Mit <kes>+ lesen

Securitas Sanitatis

Das Gesundheitswesen ist zwar längst strikt reguliert, in Sachen IT und technischer Datenschutz gibt es aber nicht selten immer noch Nachholbedarf. Unsere Autoren skizzieren, wie man schrittweise zum Ziel eines Informationssicherheits-Managementsystems (ISMS) kommt und sich dabei von Regularien und branchenspezifischen Standards leiten lassen kann.

Lesezeit 16 Min.

Weichenstellungen für die digital vernetzte Gesundheitswirtschaft – vom rechtlichen Rahmen zum ISM
Von Holger Mettler, Ulm, und Markus Jans, Dietenheim

Auch die Gesundheitsversorgung ist heute untrennbar mit der Informationssicherheit verbunden – das gilt umso mehr für die elektronische Patientenakte, die Auswertung von Gesundheitsdaten per App oder Videosprechstunde sowie die Möglichkeit, Patientendaten freiwillig der medizinischen Forschung zur Verfügung zu stellen (Datenspende). Grundlage hierfür ist eine Telematikinfrastruktur, die mittelfristig alle Akteure des Gesundheitswesens direkt verbindet: Über 70 Millionen gesetzlich Versicherte, Vertragsärzte, Apotheken, Krankenhäuser und Krankenkassen können bereits jetzt die neue Datenautobahn nutzen. Weitere Berufsgruppen aus der Behandlungskette wie Pflegeeinrichtungen, Vorsorge- und Rehabilitationseinrichtungen werden folgen.

Doch wie steht es um die IT-Security in diesem Bereich? Die Kehrseite des technologischen Wandels sind aufwendige Verteidigungsstrategien gegen Cyberkriminelle und politisch motivierte Angreifer. Folglich sehen sich viele Versorgungszentren, Praxen und Krankenhäuser herausgefordert, Managementsysteme speziell für die Informationssicherheit zu implementieren. Das Ziel: Die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von personalisierten Daten nicht nur im Not- oder Katastrophenfall zu gewährleisten, sondern auch den Regelbetrieb abzusichern.

Orientierung und weitere Hilfestellungen dafür können unter anderem die sogenannten „B3S“ – branchenspezifische Sicherheitsstandards – geben [1], die im Zuge der IT-Sicherheitsgesetze entwickelt wurden. Die Triebfeder des 2015 in Kraft getretenen ersten IT-Sicherheitsgesetzes (IT-SiG) war zunächst die Krisenprävention. Das IT-SiG reguliert die IT-Systeme und computergestützte Anlagen in Sektoren der kritischen Infrastrukturen (KRITIS) – dazu zählen im Gesundheitssektor unter anderem große Krankenhäuser mit über 30.000 Behandlungsfällen jährlich, Großlabore, Pharmaunternehmen, Arzneimittelhändler oder Apotheken, die mehr als 4,65 Millionen Verpackungen jährlich in den Verkehr bringen (vgl. Tab. 1).

Infolge der rasant fortschreitenden digitalen Vernetzung im Gesundheitssektor geht die Notwendigkeit der Krisenprävention jedoch weit über die KRITIS-Betreiber hinaus: Die Kollateralschäden von Cyber-Attacken werden größer. Mediale Bekanntheit haben etwa Ransomware-Angriffe auf Netzwerke von Trägergesellschaften mit Krankenhäusern und Altenpflegeeinrichtungen erlangt – ebenso die Verschlüsselung von Datenbanken sowie Diebstähle größerer Bestände von Patientendaten oder die Manipulation von medizintechnischen Geräten durch Fernzugriffe.

Betroffen ist letztlich das gesamte Gesundheitswesen. Alle Akteure tragen daher ein hohes Maß an Verantwortung für die IT- und Informationssicherheit, die den Datenschutz, die Datenintegrität und ein proaktives Risikomanagement für unterschiedliche Gefahrenlagen erfüllen.

