Kritische Infrastruktur Krankenhaus: B3S Compliance-gerecht umsetzen

Krankenhรคuser und andere medizinische Einrichtungen sind รผberdurchschnittlich anfรคllig fรผr Cyber-Attacken. Warum? Weil sie ihren Patienten die bestmรถgliche Behandlung bieten wollen. Und dafรผr braucht esย modernste Technologien. Aber moderne Technologien bergen immer auchย Gefahren im Bereich der IT-Security.

Damit der Spagat zwischen technologischem Fortschritt und einer Compliance-gerechten Infrastruktur gelingt, hat der Staat 2016 zum Schutz kritischer Infrastrukturen das IT-Sicherheitsgesetz sowie die KRITIS Verordnung erlassen. Beide wurden 2021 im Rahmen des IT-Sicherheitsgesetz 2.0 aktualisiert, um der wachsenden Bedrohung durch Cyberangriffe und Ransomware gerecht zu werden.

Wir schauen uns heute an, worauf Gesundheitseinrichtungen im KRITIS-Umfeld achten mรผssen, und warum ein professionelles Berechtigungsmanagement fรผr Krankenhรคuser notwendiger Teil des Risikomanagements ist.

KRITIS Krankenhaus: Was sind Kritische Infrastrukturen?

Das Bundesamt fรผr Sicherheit in der Informationstechnik (BSI) definiert die Kritischen Infrastrukturen als jene Einrichtungen und Organisationen, bei denen Betriebsausfรคlle besonders dramatische Folgen fรผr die Bevรถlkerung haben. Zu den so genannten KRITIS zรคhlen u.a. Einrichtungen und Organisationen aus den Bereichen Gesundheit und Gesundheitswesen, Strom- und Wasserversorgung, Finanzwesen oder Telekommunikation.

Zum Schutz der Bevรถlkerung mรผssen Betreiber kritischer Anlagen ein Mindestniveau an IT-Sicherheit einhalten und erhebliche Stรถrungen an das BSI melden. Ein Krankenhaus gilt als KRITIS-Betreiber, sobald es eine vollstationรคre Fallzahl von 30.000 pro Jahr รผberschreitet.

Achtung: Durch das Patientendaten-Schutz-Gesetz (PDSG) sind Krankenhรคuser seit dem 01.01.2022 unabhรคngig von ihrer GrรถรŸe dazu verpflichtet, IT-Sicherheit nach dem aktuellen Stand der Technik umzusetzen. Kliniken, die nicht als KRITIS-Anlage zรคhlen, mรผssen also dennoch dasselbe Schutzniveau umsetzen.

KRITIS Krankenhaus โ€“ branchenspezifische Sicherheitsstandards (B3S)

Ein Kernziel der Cyber-Sicherheitsstrategie 2016 war die Verbesserung der IT-Security durch den Schutz von IT-Systemen. Der IT-System-Schutz der Kritischen Infrastrukturen ist seither im sogenannten IT-Sicherheitsgesetz geregelt.

Die jeweiligen Branchen kรถnnen durch das Erarbeiten sogenannter branchenspezifischer Sicherheitsstandards (B3S) MaรŸnahmen zusammenfassen, die fรผr ihren Bereich sinnvoll und notwendig sind, und sie dem Bundesamt fรผr Sicherheit in der Informationstechnik zur Prรผfung vorlegen.

Mehr Informationen rund um das Thema Identity Access Management im Krankenhausbetrieb und wie tenfold Sie dabei unterstรผtzen kann, finden Sie in unserem รœberblick IAM im Gesundheitswesen.

B3S Krankenhaus: Der aktuelle Stand

Der branchenspezifische Sicherheitsstandard fรผr kritische Einrichtungen aus dem Gesundheitsbereich wurde durch die Deutsche Krankenhausgesellschaft (DKG) erarbeitet. Der fรผr 2023 aktualisierte B3S Medizinische Versorgung (Version 1.2) hat die Prรผfung durch das BSI bestanden und steht auf der Website der DKG zum Download bereit. Kliniken ab einer vollstationรคren Fallzahl von 30.000 pro Jahr kรถnnen den Standard als Grundlage fรผr die Verbesserung ihrer IT-Sicherheit heranziehen.

Die Verwendung des B3S ist jedoch nicht verpflichtend: Betreiber kรถnnen sich auch an allgemeinen Normen wie ISO 27001 orientieren, solange sie die Schutzziele der KRITIS-Verordnung erfรผllen. Dazu ist auch der regelmรครŸige Nachweis in Form eines Compliance-Audits notwendig. Verantwortlich fรผr den Informationssicherheitsprozess ist jeweils der Informationssicherheitsbeauftragte (CISO).

