Kritische Infrastruktur Krankenhaus: B3S Compliance-gerecht umsetzen
Krankenhรคuser und andere medizinische Einrichtungen sind รผberdurchschnittlich anfรคllig fรผr Cyber-Attacken. Warum? Weil sie ihren Patienten die bestmรถgliche Behandlung bieten wollen. Und dafรผr braucht esย modernste Technologien. Aber moderne Technologien bergen immer auchย Gefahren im Bereich der IT-Security.
Damit der Spagat zwischen technologischem Fortschritt und einer Compliance-gerechten Infrastruktur gelingt, hat der Staat 2016 zum Schutz kritischer Infrastrukturen das IT-Sicherheitsgesetz sowie die KRITIS Verordnung erlassen. Beide wurden 2021 im Rahmen des IT-Sicherheitsgesetz 2.0 aktualisiert, um der wachsenden Bedrohung durch Cyberangriffe und Ransomware gerecht zu werden.
Wir schauen uns heute an, worauf Gesundheitseinrichtungen im KRITIS-Umfeld achten mรผssen, und warum ein professionelles Berechtigungsmanagement fรผr Krankenhรคuser notwendiger Teil des Risikomanagements ist.
KRITIS Krankenhaus: Was sind Kritische Infrastrukturen?
Das Bundesamt fรผr Sicherheit in der Informationstechnik (BSI) definiert die Kritischen Infrastrukturen als jene Einrichtungen und Organisationen, bei denen Betriebsausfรคlle besonders dramatische Folgen fรผr die Bevรถlkerung haben. Zu den so genannten KRITIS zรคhlen u.a. Einrichtungen und Organisationen aus den Bereichen Gesundheit und Gesundheitswesen, Strom- und Wasserversorgung, Finanzwesen oder Telekommunikation.
Zum Schutz der Bevรถlkerung mรผssen Betreiber kritischer Anlagen ein Mindestniveau an IT-Sicherheit einhalten und erhebliche Stรถrungen an das BSI melden. Ein Krankenhaus gilt als KRITIS-Betreiber, sobald es eine vollstationรคre Fallzahl von 30.000 pro Jahr รผberschreitet.
Achtung: Durch das Patientendaten-Schutz-Gesetz (PDSG) sind Krankenhรคuser seit dem 01.01.2022 unabhรคngig von ihrer Grรถรe dazu verpflichtet, IT-Sicherheit nach dem aktuellen Stand der Technik umzusetzen. Kliniken, die nicht als KRITIS-Anlage zรคhlen, mรผssen also dennoch dasselbe Schutzniveau umsetzen.
KRITIS Krankenhaus โ branchenspezifische Sicherheitsstandards (B3S)
Ein Kernziel der Cyber-Sicherheitsstrategie 2016 war die Verbesserung der IT-Security durch den Schutz von IT-Systemen. Der IT-System-Schutz der Kritischen Infrastrukturen ist seither im sogenannten IT-Sicherheitsgesetz geregelt.
Die jeweiligen Branchen kรถnnen durch das Erarbeiten sogenannter branchenspezifischer Sicherheitsstandards (B3S) Maรnahmen zusammenfassen, die fรผr ihren Bereich sinnvoll und notwendig sind, und sie dem Bundesamt fรผr Sicherheit in der Informationstechnik zur Prรผfung vorlegen.
Mehr Informationen rund um das Thema Identity Access Management im Krankenhausbetrieb und wie tenfold Sie dabei unterstรผtzen kann, finden Sie in unserem รberblick IAM im Gesundheitswesen.
B3S Krankenhaus: Der aktuelle Stand
Der branchenspezifische Sicherheitsstandard fรผr kritische Einrichtungen aus dem Gesundheitsbereich wurde durch die Deutsche Krankenhausgesellschaft (DKG) erarbeitet. Der fรผr 2023 aktualisierte B3S Medizinische Versorgung (Version 1.2) hat die Prรผfung durch das BSI bestanden und steht auf der Website der DKG zum Download bereit. Kliniken ab einer vollstationรคren Fallzahl von 30.000 pro Jahr kรถnnen den Standard als Grundlage fรผr die Verbesserung ihrer IT-Sicherheit heranziehen.