Regulatorischer Rahmen

Mit dem IT-SiG hat der Gesetzgeber, wie angesprochen, bereits Schutzmechanismen für die KRITIS-Sektoren im deutschen Gesundheitswesen festgeschrieben. Gemäß der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV, siehe www.gesetze-im-internet.de/bsi-kritisv/) wurden die Betreiber „kritischer Dienstleistungen (kDL)“ unter anderem verpflichtet, eine Kontaktstelle für ihre Infrastruktur zu benennen, IT-Störungen oder erhebliche Beeinträchtigungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden, die IT-Sicherheit auf dem „Stand der Technik“ (ggf. gemäß einem branchenspezifischen Sicherheitsstandard) umzusetzen und dies im zweijährigen Turnus gegenüber dem BSI nachzuweisen (§ 8a BSIG Abs. 3). Ähnliche Regelungen gibt es inzwischen europaweit.

Stand der Wissenschaft und Technik

Dreh- und Angelpunkt ist der „Stand der Wissenschaft und Technik“. Dieser zu einem definierten Zeitpunkt vorherrschende Wissenstand ist mittlerweile die Leitidee vieler nationaler oder internationaler Verordnungen, Standards und Normen der DIN, ISO, DKE oder ISO/IEC. Orientierung bieten Checklisten in den Anhängen der Normen – etwa der ISO 27001 – sowie die praxisorientierten Maßnahmen der Fachgesellschaften (z. B. Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus).

Im Rahmen der KRITIS-Gesetzesinitiative wurde eine ganze Reihe von branchenspezifischen Standards durch Verbände entwickelt [1]. Mit der 2021 überarbeiteten Version des IT-Sicherheitsgesetzes (IT-SiG 2.0 [2,3]) sind die Anforderungen allerdings teilweise verschärft worden: In der Folge muss beispielsweise auch der im Mai 2019 veröffentlichte, für die pharmazeutische Industrie relevante Standard („B3S Pharma“) an den Stand der Wissenschaft und Technik neu angepasst werden.

Als Nachweis, dass ein KRITIS-Betreiber sämtliche verfügbaren Optionen der Cybersicherheit zum Schutz seiner Systeme einsetzt, akzeptiert das BSI Sicherheitsaudits, Prüfungen oder Zertifizierungen. Laut BSI-Gesetz sind organisatorische und technische Vorkehrungen als angemessen zu betrachten, „wenn der erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht“. Im Umkehrschluss bedeutet dies, dass mit steigender Zahl von Cyberangriffen auch ein höherer Schutzaufwand als angemessen zu beurteilen ist.

Eine wichtige Informationsquelle in diesem Kontext ist neben den Branchenverbänden auch „UP KRITIS“ (ursprünglich: „Umsetzungsplan KRITIS“): eine öffentlich-private Vereinigung für IT- und Cybersicherheit zwischen diversen KRITIS-Betreibern, ihren Verbänden und den zuständigen Bundesämtern. Die Initiative betreibt im Rahmen der BSI-Website eine eigenes Internetangebot zur Risikobewertung und zum Krisenmanagement in der IT-Sicherheit (www.upkritis.de).

Richtlinie nach § 75b SGB V zur Gewährleistung der IT-Sicherheit

Standardisierungsbemühungen der IT-Sicherheit in der Gesundheitswirtschaft, die über die KRITIS-Betreiber hinaus in die Breite gehen, sind beispielsweise die Anforderungen für durch gesetzliche Krankenkassen zugelassene Arzt- und psychotherapeutische Praxen. Das Ziel ist auch hier, den erforderlichen Stand der Technik im Sinne von Art. 32 der Datenschutzgrundverordnung (DSGVO) umzusetzen. So hatte die Kassenärztliche Bundesvereinigung (KBV) im Dezember 2020 die Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit beschlossen [4]: Sie fordert die zentralen – Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Die Anforderungen gelten je nach Komplexität der Prozesse seit April 2021 oder Januar 2022. Sie betreffen die Hard- und Software der Praxen und sind zudem abgestuft auf kleinere, mittelgroße Praxen sowie Großpraxen mit über 20 ständig mit der Datenverarbeitung befasste Personen.

 

Tabelle 1: KRITIS-Schwellwerte des Sektors Gesundheit (lt. BSI-KritisV, Stand 2017) – die KRITIS-Gesetzgebung erfasst nur kritische Infrastrukturen in Deutschland und behandelt nicht die Produktion von Arzneimitteln für den Export.

