern gefördert und auf anstehende Aufgaben hingewiesen. Außerdem können Sie die Maßnahmen näher beschreiben, einen Zieltermin setzen und weitere Daten wie beispielsweise die Priorität oder ein Themengebiet definieren. Durch die Export/Import-Funktion innerhalb der Software können Sie sich darüber hinaus sämtliche Listenansichten ausgeben lassen oder bereits bestehende Daten (u. a. Maßnahmen und Risiken) in ibi systems iris migrieren.

B3S im Funktionsbereich „Maßnahmen“

Prüfgrundlage in ibi systems iris

Vor einer Prüfungsdurchführung ist es selbstverständlich möglich die Prüfung zu planen. Folglich haben Sie in ibi systems iris die Möglichkeit Prüfer, Reviewer, die Prüfzeiträume und den Prüfungsabschluss zu definieren. Der B3S kann in der Software ibi systems iris ferner als Prüfgrundlage verwendet werden. Sie haben dadurch die Möglichkeit während der Prüfungsdurchführung jederzeit die Anforderungen aus dem B3S einsehen zu können. Bei der Prüfungsdurchführung können schließlich Feststellungen wie z. B. Abweichungen oder Verbesserungspotenziale identifizieren und Dokumente anhängen.

B3S im Funktionsbereich „Prüfungen“

Nachdem Sie den Umsetzungsstatus des B3S bewertet haben, können Sie in der Software ibi systems iris einen Auditbericht erstellen. Dabei können Sie aus einer Vielzahl von Standardreports wählen. Des Weiteren ist es jederzeit möglich eigene Berichte durch unsere angebundene Reporting-Engine zu erstellen und als Vorlage zu hinterlegen. Unser Standardreport für Prüfungen gibt Ihnen eine Übersicht der Anforderungen aus dem B3S aus. Sie erhalten zu jeder Anforderung die vom Prüfer angegebenen Informationen hinsichtlich Umsetzungsergebnis, Status und Kommentar.

Mehr zum Vorgehen mit ibi systems iris für Kliniken finden Sie hier.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

Inhalte der BAIT

Die BaFin veröffentlichte am 3.11.2017 ein verbindliches Regelwerk über die Bankaufsichtlichen Anforderungen an die IT (BAIT). Darin werden KWG und MaRisk konkretisiert bzw. ergänzt. In dem 20-seitigen Schreiben spezifiziert die BaFin des Weiteren Anforderungen an IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte, Anwendungsentwicklung, IT-Betrieb (inkl. Datensicherung) und Auslagerungen von IT-Dienstleistungen. Darüber hinaus sollen bei der Ausgestaltung der IT-Systeme und der dazugehörigen Prozesse auch gängige Standards wie die IT-Grundschutzkataloge oder ISO/IEC 2700X herangezogen werden.

Nach der BAIT ist eine Informationssicherheitsleitlinie durch die Geschäftsleitung zu definieren. Zu deren Unterstützung und zur Vermeidung von Interessenskonflikten ist zudem verbindlich, die organisatorisch und prozessual unabhängige Funktion eines Informationssicherheitsbeauftragten einzurichten. Zudem verfasst der Informationssicherheitsbeauftragte quartalsweise Berichte an die Geschäftsleitung über alle Probleme und besonderen Vorkommnisse, die die IT-Sicherheit betreffen.

Zentrale Aspekte der BAIT sind ein sicheres und nachvollziehbares IT-Management und ein konkretisiertes IT-Risikomanagement. So sind konsistente Prozesse für die Vergabe von Benutzerberechtigungen zu definieren und das Vorgehen soll dabei nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) erfolgen. Im Rahmen des Informationsrisikomanagements sollen Informationsverbünde mit gegenseitigen Abhängigkeiten modelliert werden und dabei Schutzziele für die einzelnen Bestandteile festgehalten werden. Die Geschäftsleitung ist ferner quartalsweise über die Ergebnisse der Risikoanalyse und Veränderungen an der Risikosituation zu unterrichten.

