Hände einer Ärztin, die Patientendaten einträgt. Kritis Krankenhaus.

Krankenhäuser und andere medizinische Einrichtungen sind überdurchschnittlich anfällig für Cyber-Attacken. Warum? Weil sie ihren Patienten die bestmögliche Behandlung bieten wollen. Und dafür braucht es modernste Technologien. Aber moderne Technologien bergen immer auch Gefahren im Bereich der IT-Security.

Damit der Spagat zwischen technologischem Fortschritt und einer Compliance-gerechten Infrastruktur gelingt, hat der Staat 2016 das sogenannte IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen (KRITIS) erlassen.

Wir schauen uns heute an, worauf Gesundheitseinrichtungen im KRITIS-Umfeld achten müssen, und warum ein professionelles Berechtigungsmanagement für Krankenhäuser notwendiger Teil des Risikomanagements ist.

Inhalte (verbergen)

KRITIS Krankenhaus: Was sind Kritische Infrastrukturen?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert die Kritischen Infrastrukturen als jene Einrichtungen und Organisationen, bei denen Betriebsausfälle besonders dramatische Folgen für die Bevölkerung haben. Zu den so genannten KRITIS zählen u.a. Einrichtungen und Organisationen aus den Bereichen Gesundheit und Gesundheitswesen, Strom- und Wasserversorgung, Finanzwesen oder Telekommunikation.

Zum Schutz der Bevölkerung müssen Betreiber kritischer Anlagen ein Mindestniveau an IT-Sicherheit einhalten und erhebliche Störungen an das BSI melden. Ein Krankenhaus gilt als KRITIS-Betreiber, sobald es eine vollstationäre Fallzahl von 30.000 pro Jahr überschreitet.

Achtung: Durch das Patientendaten-Schutz-Gesetz (PDSG) sind Krankenhäuser seit dem 01.01.2022 unabhängig von ihrer Größe dazu verpflichtet, IT-Sicherheit nach dem aktuellen Stand der Technik umzusetzen. Kliniken, die nicht als KRITIS-Anlage zählen, müssen also dennoch dasselbe Schutzniveau umsetzen.

KRITIS Krankenhaus – branchenspezifische Sicherheitsstandards (B3S)

Ein Kernziel der Cyber-Sicherheitsstrategie 2016 war die Verbesserung der IT-Security durch den Schutz von IT-Systemen. Der IT-System-Schutz der Kritischen Infrastrukturen ist seither im sogenannten IT-Sicherheitsgesetz geregelt, welches 2021 durch das IT-Sicherheitsgesetz 2.0 angepasst wurde.

Die jeweiligen Branchen können durch das Erarbeiten sogenannter branchenspezifischer Sicherheitsstandards (B3S) Maßnahmen zusammenfassen, die für ihren Bereich sinnvoll und notwendig sind, und sie dem Bundesamt für Sicherheit in der Informationstechnik zur Prüfung vorlegen.

Mehr Informationen rund um das Thema Identity Access Management im Krankenhausbetrieb und wie tenfold Sie dabei unterstützen kann, finden Sie in unserem Überblick IAM im Gesundheitswesen.

B3S Krankenhaus

Der branchenspezifische Sicherheitsstandard für kritische Einrichtungen aus dem Gesundheitsbereich wurde durch die Deutsche Krankenhausgesellschaft (DKG) erarbeitet. Kliniken ab einer vollstationären Fallzahl von 30.000 pro Jahr müssen ihre IT-Sicherheitsmaßnahmen an diesem Standard ausrichten.

Sie müssen außerdem regelmäßig den Nachweis erbringen, dass sie die von der DKG vorgegebenen branchenspezifischen Anforderungen (B3S) erfüllen. Verantwortlich für den Informationssicherheitsprozess ist jeweils der Informationssicherheitsbeauftragte (CISO).

Krankenschwester, die einen Patienten auf der Intensivstation versorgt. Kritis Krankenhaus.

Förderungen für IT-Sicherheit im Krankenhaus

Kliniken, die unter die KRITIS-Verordnung fallen und Investitionen in ihre IT-Sicherheit planen, können in der Förderperiode 2019-2024 in besonderer Weise vom Krankenhausstrukturfonds profitieren. Weitere Informationen zu den Fördergeldern, die rund 4 Milliarden Euro betragen, finden Sie in unserem Infopaper.

[DOWNLOAD] Infopaper Krankenhausstrukturfonds

Risikomanagement im Krankenhaus

Im Zentrum der nach dem branchenspezifischen Sicherheitsstandard für Krankenhäuser notwendigen Maßnahmen steht das sogenannte Informationsrisikomanagement. Ein professionelles Risikomanagement hilft Kliniken dabei, Risiken für den Betriebsablauf zu erkennen, zu analysieren, zu bewerten und zu überwachen.

Ein wichtiger Teil dieses Risikomanagements ist die Absicherung gegen externen und internen Datendiebstahl. Das Risiko für internen Datendiebstahl können Gesundheitseinrichtungen durch die Umsetzung eines Identity- und Access Managements bereits maßgeblich reduzieren.

Das klar definierte Ziel dabei: Gesundheitsdaten und andere sensible Informationen vor Zugriffen unbefugter Personen zu schützen. Das bedeutet, dass nach der Implementierung der Software nur noch jene IT-User den Zugriff zu sensiblen Daten erhalten, die diesen auch tatsächlich für die Ausübung ihrer Arbeit benötigen.

Webinar Anmeldung Icon

Melden Sie sich zu unserem Webinar an!