Tabelle 1: KRITIS-Schwellwerte des Sektors Gesundheit (lt. BSI-KritisV, Stand 2017) – die KRITIS-Gesetzgebung erfasst nur kritische Infrastrukturen in Deutschland und behandelt nicht die Produktion von Arzneimitteln für den Export.

Sektor

Anlagenbezeichnung

Bemessungskriterium und Schwellenwert

stationäre medizinische Versorgung

Krankenhaus

30 000 vollstationäre Fälle/Jahr

Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind

Produktionsstätte

90,68 Mio. Euro Umsatz/Jahr

Abgabe

Abgabestelle

90,68 Mio. Euro Umsatz/Jahr

Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten zur Anwendung im oder
am menschlichen Körper

Produktionsstätte

4,65 Mio. in Verkehr gebrachte Packungen/Jahr

Anlage oder System zur Entnahme und Weiterverarbeitung von Blutspenden

Anlage oder System zur Entnahme und Weiterverarbeitung von Blutspenden

34 000 hergestellte oder in Verkehr gebrachte Produkte/Jahr

Vertrieb

Betriebs- und Lagerraum

4,65 Mio. umgeschlagene Packungen/Jahr

Vertrieb

Anlage oder System zum Vertrieb von verschreibungspflichtigen Arzneimitteln

4,65 Mio. in Verkehr gebrachte Packungen/Jahr

Apotheke

Apotheke

4,65 Mio. transportierte Packungen/Jahr

Laboratoriumsdiagnostik/Transport

Transportsystem

1,5 Mio. kumulierte Aufträge der Labore
in der Gruppe/Jahr

Laboratoriumsdiagnostik/Transport

Kommunikationssystem zur Auftrags- oder Befundübermittlung

1,5 Mio. Aufträge/Jahr

Analyse/Labor

Labor

1,5 Mio. Aufträge/Jahr

Patientendaten-Schutz-Gesetz (PDSG)

Die Sicherheitskultur in der medizinischen Versorgung ist seit jeher durch die optimale, fehlerfreie Behandlung geprägt und weniger durch sichere Datenzugänge – doch beides gehört im digital vernetzten Alltag unmittelbar für die Patientensicherheit zusammen (vgl. [5,6]). Häufig ist die IT-Infrastruktur in Krankenhäusern mit einer Vielzahl von Anschlüssen und mitunter über 30.000 Endgeräten generisch, also ohne eine systematische Sicherheitsarchitektur gewachsen. Überdies sind aufgrund der 24/7-Verfügbarkeit nur kurze Wartungsintervalle möglich. Vor diesem Hintergrund ist das „Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur“ (Patientendaten-Schutz-Gesetz, PDSG [7]) als weitere Weichenstellung für ein widerstandsfähiges Niveau der Informationssicherheit zu sehen.

Seit Januar 2022 ist jedes Krankenhaus verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen zu treffen. Weitere Sicherheitsziele müssen für solche informationstechnischen Systeme, Komponenten oder Prozesse verfolgt werden, die wesentlich für die Funktionsfähigkeit des Krankenhauses und die Sicherheit von Patienteninformationen sind.

Krankenhäuser können diese Verpflichtungen erfüllen, indem sie einen aktuellen, vom BSI akzeptierten Sicherheitsstandard anwenden (z. B. IT-Grundschutz des BSI). KRITIS-Betreiber haben die Möglichkeit, auf branchenspezifische Sicherheitsstandards zurückzugreifen (z. B. B3S Gesundheitsversorgung im Krankenhaus, B3S Pharma oder B3S Laboratoriumsdiagnostik), um ein Informationssicherheits-Managementsystem (ISMS) aufzubauen und gegenüber dem BSI nachzuweisen. Die Umsetzung eines bestehenden B3S ist für die Betreiber allerdings nicht verpflichtend – sie können die Anforderungen des BSI-Gesetzes (§ 8a Abs. 1) auch auf eine andere als im B3S beschriebene Weise erfüllen.

Geeignete Schutzkonzepte

Zahlreiche IT-Angriffe der vergangenen Jahre haben Schwachstellen offengelegt, die nicht nur durch unzureichende technische Maßnahmen, sondern vor allem durch das Fehlen geeigneter Maßnahmen aus einem Managementsystem eingetreten sind. Besorgniserregend ist, dass nach der Verschlüsselung großer Datensätze durch einen Trojaner häufig keine funktionsfähige Datensicherung mehr zur Verfügung stand, weil Backup-Policy oder Disaster-Recovery in der Praxis nicht richtig umgesetzt und organisatorisch nicht überwacht wurden.