Unterstützung durch ibi systems iris

In ibi systems iris werden viele Teilbereiche einzeln, aber auch in Verbindung mit anderen Bereichen und somit gesamtheitlich betrachtet. ibi systems iris unterstützt bei der Umsetzung der Anforderungen aus den BAIT und gewährleistet stets einen umfassenden Überblick über alle Aspekte der Informationssicherheit.

Die BAIT – aber auch KWG, MaRisk, ISO/IEC 2700X und die IT-Grundschutzkataloge des BSI – werden in ibi systems iris unter den Regelwerken hinterlegt und mit anderen relevanten Elementen in Verbindung gebracht.

Der Informationsverbund eines Unternehmens wird mittels Assets und Prozessen abgebildet und deren Abhängigkeiten zueinander modelliert. Für jedes Asset und jeden Prozess ist es möglich, den Schutzbedarf für die vier Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität“ festzustellen. Dabei kann der Schutzbedarf manuell eingegeben werden und/oder sich durch Vererbung basierend auf der Modellierung ergeben. Des Weiteren können Dokumente, Feststellungen (z.B. Schwachstellen), Prüfungen und Kennzahlen in der Software angelegt werden.

Der Informationssicherheitsbeauftragte kann mit dem Tool alle Belange der Informationssicherheit managen und z.B. Maßnahmen definieren sowie ein effektives Informationsrisikomanagement für das Unternehmen etablieren. Die Risiken werden dabei angelegt, mit den relevanten Elementen verknüpft (u.a. bestimmte Kapitel eines Regelwerks wie den BAIT, betroffene Assets und/oder Prozesse, Schwachstellen), in einem iterativen Vorgehen bewertet und mit geeigneten Maßnahmen zur Risikobehandlung in Verbindung gebracht.

Ein umfangreiches Reporting mit individueller Berichtserstellung gewährleistet stets einen gesamtheitlichen Überblick über alle Belange der Informationssicherheit. So werden etwa die quartalsweisen Berichte an die Geschäftsleitung im Handumdrehen und mit nur wenigen Klicks erstellt.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Bundesanstalt für Finanzdienstleistungsaufsicht (2017): Bankaufsichtliche Anforderungen an die IT (BAIT), Online im Internet: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.pdf?__blob=publicationFile&v=6, Abfrage: 11.01.2018, 14:43 Uhr.

Problemstellung

Die Betreiber kritischer Anlagen müssen nach dem IT-Sicherheitsgesetz ein Mindestniveau an IT-Sicherheit einhalten und erhebliche Störungen an das BSI melden. Im Juni 2017 ist die zweite Tranche der Verordnung zu kritischen Infrastrukturen (KRITIS) in Kraft getreten. Damit werden die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt. Im Gesundheitswesen bringt das nicht nur große Kliniken in Zugzwang, sondern auch Hersteller lebenswichtiger Medizinprodukte, medizinische Labors und große Arzneihändler.

Das Thema IT-Sicherheit genießt bei Investitionsvorhaben in Krankenhäusern bislang nicht den höchsten Stellenwert. Die Digitalisierung der Prozesse schreitet jedoch auch im Gesundheitswesen und insbesondere im Klinikumfeld unaufhaltsam voran. Daher ist es wenig überraschend, dass viele deutsche Kliniken bereits Lehrgeld bezahlen mussten. Laut einer Studie von Roland Berger waren ferner bereits zwei von drei Kliniken Opfer von Cyber-Angriffen. Demzufolge führen mangelhafte IT-Infrastrukturen und fehlendes Fachpersonal nicht selten zu Sicherheitslücken.