“Identity und Access Management im Krankenhausbetrieb” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

“Identity und Access Management im Krankenhausbetrieb” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Identity- und Access Management im Gesundheitswesen

Das zentrale Steuerungs- und Dokumentationssystem für die stationäre und medizinische Versorgung ist das Krankenhausinformationssystem (KIS). Störungen an zentralen KIS-Infrastrukturkomponenten oder an angebundene IT-, Medizintechnik- oder Abteilungssubsystemen können schnell dazu führen, dass der medizinische Behandlungsprozess gestört wird.

Entsprechend wichtig ist es, das KIS bestmöglich abzusichern. Die im KIS gespeicherten Daten müssen gemäß dem Sicherheitsstandard einerseits jederzeit verfügbar sein und andererseits vor unbefugten Zugriffen geschützt werden. Diese Aufgabe erledigt ein geregeltes Berechtigungsmanagement (Identity- und Access Management).

Anforderungen an Identity- und Access Management nach B3S

Zahlreiche Maßnahmen und Werkzeuge im Bereich der IT-Sicherheit bauen auf der Identität des Benutzers auf. Aus diesem Grund definiert der Sicherheitsstandard B3S für Krankenhäuser im Abschnitt „Identitäts- und Rechtemanagement“ fixe Vorgaben für die Behandlung von Benutzerkonten und Zugriffsrechten. Zu diesen zählen u.a.:

  • Die Prozesse zur Benutzeranlage, Änderung und Deaktivierung müssen festgelegtdokumentiert und eingehalten werden.

  • Benutzerdaten sollten aus einer zentralen Identity-Quelle kommen, aus welcher auch andere IT-Systeme (z.B. Active Directory) gespeist werden können.

  • Anträge und die Vergabe von Zugriffsrechten müssen klar geregelt sein.

  • Die Zuordnung von Zugriffsrechten muss nachvollziehbar dokumentiert und lückenlos zu extrahieren sein. Achtung! E-Mails in einem Sammelpostfach oder Tickets in einem Helpdesk-System erfüllen diese Anforderung NICHT vollumfänglich, da die notwendigen Datenstrukturen für ein brauchbares Reporting fehlen.

  • Die Zugriffsrechte müssen einem regelmäßigen Rezertifizierungsprozess unterzogen werden.

  • Verlässt ein Mitarbeiter die Einrichtung, so muss sein Konto im KIS-System zuverlässig deaktiviert werden.


Über die Maßnahmenempfehlungen hinaus ist es empfehlenswert, die Zugriffsberechtigungen im KIS über ein globales Rollenmanagement abzubilden. Damit kann nicht nur das Ausscheiden von Mitarbeitern aus der Einrichtung abgebildet werden, sondern auch der – wesentliche komplexere – Fall eines Abteilungs- oder Positionswechsels.

Das Rollenmanagement sorgt dann automatisch dafür, dass nicht mehr benötigte Berechtigungen entzogen, und für die neue Position zusätzlich erforderliche Zugriffsrechte zugeordnet werden.

IAM Umsetzung im Krankenhaus

Eine Identity und Access Management Software wie tenfold ermöglicht die zentrale und einfache Verwaltung von IT-Benutzern und deren Zugriffsrechten auf verschiedenen Systemen. Es bestehen unter anderem technische Schnittstellen zu wichtigen Serversystemen wie Active Directory und Groupware-Lösungen. Diese umfangreiche Automatisierung reduziert die Fehlerquote in vielen Bereichen auf ein Minimum.

Darüber hinaus kann tenfold an Anwendungen von Drittanbietern wie SAP angeschlossen werden. Die Umsetzung im Krankenhaus wird ergänzt durch die Integration von kritischen branchenspezifischen Anwendungssystemen wie dem Krankenhausinformationssystem ORBIS.

Vektorgrafik von Technologie im Krankenhaus; kritis Krankenhaus

KRITIS Krankenhaus – Rezertifizierung verhindert Sicherheitslücken

Für eine erfolgreiche Umsetzung des Identity- und Access Managements im Krankenhaus ist es sinnvoll, die Verantwortlichen aus den jeweiligen Fachbereichen in die Prozesse mit einzubeziehen. Denn auch wenn die administrative Durchführung in der Regel durch die IT angestoßen wird, so sollten die tatsächlichen Verantwortlichen (sogenannte „Data Owner“) die Anträge zuvor prüfen und mit einer entsprechenden Begründung entweder freigeben oder ablehnen müssen.

Die automatisierte Rezertifizierung bewahrt Gesundheitseinrichtungen vor einer weiteren gefährlichen Fehlerquelle. Die Software “zwingt” den jeweiligen Verantwortlichen dazu, die Zuordnungen der Berechtigungen regelmäßig auf den aktuellen Bedarf hin zu überprüfen und bei Bedarf zu korrigieren.

Manuell ausgeführt ist dieser Prozess, von der Erhebung der aktuellen Zugriffsrechte über die Vorlage bei den Verantwortlichen bis zur Durchführung der gewünschten Änderungen durch die IT-Abteilung, extrem aufwändig und fehleranfällig.

[GRATIS WHITEPAPER] Identity und Access Management im Krankenhausbetrieb

Darauf müssen Gesundheitseinrichtungen im KRITIS-Umfeld achten.

Zum Download

[GRATIS WHITEPAPER] Identity und Access Management im Krankenhausbetrieb.

Darauf müssen Gesundheitseinrichtungen im KRITIS-Umfeld achten.

Zum Download

Quellen:

https://www.bsi.bund.de/DE/Themen/KRITIS/kritis_node.html

https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/

https://www.bsi.bund.de/DE/Themen/KRITIS/IT-SiG/it_sig_node.html