Der Aufbau und die kontinuierliche Weiterentwicklung eines ISMS ist die grundlegende Strategie, um allen Anforderungen der Gesetzgebung bezüglich Datenschutz, IT-Sicherheit und Schutz der Informationswerte effizient und belastbar gerecht zu werden. Für die Umsetzung bedarf es neben technischen und organisatorischen Vorkehrungen vor allem des bewussten Umgangs (Awareness) mit sensiblen Informationen durch die Mitarbeiter. Hinzu kommt die Datensicherheit, die gemeinsam mit dem Datenschutz dann die Informationssicherheit beschreibt.

Wo sensible Informationen erhoben, verarbeitet oder gespeichert werden, greifen schon heute die unterschiedlichsten Regelungen zum Datenschutz. Ähnlich wie in der Automobilindustrie (Beispiel: Trusted-Information-Security-Assessment-Exchange, TISAX) könnten Dienstleister, Zulieferer und Partner im Gesundheitssektor künftig verstärkt von KRITIS-Betreibern in die Pflicht genommen werden, ebenfalls ein ISMS einzuführen. Und vor dem Hintergrund gehäufter Lösegeldforderungen infolge von Ransomware-Angriffen könnten Versicherer künftig noch deutlich verstärkte Sicherheitsmaßnahmen einfordern.

Im deutschsprachigen Raum sind mit der ISO/IEC 27001 und dem IT-Grundschutz des BSI zwei Standards für den Aufbau eines ISMS verbreitet. Beide konzentrieren sich nicht allein auf die Umsetzung technischer Maßnahmen, sondern auch auf die Dokumentation aller relevanten Risiken für den jeweiligen Geschäftsbetrieb. Erst diese Grundlagen und das Ineinandergreifen von technischen und organisatorischen Maßnahmen schaffen die Voraussetzung für ein robustes Sicherheitsniveau.

In einem ISMS werden für jeden Prozessschritt die IT-Systeme und Komponenten analysiert, die wesentlich für beispielsweise Patientenversorgung oder Kundenanforderungen sind. Anhang A der ISO 27001 sowie ISO 27002 oder auch der BSI-Grundschutz und sein umfangreicher Maßnahmenkatalog können als Blaupause zur Etablierung der zugehörigen Controls dienen. Daraus leiten sich die Verfügbarkeitsanforderungen an die einzelnen IT-Systeme und Komponenten ab – kritische IT-Systeme und Komponenten werden definiert.

Im Anschluss lassen sich technische und organisatorische IT-Sicherheitsmaßnahmen auf der Grundlage vorhandener Prozesse der pharmazeutischen oder medizinischen Qualitätssicherung umsetzen – dazu gehört auch das IT-Notfallmanagement mit seinen Wiederherstellungszeiten. Die regelmäßig wiederkehrende Auditierung und Zertifizierung dieser Standards sind die finalen Schritte für den Nachweis der Umsetzung des „Stands der Technik“.

Bewährtes Vorgehen mit PDCA-Zyklus

Informationssicherheit ist ein kontinuierlicher Prozess aus Planung, Einführung, Kontrolle und Verbesserung (Plan, Do, Check, Act – PDCA). Bei der Einführung (nicht nur) B3S-Pharma-konformer ISMS hat sich folgendes Vorgehen bewährt:

Plan – Aufbau des Managementsystems

  • Voraudit: Ausgangspunkt ist ein Voraudit, zum Beispiel unter Einbeziehung eines ISMS-Prüfdienstleisters, um die Anforderungen und gegebenenfalls schon vorhandene ISMS-Komponenten zu evaluieren. Hilfsmittel sind Checklisten, Interviews, Beobachtungen, Dokumentprüfung und GAP-Analysen sowie IT-gestützte Tools.
  • Informationssicherheits-Richtlinie: Dieses Masterdokument enthält Schutzziele, Aufbau, Organisation, Kontext, Rollen und Verantwortlichkeiten sowie das Vorgehen zur Implementierung des ISMS. Wesentlich ist die Definition des ISMS-Geltungsbereichs und der kritischen Dienstleistungen (kDL) auf Basis von Kontext- und Geschäftsprozessanalysen. Oft sind diese Informationen in GMP-Dokumenten wie den Site-Master-Files (SMF) oder in Zulassungsunterlagen dargestellt und wiederverwendbar.

