Branchenspezifische Sicherheitsstandards (B3S) für KRITIS-Sektoren veröffentlicht

Zur Standortbestimmung B3S-KrankenhäuserDer zuletzt durch das BSI freigegebene branchenspezifische Sicherheitsstandard betrifft den Sektor medizinische Versorgung (im Krankenhaus). Gemäß der Pressemitteilung vom 23.10.2019 des BSI hat dieses den Cyber-Sicherheitsstandard für Krankenhäuser von der Deutschen Krankenhausgesellschaft (DKG) anerkannt.

Laut der Ausführungen des BSI waren medizinische Einrichtungen und Krankenhäuser 2019 wiederholt durch IT-Sicherheitsvorfälle sowohl in den Fokus der Behörden als auch in die Presse geraten. Entsprechende Angreifer hatten hierbei weniger die Zerstörung oder Veränderung von Daten im Blick als vielmehr deren Verfügbarkeit und Aktualität. Nicht verfügbare Daten (Stichwort RANSOMWARE, vgl. z.B. diesen Artikel des Handelsblattes) können mitunter für die Unternehmen sehr kostspielig werden.  

Die Bereiche der medizinischen Versorgung haben in den letzten Jahrzehnten sehr viel Energie, Ressourcen und Kapital für die Digitalisierung bzw. der Verbesserung ihre Krankenhausinformationssysteme und die damit verbundene zeitnahe zur Verfügungsstellung (u.a.) von (sensiblen) Patientendaten investiert. Leider wurde hier im Bereich der Cybersicherheit auf allen Ebenen offensichtlich an der einen und anderen Ecke gespart, wie die bekannt gewordenen Sicherheitsvorfälle alleine in diesem Jahr darlegen.

Username und Passwort für jeden sichtbar

In den vergangenen Tagen musste ich mich selber in einer Notaufnahme eines großen Klinikums aufhalten. Der in meinem Notfallbehandlungszimmer aufgestellte Terminal war zwar durch einen Time-Out-Bildschirmschoner zugriffsgeschützt; leider jedoch waren am oberen Rand des Bildschirms sowohl das Passwort als auch der User mit einem Schriftzug gut leserlich aufgebracht (hier verpixelt). Ich war einige Stunden als Begleitperson in dem Raum ohne Aufsicht.

Krankenhaus MonitorDie Frage, die sich hier durchaus ableiten lässt ist, ob ein in dieser Art und Weise umgehbarer eingerichteter Systemzugriffsschutz weniger schwerwiegend ist, als nicht zur Verfügung stehende Patienteninformationen, weil das Personal möglicherweise durch „vergessene“ oder „nicht bekannte“ Zugriffscodes diese nicht „just in time“ abrufen kann.

Auf der anderen Seite können durch ein solches Verhalten Zugriffe für Unbefugte auf durchaus sensible personenbezogene Patientendaten erfolgen, die nicht sofort, sondern erst in einem zweiten oder dritten, zumindest nachfolgenden Schritt, zu schwierigen Situationen für die betroffenen Personen als auch das Haus selber werden können. Es lassen sich hier mit ein wenig Fantasie eine Vielzahl von Szenarien kreieren, die kein gutes Ende für die betroffenen Patienten, die Administratoren, das Pflegepersonal, die Ärzteschaft noch die verantwortlichen Stationsleiter nehmen würden.

Digitalisierung in Krankenhäusern

Gemäß einer Studie der Unternehmensberatung Roland Berger aus dem Jahr 2018 setzen 93% von 500 Krankenhäusern auf Digitalisierung, was eine Steigerung von 35% zum Vorjahr bedeutet. Hierbei sind nicht nur wirtschaftliche Überlegungen tragend (33% sehen einen signifikanten wirtschaftlichen Beitrag der Digitalisierung zum Unternehmenserfolg), sondern auch die Nutzung der sich damit bietenden Erfolgsfaktoren wie schnellere Kommunikation, das Managen komplexer Situationen oder die Minderung diagnostischer Fehlentscheidungen.

Einem Artikel der Computerzeitschrift „computerwoche“ vom 01.10.2019 zufolge nimmt das Universitätsklinikum Essen in Deutschland eine Vorreiterrolle bei der Digitalisierung im Krankenhausbetrieb ein: Stichwort "SMART HOSPITALS“. Hierbei soll die Digitalisierung nicht nur die Patientenversorgung umfassen, sondern darüber hinaus auch den Einsatz von KI (Künstlicher Intelligenz). Dazu testet das Universitätsklinikum Essen gemäß den Ausführungen der "computerwoche" eine auf Künstlicher Intelligenz basierende Software, den AI Pathway Companion von Siemens Healthineers, die zum Beispiel auch Vorschläge für weitere Therapieschritte macht. Andere Kliniken werden nachziehen – nachziehen müssen, um wettbewerbsfähig zu bleiben.

