Kritische Infrastruktur Krankenhaus: B3S Compliance-gerecht umsetzen

Krankenhäuser und andere medizinische Einrichtungen sind überdurchschnittlich anfällig für Cyber-Attacken. Warum? Weil sie ihren Patienten die bestmögliche Behandlung bieten wollen. Und dafür braucht es modernste Technologien. Aber moderne Technologien bergen immer auch Gefahren im Bereich der IT-Security.

Damit der Spagat zwischen technologischem Fortschritt und einer Compliance-gerechten Infrastruktur gelingt, hat der Staat 2016 zum Schutz kritischer Infrastrukturen das IT-Sicherheitsgesetz sowie die KRITIS Verordnung erlassen. Beide wurden 2021 im Rahmen des IT-Sicherheitsgesetz 2.0 aktualisiert, um der wachsenden Bedrohung durch Cyberangriffe und Ransomware gerecht zu werden.

Wir schauen uns heute an, worauf Gesundheitseinrichtungen im KRITIS-Umfeld achten müssen, und warum ein professionelles Berechtigungsmanagement für Krankenhäuser notwendiger Teil des Risikomanagements ist.

KRITIS Krankenhaus: Was sind Kritische Infrastrukturen?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert die Kritischen Infrastrukturen als jene Einrichtungen und Organisationen, bei denen Betriebsausfälle besonders dramatische Folgen für die Bevölkerung haben. Zu den so genannten KRITIS zählen u.a. Einrichtungen und Organisationen aus den Bereichen Gesundheit und Gesundheitswesen, Strom- und Wasserversorgung, Finanzwesen oder Telekommunikation.

Zum Schutz der Bevölkerung müssen Betreiber kritischer Anlagen ein Mindestniveau an IT-Sicherheit einhalten und erhebliche Störungen an das BSI melden. Ein Krankenhaus gilt als KRITIS-Betreiber, sobald es eine vollstationäre Fallzahl von 30.000 pro Jahr überschreitet.

Achtung: Durch das Patientendaten-Schutz-Gesetz (PDSG) sind Krankenhäuser seit dem 01.01.2022 unabhängig von ihrer Größe dazu verpflichtet, IT-Sicherheit nach dem aktuellen Stand der Technik umzusetzen. Kliniken, die nicht als KRITIS-Anlage zählen, müssen also dennoch dasselbe Schutzniveau umsetzen.

KRITIS Krankenhaus – branchenspezifische Sicherheitsstandards (B3S)

Ein Kernziel der Cyber-Sicherheitsstrategie 2016 war die Verbesserung der IT-Security durch den Schutz von IT-Systemen. Der IT-System-Schutz der Kritischen Infrastrukturen ist seither im sogenannten IT-Sicherheitsgesetz geregelt.

Die jeweiligen Branchen können durch das Erarbeiten sogenannter branchenspezifischer Sicherheitsstandards (B3S) Maßnahmen zusammenfassen, die für ihren Bereich sinnvoll und notwendig sind, und sie dem Bundesamt für Sicherheit in der Informationstechnik zur Prüfung vorlegen.

Mehr Informationen rund um das Thema Identity Access Management im Krankenhausbetrieb und wie tenfold Sie dabei unterstützen kann, finden Sie in unserem Überblick IAM im Gesundheitswesen.

B3S Krankenhaus: Der aktuelle Stand

Der branchenspezifische Sicherheitsstandard für kritische Einrichtungen aus dem Gesundheitsbereich wurde durch die Deutsche Krankenhausgesellschaft (DKG) erarbeitet. Der für 2023 aktualisierte B3S Medizinische Versorgung (Version 1.2) hat die Prüfung durch das BSI bestanden und steht auf der Website der DKG zum Download bereit. Kliniken ab einer vollstationären Fallzahl von 30.000 pro Jahr können den Standard als Grundlage für die Verbesserung ihrer IT-Sicherheit heranziehen.

Die Verwendung des B3S ist jedoch nicht verpflichtend: Betreiber können sich auch an allgemeinen Normen wie ISO 27001 orientieren, solange sie die Schutzziele der KRITIS-Verordnung erfüllen. Dazu ist auch der regelmäßige Nachweis in Form eines Compliance-Audits notwendig. Verantwortlich für den Informationssicherheitsprozess ist jeweils der Informationssicherheitsbeauftragte (CISO).