Die Verwendung des B3S ist jedoch nicht verpflichtend: Betreiber kรถnnen sich auch an allgemeinen Normen wie ISO 27001 orientieren, solange sie die Schutzziele der KRITIS-Verordnung erfรผllen. Dazu ist auch der regelmรครige Nachweis in Form eines Compliance-Audits notwendig. Verantwortlich fรผr den Informationssicherheitsprozess ist jeweils der Informationssicherheitsbeauftragte (CISO).
Was รคndert sich in der neuen Version des B3S Krankenhaus?
Das Update des branchenspezifischen Sicherheitsstandards integriert im Wesentlichen die Anforderungen, die sich aus der Novelle der KRITIS-Verordnung 2021 ergeben. Dazu zรคhlt etwa der Einsatz von Systemen zur Angriffserkennung. Diese sind im Dokument noch als SOLL-Vorgabe eingebunden, jedoch mit dem Hinweis, dass der Einsatz mit 01.05.2023 verpflichtend wird. Auch Sicherheitsvorgaben rund um die Verwendung medizintechnischer Gerรคte, Anforderungen an Daten-Backups, sowie das Schutzziel der Behandlungseffektivitรคt wurden angepasst.
Fรถrderungen fรผr IT-Sicherheit im Krankenhaus
Kliniken, die unter die KRITIS-Verordnung fallen und Investitionen in ihre IT-Sicherheit planen, kรถnnen in der Fรถrderperiode 2019-2024 in besonderer Weise vom Krankenhausstrukturfonds profitieren. Weitere Informationen zu den Fรถrdergeldern, die rund 4 Milliarden Euro betragen, finden Sie in unserem Infopaper.
Risikomanagement im Krankenhaus
Im Zentrum der nach dem branchenspezifischen Sicherheitsstandard fรผr Krankenhรคuser notwendigen Maรnahmen steht das sogenannte Informationsrisikomanagement. Ein professionelles Risikomanagement hilft Kliniken dabei, Risiken fรผr den Betriebsablauf zu erkennen, zu analysieren, zu bewerten und zu รผberwachen.
Ein wichtiger Teil dieses Risikomanagements ist die Absicherung gegen externen und internen Datendiebstahl. Das Risiko fรผr internen Datendiebstahl kรถnnen Gesundheitseinrichtungen durch die Umsetzung eines Identity- und Access Managements bereits maรgeblich reduzieren.
Das klar definierte Ziel dabei: Gesundheitsdaten und andere sensible Informationen vor Zugriffen unbefugter Personen zu schรผtzen. Fรผr den erfolgreichen Datenschutz im Krankenhaus ist es entscheidend, dass nach der Implementierung der Software nur noch jene IT-User den Zugriff zu sensiblen Daten erhalten, die diesen auch tatsรคchlich fรผr die Ausรผbung ihrer Arbeit benรถtigen. Experten sprechen dabei von der sparsamen Berechtigungsvergabe bzw. Least Privilege Zugriff.
Identity & Access Management im Krankenhausbetrieb
Identity- und Access Management im Gesundheitswesen
Das zentrale Steuerungs- und Dokumentationssystem fรผr die stationรคre und medizinische Versorgung ist das Krankenhausinformationssystem (KIS). Stรถrungen an zentralen KIS-Infrastrukturkomponenten oder an angebundene IT-, Medizintechnik- oder Abteilungssubsystemen kรถnnen schnell dazu fรผhren, dass der medizinische Behandlungsprozess gestรถrt wird.
Entsprechend wichtig ist es, das KIS bestmรถglich abzusichern. Die im KIS gespeicherten Daten mรผssen gemรคร dem Sicherheitsstandard einerseits jederzeit verfรผgbar sein und andererseits vor unbefugten Zugriffen geschรผtzt werden. Diese Aufgabe erledigt ein geregeltes Berechtigungsmanagement (Identity- und Access Management).
Anforderungen an Identity- und Access Management nach B3S
Zahlreiche Maรnahmen und Werkzeuge im Bereich der IT-Sicherheit bauen auf der Identitรคt des Benutzers auf. Aus diesem Grund definiert der Sicherheitsstandard B3S fรผr Krankenhรคuser im Abschnitt โIdentitรคts- und Rechtemanagementโ fixe Vorgaben fรผr die Behandlung von Benutzerkonten und Zugriffsrechten. Zu diesen zรคhlen u.a.:
Die Prozesse zur Benutzeranlage, รnderung und Deaktivierung mรผssenย festgelegt,ย dokumentiertย undย eingehaltenย werden.