Bei IT-Systemen und organisatorischen Abläufen führt die steigende Komplexität zu einer verstärkten Anfälligkeit für Missbrauch und Unterbrechung – der in diesem Lebensbereich, wie auch in anderen Situationen (z.B. Tauchen, Fliegen, Autofahren, etc.), durchaus zum Tod von Menschen führen kann. Unsachgemäße Änderungen oder die Nicht-Verfügbarkeit der Patienakten könnten zu tödlichen Behandlungsfehlern führen: vertauschte Medikamente, falsche Dosierungen, unvollständige und falsche Therapien.

Der neue Cyber-Sicherheitsstandard für Krankenhäuser

Um Krankenhäusern und medizinischen Einrichtungen hierbei eine Hilfestellung zu bieten, hat die Deutschen Krankenhausgesellschaft (DKG) einen branchenspezifische Sicherheitsstandard – den Cyber-Sicherheitsstandard für Krankenhäuser – entwickelt. Dieser wurde vom BSI (Bundesamt für Sicherheit in der Informationstechnik) abgenommen und ist mit der Feststellung der Eignung nun einsetzbar.

Dieser neue Standard ist in erster Linie umzusetzen von den Krankenhäusern, die nach Auslegung des IT-Sicherheitsgesetzes als kritische Infrastriktur eingestuft und beim BSI gemeldet sind. Dies betrifft rund 10% der deutschen Krankenhäuser. Gleichwohl steht dieser Standard auch allen anderen Kliniken bzw. medizinischen Einrichtungen zur Verfügung, wodurch die IT-Sicherheit auch in diesen Häusern überprüft und dort, wo notwendig, angehoben werden kann. Es bleibt jedoch anzumerken, dass die Sicherheit der eingesetzten Systeme, Informationen und Daten nur so gut sein kann wie das schwächste Prozessglied – der MENSCH.

Vor diesem Hintergrund ist es wichtig, dass sehr individuell ausgearbeitete Schulungsmaßnahmen, die z.B. auch die individuellen Arbeitsumstände der Mitarbeiter und Mitarbeiterinnen umfassen, umgesetzt werden. Diese Schulungsmaßnahmen sind auf allen Ebenen einer Organisation durchzuführen – ungeachtet des Tagesgeschäftes, der Ressourcenknappheit und des Kostendrucks. Das Management hat zudem einerseits den Schutz der Daten vorzuleben als auch andererseits Mitarbeitern die Teilnahme an Schulungsmaßnahmen zu ermöglichen (vgl. u.a. DSGVO Art. 39 Abs. 1 lit. b), Art. 47), was u.a. der Datenschutzbeauftragte dokumentiert durchzuführen, zu überwachen bzw. zu überprüfen hat.

Die compliance-net GmbH als kompetenter Partner

Die compliance-net GmbH leistet ihren Beitrag dazu auf verschiedene Art und Weise. Ein Beispiel: Wir haben für Krankenhäuser und medizinischen Einrichtungen, auf Basis des branchenspezifischen Sicherheitsstandards, eine Vorgehensweise erarbeitet, die es den Häusern bzw. Einrichtungen erlaubt, sich kostengünstig einer individuellen Situationsbewertung zu unterziehen – einer „Standortbestimmung“.

Darüber hinaus haben wir praktische Inhouse-Schulungen (zwischen zwei und acht Stunden) entwickelt, sowohl für die Bereiche des allgemeinen Datenschutzes als auch der IT-Sicherheit. Diese Schulungen sind nicht zwingend auf IT-Mitarbeiter ausgerichtet (welche sich bereits mit dem Thema IT-Sicherheit auskennen bzw. auskennen sollten), sondern für diejenigen Mitarbeiter und Mitarbeiterinnen gedacht, die die IT als „Mittel zum Zweck“ nutzen.

Eine Beschreibung bzw. einen Steckbrief zur Standortbestimmung, die Sie selbstverständlich selbst durchführen können, finden Sie hier.


Wir helfen Ihnen gerne weiter und unterstützen Sie durch individuell zugeschnittene Schulungen und Trainings. Gerne können Sie uns über die unten angegebenen Kontaktdetails erreichen und wir entwickeln mit Ihnen gemeinsam Ihre unternehmensindividuellen Schulungen, z.B. zu den Themen IT-Sicherheit und Datenschutz.

Dr. Klaus-D. Krause
compliance-net GmbH
partners@compliance-net.com
Telefon: +49 (0) 6103 376 96 40