Do – Umsetzung des Managementsystems

  • Asset-Management: Unternehmenswerte wie Räumlichkeiten, Inventar, Anlagen, IT-Systeme oder Komponenten, die es durch das ISMS zu schützen gilt, müssen anhand der kDL-Analyse ermittelt und zugeordnet werden. Oft kann man auf vorhandene System-Inventarlisten zurückgreifen. Des Weiteren müssen die Verantwortlichkeiten für jedes Asset eindeutig zugewiesen werden.
  • Risikomanagement: Das Risikomanagement ist als wesentliches Kernmerkmal eines ISMS auf die Informationssicherheitsziele und Schutzziele auszurichten, zu etablieren und zu betreiben. Das Unternehmen soll durch das Risikomanagement in die Lage versetzt werden, systematisch Risiken, die zu Versorgungsengpässen (Availability) führen können, frühzeitig zu erkennen (Risikoidentifikation) und deren Behandlung (Risikobehandlung) einzuleiten. Dies setzt auch ein Meldewesen voraus.
  • Implementierung der ISMS-Richtlinien und -Maßnahmen: Ergibt sich aus der Risikobewertung Handlungsbedarf, sind Maßnahmen zur Risikoreduktion abzuleiten. Mit den verantwortlichen Fachbereichen werden konkrete technische sowie organisatorische Maßnahmen zur Informationssicherheit erarbeitet und mit (teils neuen) Policies/SOPs/Verfahrensanweisungen etabliert. ISO 27001/27002 beschreiben beispielsweise 114 Maßnahmen, die in 14 Kategorien gegliedert sind (vgl. [9,10]). Dabei lassen sich etablierte Verfahren aus den IT-, aber auch GMP-Produktions- und Laborbereichen heranziehen. Eine Schulung der Mitarbeiter sollte das ISMS-Einführungsprogramm abschließen.

Check – Überwachung und Überprüfung

  • Audits (intern): Diese Phase überprüft die Einhaltung der ISMS-Vorgaben und deckt gegebenenfalls Lücken bei der Erstimplementierung auf. Es gilt, die Qualität und Effektivität der ISMS-Prozessgestaltung, -durchführung und -ergebnisse sicherzustellen und zu verbessern. Dazu gehören auch die Überwachung und Überprüfung von Lieferantendienstleitungen sowie Sicherheitsanforderungen für Lieferantenbeziehungen.

Act – Aufrechterhaltung und Verbesserung

  • Verbesserung: Die Check-Phase kann dazu führen, dass Informationssicherheitsziele, Richtlinien und/oder Maßnahmen modifiziert, zurückgenommen oder ersetzt werden müssen – diese Verbesserungen finden in der Phase „Act“ statt. ISO 27001 fordert explizit, dass die Informationssicherheit kontinuierlich optimiert werden muss.

Audit/Zertifizierung

Als finale Phase gibt es die Möglichkeit, das ISMS des Betreibers – sofern die ISO-27001-Anforderungen berücksichtigt wurden – anhand eines standardisierten Auditprüfverfahrens nach ISO 27001 zu zertifizieren. Zum Nachweis der Umsetzung der Maßnahmen im Sinne des B3S oder gegebenenfalls der KRITIS-Anforderungen muss der Betreiber zudem eine geeignete prüfende Stelle beauftragen, die in einem Prüfbericht die Ergebnisse mit eventuell aufgedeckten Sicherheitsmängeln schriftlich übermittelt. Im nächsten Schritt kann der Nachweis beim BSI zur weiteren Prüfung eingereicht werden. Dieser Zyklus ist alle zwei Jahre zu wiederholen.