Benutzerdaten sollten aus einerย zentralen Identity-Quelleย kommen, aus welcher auch andere IT-Systeme (z.B.ย Active Directory) gespeist werden kรถnnen.
Antrรคge und die Vergabe von Zugriffsrechten mรผssenย klar geregeltย sein.
Die Zuordnung von Zugriffsrechten mussย nachvollziehbar dokumentiertย undย lรผckenlos zu extrahierenย sein. Achtung! E-Mails in einem Sammelpostfach oder Tickets in einem Helpdesk-System erfรผllen diese Anforderung NICHT vollumfรคnglich, da die notwendigen Datenstrukturen fรผr ein brauchbares Reporting fehlen.
Die Zugriffsrechte mรผssen einem regelmรครigenย Rezertifizierungsprozessย unterzogen werden.
Verlรคsst ein Mitarbeiter die Einrichtung, so muss sein Konto im KIS-Systemย zuverlรคssig deaktiviertย werden.
รber die Maรnahmenempfehlungen hinaus ist es empfehlenswert, die Zugriffsberechtigungen im KIS รผber ein globales Rollenmanagement in Form von Role-Based Access Control abzubilden. Damit kann nicht nur das Ausscheiden von Mitarbeitern aus der Einrichtung abgebildet werden, sondern auch der โ wesentliche komplexere โ Fall eines Abteilungs- oder Positionswechsels.
Das Rollenmanagement sorgt dann automatisch dafรผr, dass nicht mehr benรถtigte Berechtigungen entzogen, und fรผr die neue Position zusรคtzlich erforderliche Zugriffsrechte zugeordnet werden.
IAM Umsetzung im Krankenhaus
Eine Identity und Access Management Software wie tenfold ermรถglicht die zentrale und einfache Verwaltung von IT-Benutzern und deren Zugriffsrechten auf verschiedenen Systemen. Es bestehen unter anderem technische Schnittstellen zu wichtigen Serversystemen wie Active Directory und Groupware-Lรถsungen. Diese umfangreiche Automatisierung reduziert die Fehlerquote in vielen Bereichen auf ein Minimum.
Darรผber hinaus kann tenfold an Anwendungen von Drittanbietern wie SAP angeschlossen werden. Die Umsetzung im Krankenhaus wird ergรคnzt durch die Integration von kritischen branchenspezifischen Anwendungssystemen wie dem Krankenhausinformationssystem ORBIS.
KRITIS Krankenhaus โ Rezertifizierung verhindert Sicherheitslรผcken
Fรผr eine erfolgreiche Umsetzung des Identity- und Access Managements im Krankenhaus ist es sinnvoll, die Verantwortlichen aus den jeweiligen Fachbereichen in die Prozesse mit einzubeziehen. Denn auch wenn die administrative Durchfรผhrung in der Regel durch die IT angestoรen wird, so sollten die tatsรคchlichen Verantwortlichen (sogenannte โData Ownerโ) die Antrรคge zuvor prรผfen und mit einer entsprechenden Begrรผndung entweder freigeben oder ablehnen mรผssen.
Die automatisierte Rezertifizierung bewahrt Gesundheitseinrichtungen vor einer weiteren gefรคhrlichen Fehlerquelle. Die Software โzwingtโ den jeweiligen Verantwortlichen dazu, die Zuordnungen der Berechtigungen regelmรครig auf den aktuellen Bedarf hin zu รผberprรผfen und bei Bedarf zu korrigieren.
Manuell ausgefรผhrt ist dieser Prozess, von der Erhebung der aktuellen Zugriffsrechte รผber die Vorlage bei den Verantwortlichen bis zur Durchfรผhrung der gewรผnschten รnderungen durch die IT-Abteilung, extrem aufwรคndig und fehleranfรคllig.
Identity & Access Management im Krankenhausbetrieb
Dieses Whitepaper liefert einen รberblick รผber die Anforderungen an das Identitรคts- und Rechtemanagement laut B3S fรผr Gesundheitseinrichtungen und bietet Maรnahmenempfehlungen zur einfachen Umsetzung.
Quellen:
https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html