Umsetzung des IT-Sicherheitsgesetzes in Kliniken

Zustand kritisch

Konrad Buck

Nach den Energieversorgern härtet derzeit das Gesundheitswesen seine IuK-Infrastrukturen gemäß KRITIS-Anforderungen. Die dabei anfallenden Erkenntnisse über IT-Sicherheit sind nicht nur für die unmittelbar betroffenen Krankenhäuser von hohem Interesse.

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz oder IT-SiG) ist seit Juli 2015 in Kraft. Informationstechnische Systeme, die für die Funktionsfähigkeit kritischer Infrastrukturen (KRITIS) maßgeblich sind, müssen ihm zufolge Mindestsicherheitsstandards erfüllen und die Betreiber haben erhebliche IT-Vorfälle ans Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

In der Praxis erweist sich das IT-SiG häufig als Kuckucksei. Auch im Gesundheitswesen stellt der Schutz kritischer Infrastrukturen die Betreiber vor kaum lösbare Aufgaben. So hat der Gesetzgeber erst Mitte 2017 die Mindestgröße für Kliniken definiert (30 000 stationäre Fälle pro Jahr). Daher müssen derzeit nur 120 von 1900 Kliniken die Anforderungen umsetzen. Sie müssen den Vollzug der KRITIS-Vorgaben bis Ende Juli 2019 nachweisen. Allesamt durchlaufen derzeit einen gigantischen Lernprozess.

In Dresden kommen regelmäßig betroffene Spezialisten wie IT-Sicherheitsbeauftragte (ISB) lokaler KRITIS-Kliniken, Landeskriminalamt- respektive ZAC-Mitarbeiter (Zentrale Ansprechstelle Cybercrime) und andere IT-Experten regelmäßig zum Informations- und Erfahrungsaustausch zusammen. Die Veranstalter haben es sich zur Aufgabe gemacht, die Erfahrungen, Herausforderungen und vor allem die erarbeiteten Lösungswege mit Interessierten zu teilen.

So ging es auf dem dritten „KRITISchen Stammtisch“ im Frühjahr 2018 darum, welchen besonderen Anforderungen die IT im Gesundheitswesen unterliegt, wo die ISB bei der Umsetzung des IT-Sicherheitsgesetzes derzeit stehen und wie der Job des ISB im Gesundheitswesen im Gegensatz zu dem im Automobil-, Finanz- oder Energiesektor überhaupt definiert sein muss.

Nach den Worten von Mike Zimmermann, ISB der Uniklinik Carl Gustav Carus, Dresden, ist die Situation eines Krankenhaus-ISB alles andere als rosig: Die Ressourcen sind knapp für eine fachgerechte Bearbeitung der Anforderungen. In den Kliniken waren die Budgetplanungen für die nun geltende Frist Mitte 2017 bereits abgeschlossen. Und selbst wenn sie die Umstellung hätten angehen wollen, wäre ihnen das Budget nicht zugeteilt worden, weil die meist öffentlichen Träger ihrerseits bereits ausgeplant waren.

Kaum Ressourcen für KRITIS

Um in dieser Situation wenigstens das Beschaffen zusätzlicher Mittel zu versuchen, könnten die Häuser prüfen, ob es spezielle Fördertöpfe in den eigenen Bundesländern gibt und wie man diese nutzen kann. Oder man bedient sich passender Tools, sagt Konrad Christoph, Teamleiter Gesundheitswesen bei der SHD Dresden: „Wir haben für die gesamte Thematik ein ISMS-Tool am Start. Es bietet, wie in der ISO 27001 gefordert, einen dynamischen Prozessansatz. Daneben hat es nützliche Features wie Abbildung der Sicherheitsorganisation, voreingestellte Risikomanagement-Methoden, einfache Audit-Verfolgung, Prozess-Modulation oder voreingestellte ISO-Controls. Nicht zuletzt ersetzt es dezentrale Excel-Listen.“ In einem Online-Workshop am 22. August 2018 können Interessenten einen ersten Blick auf dieses ISMS (Information Security Management System) werfen (siehe ix.de/ix1808070).

Matthias Lohmann zufolge, Geschäftsführer und Auditor bei der Jester Secure IT GmbH aus Bergisch Gladbach, steht die Uhr bezüglich Gesetzeslage und Umsetzungsdruck auf fünf vor zwölf, in Sachen Umsetzung aber grade mal auf drei Uhr. Seiner Ansicht nach ist von den zwölf KRITIS-Sektoren erst die Gruppe der Energieversorger weitgehend am Ziel. Zu ihnen hatte Lohmann eine ganze Reihe von Handlungsempfehlungen zusammengetragen, fußend auf seinen Erfahrungen aus diversen Audits und Beraterprojekten.

So sei der Sicherheitsstandard „B3S“ (Branchenspezifischer Sicherheitsstandard) derzeit in Arbeit und werde bei Eignung vom BSI anerkannt. Das BSI-Gesetz sieht vor, dass Betreiber kritischer Infrastrukturen die Informationssicherheit nach „Stand der Technik“ umsetzen. Dazu könnten Betreiber oder ihre Fachverbände besagte B3S erarbeiten. Eine gesetzliche Pflicht dazu besteht nicht. Dessen Erstellung biete für die Branchen jedoch die Chance, selbst Vorgaben zum „Stand der Technik“ zu formulieren.

Expertenrat: Starten statt warten!

Das Ausarbeiten des B3S für den Sektor Health Care geschieht Konrad Christoph zufolge im Branchenarbeitskreis (BAK). Für den Bereich Krankenhäuser ist er in Arbeit, aber noch nicht fertig. Trotzdem sollte, so Lohmann, jetzt schon mit KRITIS-Projekten begonnen werden. Seine Empfehlung: „Auch wenn noch kein Branchenstandard definiert ist – fangen Sie jetzt an! Viele Indizien weisen darauf hin, dass sich Krankenhäuser an der ISO-27001-Norm orientieren sollen.“