Einführung eines ISMS

In der Praxis berücksichtigen die Vorgehensmodelle zur Einführung eines ISMS üblicherweise die Anforderungen an den Datenschutz (z. B. nach der DSGVO), das Anstreben einer ISO-27001-Zertifizierung für den Aufbau und Betrieb eines ISMS und/oder die Berücksichtigung des BSI-IT-Grundschutz oder anderer internationaler Standards (z. B. NIST Cybersecurity Framework, www.nist.gov/cyberframework) zur Identifikation und Umsetzung notwendiger Sicherheitsmaßnahmen.

Die Gesundheitswirtschaft hat bei der Einführung eines ISMS die Möglichkeit, bereits etablierte Prozesse und Maßnahmen – beispielsweise aus dem Bereich der Good Manufacturing-Practice (GMP, www.bundesgesundheitsministerium.de/gmp.html) – zu verwenden oder darauf zu verweisen. Allerdings wird durch die alleinige Anwendung der Methoden und Verfahren (z. B. QM-/IT-Policies, IT-SOPs, IT- oder QA-Guidelines, Zugangsregelungen, Backup usw.) aus dem GxP-Bereich noch kein vollständiges ISMS! Hier gilt es, zusätzliche anerkannte Verfahren und Methoden und Vorgehensweisen (z. B. aus der ISO-27000-Familie) zu implementieren.

B3S Pharma

Im Rahmen einer B3S-Pharma-Implementierung weist das BSI darauf hin, zunächst ein ISO-27001-konformes ISMS aufzubauen und dieses anschließend an die Anforderungen des B3S Pharma zu adaptieren. Der branchenspezifische Standard für Hersteller von Arzneimitteln enthält selbst kein spezifisches Modell zur Einführung eines ISMS. Er orientiert sich stark an den Maßnahmen der ISO-27000-Familie und setzt dabei vor allem folgende Schwerpunkte:

  • Geltungsbereiche und Schutzziele (Systeme, Produktion, Betriebs und Lagerräume usw.)
  • branchenspezifische Gefährdungslage (Gefahren, Bedrohungen und Schwachstellen usw.)
  • Risikomanagement (Risikoanalyse, -transfer, -akzeptanz usw.)
  • allgemeine und spezifische Anforderungen (z. B. Vorfallerkennung, Notfall- und Business-Continuity-Management, bauliche Sicherheit, Diebstahl, Verlust, Zerstörung usw.)
  • Anwendungshinweise für Betreiber (Anpassung und Realisierung des B3S usw.)
  • Nachweisbarkeit der Umsetzung (Audits, Prüfungen oder der Zertifizierung usw.)

Die Anhänge des B3S Pharma enthalten Beispiele für typische Produktions- und Vertriebsprozesse, Vorgehensweisen zum Risikomanagement sowie Beschreibungen und Verweise auf diverse Empfehlungen für verschiedene Maßnahmen nach ISO 27002.

Obwohl der Aufbau und die Einführung eines ISMS umfangreich sind und zahlreiche Absicherungsmaßnahmen implementiert werden müssen, kann die GxP-regulierte Gesundheitswirtschaft und Pharmaindustrie immerhin auf vorhandene QM-Systeme aufbauen. Meist sind geforderte Prozesse und Methoden bereits aus Sicht der Arzneimittelgesetzgebung vorhanden.

Als Beispiel können die auf IT-Sicherheit bezogenen Punkte im EU-GMP-Leitfaden Anhang 11 [8] dienen, die Pharmafirmen gesetzlich verpflichtend etablieren müssen. Das umfasst unter anderem:

  • definierte Rollen und Verantwortlichkeiten
  • Festlegung der Aufgaben und Verantwortlichkeiten in Zusammenarbeit mit Lieferanten
  • Inventarisierung der computergestützten Systeme
  • Beschreibung des Datenaustauschs zwischen verschiedenen Systemen.
  • Datenintegrität
  • (Kontroll-)Maßnahmen für Daten- und Systemintegrität
  • Datensicherung und Wiederherstellung
  • physische und logische Zugriffskontrollen
  • Änderungssteuerungs- und Konfigurationsmanagement
  • periodische Überprüfung zum Beispiel der Funktionen, Abweichungen, Änderungen, Leistung und Zuverlässigkeit der Computersysteme

Schrittweise Herangehensweise

Aufgrund der eingeschränkten Verfügbarkeit des B3S Pharma für Nicht-KRITIS-Betreiber und der Redundanz zu anderen ISMS-Ansätzen sollte sich der Aufbau eines ISMS – zumindest zunächst – an allgemeinen nationalen und internationalen ISMS-Standards (BSI-Grundschutz, ISO 27001, NIST Cybersecurity-Framework usw.) orientieren.