Was ändert sich in der neuen Version des B3S Krankenhaus?

Das Update des branchenspezifischen Sicherheitsstandards integriert im Wesentlichen die Anforderungen, die sich aus der Novelle der KRITIS-Verordnung 2021 ergeben. Dazu zählt etwa der Einsatz von Systemen zur Angriffserkennung. Diese sind im Dokument noch als SOLL-Vorgabe eingebunden, jedoch mit dem Hinweis, dass der Einsatz mit 01.05.2023 verpflichtend wird. Auch Sicherheitsvorgaben rund um die Verwendung medizintechnischer Geräte, Anforderungen an Daten-Backups, sowie das Schutzziel der Behandlungseffektivität wurden angepasst.

Krankenschwester, die einen Patienten auf der Intensivstation versorgt. Kritis Krankenhaus.
Im Dienst der Gesundheit: Sicherheitsstandards für ein optimales Versorgungsumfeld. Adobe Stock, (c) Tyler Olson

Förderungen für IT-Sicherheit im Krankenhaus

Kliniken, die unter die KRITIS-Verordnung fallen und Investitionen in ihre IT-Sicherheit planen, können in der Förderperiode 2019-2024 in besonderer Weise vom Krankenhausstrukturfonds profitieren. Weitere Informationen zu den Fördergeldern, die rund 4 Milliarden Euro betragen, finden Sie in unserem Infopaper.

Risikomanagement im Krankenhaus

Im Zentrum der nach dem branchenspezifischen Sicherheitsstandard für Krankenhäuser notwendigen Maßnahmen steht das sogenannte Informationsrisikomanagement. Ein professionelles Risikomanagement hilft Kliniken dabei, Risiken für den Betriebsablauf zu erkennen, zu analysieren, zu bewerten und zu überwachen.

Ein wichtiger Teil dieses Risikomanagements ist die Absicherung gegen externen und internen Datendiebstahl. Das Risiko für internen Datendiebstahl können Gesundheitseinrichtungen durch die Umsetzung eines Identity- und Access Managements bereits maßgeblich reduzieren.

Das klar definierte Ziel dabei: Gesundheitsdaten und andere sensible Informationen vor Zugriffen unbefugter Personen zu schützen. Für den erfolgreichen Datenschutz im Krankenhaus ist es entscheidend, dass nach der Implementierung der Software nur noch jene IT-User den Zugriff zu sensiblen Daten erhalten, die diesen auch tatsächlich für die Ausübung ihrer Arbeit benötigen. Experten sprechen dabei von der sparsamen Berechtigungsvergabe bzw. Least Privilege Zugriff.

tenfold webinar

Identity & Access Management im Krankenhausbetrieb

Identity- und Access Management im Gesundheitswesen

Das zentrale Steuerungs- und Dokumentationssystem für die stationäre und medizinische Versorgung ist das Krankenhausinformationssystem (KIS). Störungen an zentralen KIS-Infrastrukturkomponenten oder an angebundene IT-, Medizintechnik- oder Abteilungssubsystemen können schnell dazu führen, dass der medizinische Behandlungsprozess gestört wird.

Entsprechend wichtig ist es, das KIS bestmöglich abzusichern. Die im KIS gespeicherten Daten müssen gemäß dem Sicherheitsstandard einerseits jederzeit verfügbar sein und andererseits vor unbefugten Zugriffen geschützt werden. Diese Aufgabe erledigt ein geregeltes Berechtigungsmanagement (Identity- und Access Management).

Anforderungen an Identity- und Access Management nach B3S

Zahlreiche Maßnahmen und Werkzeuge im Bereich der IT-Sicherheit bauen auf der Identität des Benutzers auf. Aus diesem Grund definiert der Sicherheitsstandard B3S für Krankenhäuser im Abschnitt „Identitäts- und Rechtemanagement“ fixe Vorgaben für die Behandlung von Benutzerkonten und Zugriffsrechten. Zu diesen zählen u.a.:

  • Die Prozesse zur Benutzeranlage, Änderung und Deaktivierung müssen festgelegtdokumentiert und eingehalten werden.

  • Benutzerdaten sollten aus einer zentralen Identity-Quelle kommen, aus welcher auch andere IT-Systeme (z.B. Active Directory) gespeist werden können.

  • Anträge und die Vergabe von Zugriffsrechten müssen klar geregelt sein.