Was รคndert sich in der neuen Version des B3S Krankenhaus?

Das Update des branchenspezifischen Sicherheitsstandards integriert im Wesentlichen die Anforderungen, die sich aus der Novelle der KRITIS-Verordnung 2021 ergeben. Dazu zรคhlt etwa der Einsatz von Systemen zur Angriffserkennung. Diese sind im Dokument noch als SOLL-Vorgabe eingebunden, jedoch mit dem Hinweis, dass der Einsatz mit 01.05.2023 verpflichtend wird. Auch Sicherheitsvorgaben rund um die Verwendung medizintechnischer Gerรคte, Anforderungen an Daten-Backups, sowie das Schutzziel der Behandlungseffektivitรคt wurden angepasst.

Krankenschwester, die einen Patienten auf der Intensivstation versorgt. Kritis Krankenhaus.
Im Dienst der Gesundheit: Sicherheitsstandards fรผr ein optimales Versorgungsumfeld. Adobe Stock, (c) Tyler Olson

Fรถrderungen fรผr IT-Sicherheit im Krankenhaus

Kliniken, die unter die KRITIS-Verordnung fallen und Investitionen in ihre IT-Sicherheit planen, kรถnnen in der Fรถrderperiode 2019-2024 in besonderer Weise vom Krankenhausstrukturfonds profitieren. Weitere Informationen zu den Fรถrdergeldern, die rund 4 Milliarden Euro betragen, finden Sie in unserem Infopaper.

Risikomanagement im Krankenhaus

Im Zentrum der nach dem branchenspezifischen Sicherheitsstandard fรผr Krankenhรคuser notwendigen MaรŸnahmen steht das sogenannte Informationsrisikomanagement. Ein professionelles Risikomanagement hilft Kliniken dabei, Risiken fรผr den Betriebsablauf zu erkennen, zu analysieren, zu bewerten und zu รผberwachen.

Ein wichtiger Teil dieses Risikomanagements ist die Absicherung gegen externen und internen Datendiebstahl. Das Risiko fรผr internen Datendiebstahl kรถnnen Gesundheitseinrichtungen durch die Umsetzung eines Identity- und Access Managements bereits maรŸgeblich reduzieren.

Das klar definierte Ziel dabei: Gesundheitsdaten und andere sensible Informationen vor Zugriffen unbefugter Personen zu schรผtzen. Fรผr den erfolgreichen Datenschutz im Krankenhaus ist es entscheidend, dass nach der Implementierung der Software nur noch jene IT-User den Zugriff zu sensiblen Daten erhalten, die diesen auch tatsรคchlich fรผr die Ausรผbung ihrer Arbeit benรถtigen. Experten sprechen dabei von der sparsamen Berechtigungsvergabe bzw. Least Privilege Zugriff.

tenfold webinar

Identity & Access Management im Krankenhausbetrieb

Identity- und Access Management im Gesundheitswesen

Das zentrale Steuerungs- und Dokumentationssystem fรผr die stationรคre und medizinische Versorgung ist das Krankenhausinformationssystem (KIS). Stรถrungen an zentralen KIS-Infrastrukturkomponenten oder an angebundene IT-, Medizintechnik- oder Abteilungssubsystemen kรถnnen schnell dazu fรผhren, dass der medizinische Behandlungsprozess gestรถrt wird.

Entsprechend wichtig ist es, das KIS bestmรถglich abzusichern. Die im KIS gespeicherten Daten mรผssen gemรครŸ dem Sicherheitsstandard einerseits jederzeit verfรผgbar sein und andererseits vor unbefugten Zugriffen geschรผtzt werden. Diese Aufgabe erledigt ein geregeltes Berechtigungsmanagement (Identity- und Access Management).

Anforderungen an Identity- und Access Management nach B3S

Zahlreiche MaรŸnahmen und Werkzeuge im Bereich der IT-Sicherheit bauen auf der Identitรคt des Benutzers auf. Aus diesem Grund definiert der Sicherheitsstandard B3S fรผr Krankenhรคuser im Abschnitt โ€žIdentitรคts- und Rechtemanagementโ€œ fixe Vorgaben fรผr die Behandlung von Benutzerkonten und Zugriffsrechten. Zu diesen zรคhlen u.a.:

  • Die Prozesse zur Benutzeranlage, ร„nderung und Deaktivierung mรผssenย festgelegt,ย dokumentiertย undย eingehaltenย werden.

  • Benutzerdaten sollten aus einerย zentralen Identity-Quelleย kommen, aus welcher auch andere IT-Systeme (z.B.ย Active Directory) gespeist werden kรถnnen.

