20.07.2016 |
Gute Vorbereitung ist die halbe Miete, sagt der Volksmund. Wenn die Verantwortlichen für IT-Sicherheit in den Krankenhäusern der Republik nach dieser Maxime handeln, dürften sie gerade eine Menge auf dem Tisch haben. Schließlich steht ihnen bis spätestens Ende des Jahres eine neue Rechtverordnung auf Basis des 2015 verabschiedeten IT-Sicherheitsgesetzes (ITSiG) ins Haus.
Krankenhäuser zählen wie beispielsweise auch Energie- oder Wasserversorger zu den so genannten „kritischen Infrastrukturen“ (KRITIS) mit weitreichenden gesellschaftlichen Aufgaben. Ihre Betreiber sind gemäß ITSiG verpflichtet, ein „Mindestmaß an IT-Sicherheit“ einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Sicherheitsvorfälle zu melden.
Absehbare Anforderungen
In der künftigen Rechtsverordnung (RV) für den Bereich Gesundheitswesen werden bestehende Gesetze im Bereich IT-Sicherheit samt deren Änderungen und Erweiterungen zusammengeführt und nötigenfalls harmonisiert.
Ziemlich sicher wird die neue Verordnung mit Blick auf die Mindeststandards folgende drei Anforderungen enthalten:
- Die Einrichtung einer Melde- und Kontaktstelle für das BSI, die 24/7 arbeitet (spätestens ab 6 Monate nach RV)
- Die Umsetzung eines Informationsmanagementsystems (ISMS) sowie eventuell bereichsspezifischer Ergänzungen (binnen 2 Jahren nach Erlass der RV)
- Nachweis einer Zertifizierung gemäß ISO 27001 oder IT-Grundschutz des BSI
Unklar ist noch, ab welcher Größe Krankenhäuser unter das ITSiG fallen werden. Es wird diskutiert, ob alle Krankenhäuser betroffen sein werden oder die Verordnung erst ab 18.000 Fällen pro Jahr greifen soll.
Eine erste inhaltliche Orientierung bietet schon heute der für den Katastrophenschutz bestehende Leitfaden „Schutz kritischer Infrastrukturen: Risikomanagement im Krankenhaus“, in dem es auch um IT-Sicherheit und Datenschutz geht. Außerdem lohnt der Blick in die internationale Norm IEC 80001-1:2010 „Application of risk management for IT-networks incorporating medical devices“ mit ihren Regeln. Die werden bei der Verabschiedung der neuen Rechtsverordnung hoffentlich berücksichtigt respektive harmonisiert.
Wechselwirkungen berücksichtigen
Allerdings ist der reibungslose Ablauf im Krankenhaus nicht nur vor den eigenen Komponenten abhängig, wie z.B. von der Verfügbarkeit und Integrität von Patientendaten oder von den vernetzten und den netzunabhängigen Medizinprodukten. Ein Krankenhaus ist auch von der zuverlässigen Verfügbarkeit anderer Infrastruktursysteme abhängig, auf die es gerade in einer Extremsituation nicht verzichten kann. Hier sind Telekommunikation, Wasser, Strom, Rettungsdienste, Medikamentenversorgung und externe Laborleistungen zu nennen.
In jedem Falle stellen die externen Schnittstellen in der KRITIS-Betrachtung für den Zertifizierungsprozess im Krankenhaus einen erheblichen Aufwand dar. Da dürfte die Bereitstellung einer 7/24h-Kontaktstelle für das BSI wohl noch die kleinste Herausforderung sein.
Entlastung können hier externe Dienstleister schaffen, die einen Single Point of Contact für das BSI offerieren und diese Dienstleistung für mehrere Krankenhäuser anbieten. Das böte auch die Möglichkeit, bei Vorfällen, die anonym gemeldet werden dürfen, wirklich anonym zu bleiben. Noch kenne ich kein solches Unternehmen, aber es wird sie mit Sicherheit bald geben.
Analyse schon jetzt starten
Meine Empfehlung an die Krankenhäuser ist, die Rechtsverordnung für Gesundheit nicht abzuwarten, sondern bereits jetzt eine erste Analyse zu starten, um den KRITIS-Bereich im Haus zu identifizieren. Das vermittelt Klarheit über den Aufwand und das notwendige Budget für eine Zertifizierung und ermöglicht, dies frühzeitig einzuplanen bzw. einzufordern. Denn noch ist die Finanzierung der zusätzlichen IT-Sicherheit laut Aussage der deutschen Krankenhausgesellschaft in keiner Weise diskutiert.
Ein Blick auf die bestehenden Bußgeldvorschriften gemäß §14 BSI-Gesetz zeigt, dass frühzeitige Planung sinnvoll ist: Bußgelder von 50.000 € bis 100.000 € sind für jedes Krankenhaus schmerzhaft.
Zudem: Selbst wenn alle Fragen geklärt sind, ist der Aufwand für eine Zertifizierung nicht zu unterschätzen.
Ihr Roland von Gehlen