„[…] für eine bessere und sichere IT-Infrastruktur benötigen Krankenhäuser weitere Investitionsmittel. Eine optimale Digitalisierung können klinische Einrichtungen nur im Rahmen einer breiteren Geschäftsstrategie stemmen. Kosteneinsparungen und Investitionen in relevante Bereiche müssen Hand in Hand gehen, damit Krankenhäuser wirtschaftlich bleiben.“

Peter Magunia, Leiter der Roland Berger Healthcare Practice Deutschland

Lösung für Kliniken

Damit die Digitalisierung im Klinikumfeld nicht durch eine mangelnde IT-Sicherheit gestoppt wird, ist für einen effektiven Umgang mit IT-Risiken eine strukturierte Vorgehensweise dringend erforderlich. Wichtige Aspekte sind dabei die Identifikation relevanter Risiken und eine umfassende Sicherheitskonzeption nach gängigen Standards.

Ein ISMS-Tool zur Unterstützung des Informationssicherheitsmanagements ist dabei ein nützliches und effektives Werkzeug bei der Implementierung von Standards (z.B. ISO 27001) und zur Verbesserung der Informationssicherheit der Kliniken. Idealerweise unterstützt das Tool in möglichst vielen Bereichen und deckt auch den Lösungsbereich Risiko-Management umfangreich ab.

Vorgehen mit ibi systems iris

Im Folgenden soll ein möglicher Informationssicherheitsmanagementprozesses mit der Software ibi systems iris und dem Fokus auf Risiko-Management skizziert und erläutert werden:

1. Integration von relevanten Gefährdungen
2. Identifikation und Erfassung aller kritischen Assets und Prozesse
3. Identifikation und Anlage von Schwachstellen (z.B. Identifikation im Rahmen von Prüfungen, die mit ibi systems iris durchgeführt wurden)
4. Anlage von Risiken und Verknüpfung mit anderen relevanten Elementen (u.a. Verknüpfung mit: Gefährdungen, Schwachstellen, Assets und Prozessen)
5. Durchführung einer Risikobewertung (IST-Bewertung)
6. Auswahl einer Risikobehandlungsstrategie (inkl. Definition von Maßnahmen)
7. Angabe einer angestrebten Risikobewertung nach durchgeführter Risikobehandlung (SOLL-Bewertung)
8. Wiederholung der Schritte 5 bis 7, bis ein akzeptables Restrisiko verbleibt

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Bundesamt für Sicherheit in der Informationstechnik – BSI (2013): Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT: Management-Kurzfassung, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/RisikoanalyseKrankenhaus.pdf?__blob=publicationFile&v=4, Abfrage: 13.12.2017, 15:01 Uhr.
  • Bundesamt für Sicherheit in der Informationstechnik – BSI (2016): Das IT-Sicherheitsgesetz: Kritische Infrastrukturen schützen, Online im Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__blob=publicationFile&v=5, Abfrage: 13.12.2017, 14:02 Uhr.
  • Hauke, Gerlof (2017): Kliniken in Zugzwang, Online im Internet: https://www.aerztezeitung.de/praxis_wirtschaft/klinikmanagement/article/937004/kritis-kliniken-zugzwang.html, Abfrage: 04.12.2017, 16:58 Uhr.
  • Liedtke, Dirk (2017): Diagnose Hackerangriff: Wie Cyberattacken deutsche Kliniken lahmlegen, Online im Internet: https://www.stern.de/gesundheit/krankenhaus/hackerangriff–wie-cyberattacken-deutsche-kliniken-lahmlegen-7762362.html, Abfrage: 13.12.2017, 15:37 Uhr.
  • Roland Berger (2017): Deutsche Krankenhäuser in der Zwickmühle: Kliniken wollen digitaler werden, aber die Investitionsmittel für eine moderne und sichere IT-Infrastruktur fehlen, Online im Internet: http://www.tagesspiegel.de/advertorials/ots/roland-berger-deutsche-krankenhaeuser-in-der-zwickmuehle-kliniken-wollen-digitaler-werden-aber-die-investitionsmittel-fuer-eine-moderne-und-sichere-it-infrastruktur-fehlen/20044632.html, Abfrage: 13.12.2017, 16:15 Uhr.
  • UPKRITIS Branchenarbeitskreis medizinische Versorgung (2017): Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken, Online im Internet: http://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Handlungsempfehlungen_Kliniken.pdf?__blob=publicationFile, Abfrage: 04.12.2017, 14:35 Uhr.