  • Antrรคge und die Vergabe von Zugriffsrechten mรผssenย klar geregeltย sein.

  • Die Zuordnung von Zugriffsrechten mussย nachvollziehbar dokumentiertย undย lรผckenlos zu extrahierenย sein. Achtung! E-Mails in einem Sammelpostfach oder Tickets in einem Helpdesk-System erfรผllen diese Anforderung NICHT vollumfรคnglich, da die notwendigen Datenstrukturen fรผr ein brauchbares Reporting fehlen.

  • Die Zugriffsrechte mรผssen einem regelmรครŸigenย Rezertifizierungsprozessย unterzogen werden.

  • Verlรคsst ein Mitarbeiter die Einrichtung, so muss sein Konto im KIS-Systemย zuverlรคssig deaktiviertย werden.

รœber die MaรŸnahmenempfehlungen hinaus ist es empfehlenswert, die Zugriffsberechtigungen im KIS รผber ein globales Rollenmanagement in Form von Role-Based Access Control abzubilden. Damit kann nicht nur das Ausscheiden von Mitarbeitern aus der Einrichtung abgebildet werden, sondern auch der โ€“ wesentliche komplexere โ€“ Fall eines Abteilungs- oder Positionswechsels.

Das Rollenmanagement sorgt dann automatisch dafรผr, dass nicht mehr benรถtigte Berechtigungen entzogen, und fรผr die neue Position zusรคtzlich erforderliche Zugriffsrechte zugeordnet werden.

IAM Umsetzung im Krankenhaus

Eine Identity und Access Management Software wie tenfold ermรถglicht die zentrale und einfache Verwaltung von IT-Benutzern und deren Zugriffsrechten auf verschiedenen Systemen. Es bestehen unter anderem technische Schnittstellen zu wichtigen Serversystemen wie Active Directory und Groupware-Lรถsungen. Diese umfangreiche Automatisierung reduziert die Fehlerquote in vielen Bereichen auf ein Minimum.

Darรผber hinaus kann tenfold an Anwendungen von Drittanbietern wie SAP angeschlossen werden. Die Umsetzung im Krankenhaus wird ergรคnzt durch die Integration von kritischen branchenspezifischen Anwendungssystemen wie dem Krankenhausinformationssystem ORBIS.

Vektorgrafik von Technologie im Krankenhaus; kritis Krankenhaus
Im Krankenhaus sollte der technische Fortschritt ganz im Dienste der Gesundheit stehen. Adobe Stock, (c) elenabsl

KRITIS Krankenhaus โ€“ Rezertifizierung verhindert Sicherheitslรผcken

Fรผr eine erfolgreiche Umsetzung des Identity- und Access Managements im Krankenhaus ist es sinnvoll, die Verantwortlichen aus den jeweiligen Fachbereichen in die Prozesse mit einzubeziehen. Denn auch wenn die administrative Durchfรผhrung in der Regel durch die IT angestoรŸen wird, so sollten die tatsรคchlichen Verantwortlichen (sogenannte โ€žData Ownerโ€œ) die Antrรคge zuvor prรผfen und mit einer entsprechenden Begrรผndung entweder freigeben oder ablehnen mรผssen.

Die automatisierte Rezertifizierung bewahrt Gesundheitseinrichtungen vor einer weiteren gefรคhrlichen Fehlerquelle. Die Software โ€œzwingtโ€ den jeweiligen Verantwortlichen dazu, die Zuordnungen der Berechtigungen regelmรครŸig auf den aktuellen Bedarf hin zu รผberprรผfen und bei Bedarf zu korrigieren.

Manuell ausgefรผhrt ist dieser Prozess, von der Erhebung der aktuellen Zugriffsrechte รผber die Vorlage bei den Verantwortlichen bis zur Durchfรผhrung der gewรผnschten ร„nderungen durch die IT-Abteilung, extrem aufwรคndig und fehleranfรคllig.

Whitepaper

Identity & Access Management im Krankenhausbetrieb

Dieses Whitepaper liefert einen รœberblick รผber die Anforderungen an das Identitรคts- und Rechtemanagement laut B3S fรผr Gesundheitseinrichtungen und bietet MaรŸnahmenempfehlungen zur einfachen Umsetzung.

Quellen:

https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/kritis-und-regulierte-unternehmen_node.html

https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/

https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html

Verfasst von: Nele Nikolaisen

Nele Nikolaisen ist Spezialistin fรผr Conversion-Content und Suchmaschinenoptimierung. AuรŸerdem ist sie Bรผcherfreundin mit Thomas-Mann-Faible, Cineastin mit Horror-Spleen und leidenschaftliche Kuriositรคtensammlerin.