  • Die Zuordnung von Zugriffsrechten muss nachvollziehbar dokumentiert und lückenlos zu extrahieren sein. Achtung! E-Mails in einem Sammelpostfach oder Tickets in einem Helpdesk-System erfüllen diese Anforderung NICHT vollumfänglich, da die notwendigen Datenstrukturen für ein brauchbares Reporting fehlen.

  • Die Zugriffsrechte müssen einem regelmäßigen Rezertifizierungsprozess unterzogen werden.

  • Verlässt ein Mitarbeiter die Einrichtung, so muss sein Konto im KIS-System zuverlässig deaktiviert werden.

Über die Maßnahmenempfehlungen hinaus ist es empfehlenswert, die Zugriffsberechtigungen im KIS über ein globales Rollenmanagement in Form von Role-Based Access Control abzubilden. Damit kann nicht nur das Ausscheiden von Mitarbeitern aus der Einrichtung abgebildet werden, sondern auch der – wesentliche komplexere – Fall eines Abteilungs- oder Positionswechsels.

Das Rollenmanagement sorgt dann automatisch dafür, dass nicht mehr benötigte Berechtigungen entzogen, und für die neue Position zusätzlich erforderliche Zugriffsrechte zugeordnet werden.

IAM Umsetzung im Krankenhaus

Eine Identity und Access Management Software wie tenfold ermöglicht die zentrale und einfache Verwaltung von IT-Benutzern und deren Zugriffsrechten auf verschiedenen Systemen. Es bestehen unter anderem technische Schnittstellen zu wichtigen Serversystemen wie Active Directory und Groupware-Lösungen. Diese umfangreiche Automatisierung reduziert die Fehlerquote in vielen Bereichen auf ein Minimum.

Darüber hinaus kann tenfold an Anwendungen von Drittanbietern wie SAP angeschlossen werden. Die Umsetzung im Krankenhaus wird ergänzt durch die Integration von kritischen branchenspezifischen Anwendungssystemen wie dem Krankenhausinformationssystem ORBIS.

Vektorgrafik von Technologie im Krankenhaus; kritis Krankenhaus
Im Krankenhaus sollte der technische Fortschritt ganz im Dienste der Gesundheit stehen. Adobe Stock, (c) elenabsl

KRITIS Krankenhaus – Rezertifizierung verhindert Sicherheitslücken

Für eine erfolgreiche Umsetzung des Identity- und Access Managements im Krankenhaus ist es sinnvoll, die Verantwortlichen aus den jeweiligen Fachbereichen in die Prozesse mit einzubeziehen. Denn auch wenn die administrative Durchführung in der Regel durch die IT angestoßen wird, so sollten die tatsächlichen Verantwortlichen (sogenannte „Data Owner“) die Anträge zuvor prüfen und mit einer entsprechenden Begründung entweder freigeben oder ablehnen müssen.

Die automatisierte Rezertifizierung bewahrt Gesundheitseinrichtungen vor einer weiteren gefährlichen Fehlerquelle. Die Software “zwingt” den jeweiligen Verantwortlichen dazu, die Zuordnungen der Berechtigungen regelmäßig auf den aktuellen Bedarf hin zu überprüfen und bei Bedarf zu korrigieren.

Manuell ausgeführt ist dieser Prozess, von der Erhebung der aktuellen Zugriffsrechte über die Vorlage bei den Verantwortlichen bis zur Durchführung der gewünschten Änderungen durch die IT-Abteilung, extrem aufwändig und fehleranfällig.

Whitepaper

Identity & Access Management im Krankenhausbetrieb

Dieses Whitepaper liefert einen Überblick über die Anforderungen an das Identitäts- und Rechtemanagement laut B3S für Gesundheitseinrichtungen und bietet Maßnahmenempfehlungen zur einfachen Umsetzung.

Quellen:

https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/kritis-und-regulierte-unternehmen_node.html

https://www.dkgev.de/themen/digitalisierung-daten/informationssicherheit-und-technischer-datenschutz/informationssicherheit-im-krankenhaus/

https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html

Verfasst von: Nele Nikolaisen

Nele Nikolaisen ist Spezialistin für Conversion-Content und Suchmaschinenoptimierung. Außerdem ist sie Bücherfreundin mit Thomas-Mann-Faible, Cineastin mit Horror-Spleen und leidenschaftliche Kuriositätensammlerin.