Der Aufbau eines ISMS nach ISO/IEC 27001 oder IT-Grundschutz stellt eine große Hürde für viele Unternehmen dar, die nicht über ausreichende Ressourcen verfügen. Schwierigkeiten entstehen erfahrungsgemäß, wenn nur unzureichend ausgebildetes Personal in den meist kleinen IT-Abteilungen abgestellt werden kann. Die regelmäßige Überprüfung und Überwachung der Cyber-Resilienz – die Fähigkeit eines IT-Systems, auch bei Teilausfällen die Funktionalität in einem gewissen Maß für den Anwender zu erhalten – ist ebenfalls ressourcenintensiv, jedoch ein zentraler Baustein eines ISMS.

Im ersten Schritt sollten Betriebe den Status quo von Organisation und Technik analysieren und in Bezug zur kritischen Dienstleistung setzen. Durch den Abgleich mit den Anforderungen eines branchenspezifischen B3S lassen sich im zweiten Schritt der Handlungsbedarf und die nötigen Investitionen ermitteln. Damit ist jeder Betrieb in der Lage, eine kurz-, mittel- und langfristige Planung zur Umsetzung der Anforderungen zu entwickeln, die Kosten zu kalkulieren und tragfähige Entscheidungen für den Projektstart zu treffen.

Holger Mettler ist Head of Department Computer System Validation & Cyber Security sowie Head of Department Instrument & Control bei der Exyte Central Europe GmbH – Biopharma and Life Science.

Dipl.-Ing. Markus Jans ist Senior Product Manager Cyber Security sowie Subject Matter Expert Cyber Security bei der DEKRA Certification GmbH.

Literatur

[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Übersicht der Branchenspezifischen Sicherheitsstandards (B3S), Portalseite, www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/Stand-der-Technik-umsetzen/Uebersicht-der-B3S/uebersicht-der-b3s_node.html

[2] Dennis-Kenji Kipker, IT-Sicherheitsgesetz 2.0 – Die Neuerungen im Überblick – Teil 1: Die Rolle des BSI, <kes> 2021#4, S. 40

[3] Dennis-Kenji Kipker, IT-Sicherheitsgesetz 2.0 – Die Neuerungen im Überblick – Teil 2: KRITIS, UNBÖFI, kritische Komponenten und Sicherheitskennzeichen, <kes> 2021#5, S. 20

[4] Kassenärztliche Bundesvereinigung (KBV), Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit, Dezember 2020, www.kbv.de/media/sp/RiLi___75b_SGB_V_Anforderungen_Gewaehrleistung_IT-Sicherheit.pdf

[5] Bettina Weßelmann, Johannes Wiele, Anders zum SOC, Der Weg zum Branchenstandard mit flexibler Umsetzung am Beispiel Krankenhaus – Teil 1, <kes> 2020#3, S. 51

[6] Bettina Weßelmann, Johannes Wiele, Anders zum SOC, Der Weg zum Branchenstandard mit flexibler Umsetzung am Beispiel Krankenhaus – Teil 2, <kes> 2020#5, S. 20

[7] Deutscher Bundestag, Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG), Oktober 2020, in: Bundesgesetzblatt Jahrgang 2020 Teil I Nr. 46, S. 2115, www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Gesetze_und_Verordnungen/GuV/P/PDSG_bgbl.pdf

[8] European Commission, Good Manufacturing Practice (GMP) guidelines, EudraLex Volume 4, https://health.ec.europa.eu/medicinal-products/eudralex/eudralex-volume-4_en – dt. Übersetzung verfügbar via www.bundesgesundheitsministerium.de/service/gesetze-und-verordnungen/bekanntmachungen.html

[9] Knut Haufe, Srdan Dzombeta, Die neue ISO/IEC 27001, <kes> 2022#2, S. 25

[10] Eike Zimmermann, Henning Krockauer, Die neue ISO/IEC 27002, <kes> 2022#2, S. 27

Diesen Beitrag teilen: