Finanzierungshilfe für mehr IT-Sicherheit durch das Krankenhauszukunftsgesetz

Sicherheit

Veröffentlicht 04.02.2022 08:20, Dagmar Finlayson

Im Rahmen des Krankenhauszukunftsgesetzes (KHZG) stellt der Bund ab sofort drei Milliarden Euro für einen begrenzten Zeitraum zur Verfügung, um die Digitalisierung von Krankenhäusern voranzutreiben. Nicht erst seit der aktuellen Pandemie ist klar ersichtlich, dass Deutsche Krankenhäuser digitaler werden müssen. Zu den elf Fördertatbeständen, in die Kliniken investieren können, zählen unter anderem Bereiche wie Modernisierung der Notaufnahme, Patientenportal, Cloud-Computing oder IT- und Cybersicherheit. An die Förderung ist jedoch die Pflicht zur Einführung eines standardisierten Informationssicherheits-Managementsystems gekoppelt, das sämtliche Daten aller kritischen Systeme und Prozesse der stationären Versorgung umfasst. Ein solches System in Übereinstimmung mit den branchenspezifischen Sicherheitsstandards zu implementieren, stellt viele Kliniken vor große Aufgaben. Wie sich ein derartiges Projekt möglichst agil und zeitsparend auf den Weg bringen lässt, zeigt der nachfolgend zusammengestellte Leitfaden.

Kernaufgabe des Informationssicherheits-Managementsystems (ISMS) ist es, kontinuierlich alle sicherheitsrelevanten Prozesse und Systeme in Krankenhäusern und Kliniken zu überwachen und zu verbessern. Dabei wird eine Gliederung der Kernprozesse nach dem für Krankenhäuser und Kliniken geltenden Sicherheitsstandard (B3S) in Bereiche vorgenommen: Vorbereitung und Aufnahme, Diagnostik, Therapie, Unterbringung und Pflege sowie Entlassung. All diesen Kernprozessen liegen Unterstützungsprozesse zugrunde, die ihrerseits in IT-Systemen abgebildet sind und in das ISMS mit einfließen.

Von der Aufnahme bis zur Entlassung – vielfältige sensible Daten und Informationen

Charakteristisch für den Bereich Aufnahme sind beispielsweise die Erfassung von Daten mitgebrachter Befunde oder der Anamnese-Dokumentation. In der Diagnostik kommen Informationen aus Systemen der verschiedenen Fachabteilungen hinzu. Das können Laborwerte oder andere sensible Daten aus bildgebenden Verfahren wie einem MRT sein. In der Therapie und Pflege werden Dokumentationen zu medikamentösen Therapien sowie Steuerungsdaten der Therapiegeräte erfasst. Und bei der Entlassung fallen letztendlich auch Informationen für Anschlussverordnungen und den Entlassungsbrief an. Eine Vielzahl von Daten und Informationen, über die es die Kontrolle zu behalten gilt.

Förderungskonforme IT-Sicherheit mit agilem Projektmanagement zeitnah realisieren

Mit der Projektmanagement-Methode Scrum ist es möglich, in agiler Vorgehensweise ein nach B3S förderungskonformes ISMS bereits in einem Zeitrahmen von unter einem Jahr zu implementieren. Zwei Vorteile lassen sich bei diesem Ansatz hervorheben: Erstens können die Krankenhausmitarbeiter den Projektfortschritt regelmäßig überprüfen. Sie erhalten Einblick und Mitspracherechte. Zum zweiten erlaubt Scrum in einem bereits laufenden Projekt flexibel auf sich verändernde Rahmenbedingungen einzugehen und ursprünglich geplante Priorisierungen einzelner Komponenten dynamisch anzupassen. Die Teilsegmente der Umsetzungsempfehlung nach B3S werden im Projekt in sogenannten „Streams“ erfasst. Diese Arbeitsströme laufen zum Teil zeitlich parallel und hängen logisch zusammen. Sie verfolgen das Ziel, in diesem Fall nach Scrum-Methode, das jeweils vom B3S vorgegebene Ergebnis, zu erarbeiten. Für Maßnahmen, die über die alleinige Realisierung hinausgehen, wie etwa das Erstellen von Schulungsmaterialien oder die Auswahl eines unterstützenden Software-Systems lassen sich zusätzliche Streams einplanen.

Festlegung von Zielen des ISMS und des Geltungsbereichs

Im ersten Arbeitsschritt bzw. Stream geht es um die Erarbeitung einer Leitlinie für die Informationssicherheitspolitik im Krankenhaus sowie die Ermittlung relevanter Compliance-Anforderungen. Das bedeutet zunächst den Geltungsbereich des ISMS zu definieren und die strategischen Ziele der Informationssicherheit festzulegen.

Definition der Managementstruktur des ISMS

Als nächstes geht es um die Entwicklung und Implementierung von B3S-konformen Standards für die Sicherheitsorganisation, den dazugehörigen Verantwortlichkeiten, das Vorgehen bei der Informationssicherheits-Risikobeurteilung und der Meldung sowie Behandlung von Sicherheitsvorfällen. Um einen sicheren IT-Betrieb zu gewährleisten, werden dafür in Frage kommende Vorbeuge- und Korrekturmaßnahmen geprüft.

Realisierung grundsätzlicher Maßnahmen

Auf der Basis der Arbeitsergebnisse aus dem zweiten Stream werden im Anschluss verbindliche Verfahrensvorschriften zur Klassifizierung und Verwaltung von Informationen erstellt. Die Bereiche Steuerung von Lieferantenbeziehungen, Handhabung von Informationssicherheitsvorfällen und die Lenkung dokumentierter Informationen fließen ebenfalls mit ein.

Ist-Aufnahme, Risikoeinschätzung und Konzeption

Zu den Zielen des vierten Streams gehören vor allem, die aktuell umgesetzten Maßnahmen zur Informationssicherheit mittels GAP- oder Reifegradanalyse zu bewerten, Schwachstellen und Bedrohungen aufzudecken und die Eigentümer „Owner“ der jeweiligen Risiken zu identifizieren. Auch geht es um die Einschätzung möglicher Eintrittswahrscheinlichkeiten und Auswirkungen von Sicherheitspannen. Darüber hinaus gilt es zu entscheiden, was in den Bereich nicht akzeptabler Risiken fällt. Für jedes dieser Risiken ist eine Risikobehandlung festzulegen, Maßnahmen auszuwählen und das Restrisiko abzuschätzen. Für ausgewählte Maßnahmen und Sicherheitsprozesse werden außerdem spezifische Ziele definiert.

Die Umsetzung des detaillierten Plans zur Risikobehandlung

Unter Berücksichtigung der zuvor definierten Richtlinien, Prozesse und Verfahren erfasst dieser Punkt die komplette Umsetzung aller Maßnahmen zur Risikobehandlung in den Bereichen
•    Verantwortlichkeiten und Organisation der Informationssicherheit 
•    Personelle Sicherheit
•    Management von Informationswerten (Strukturanalyse)
•    Kryptografie
•    Zugangskontrolle
•    Physische- und Umgebungssicherheit
•    Betriebssicherheit
•    Kommunikationssicherheit
•    Systembeschaffung, Entwicklung und Wartung
•    Beziehungen zu Lieferanten
•    Sicherstellung des Geschäftsbetriebs für kritische Dienstleistungen
•    Umgang mit Informationssicherheitsvorfällen

Begleitende Schulungen, Ausbildung und das Bewusstsein schärfen

Den Schwerpunkt in diesem Arbeitsstrom bilden Trainingseinheiten und Sensibilisierung von Führungskräften und Mitarbeitern. Zunächst wird dafür der konkrete Schulungsbedarf ermittelt und ein Zeitplan für Schulungsmaßnahmen aufgestellt. Bevor die ersten Trainings durchgeführt werden, gilt es noch ein Schulungskonzept und die Schulungsinhalte selbst zu erarbeiten.

Bewertung der Effektivität des ISMS

In diesem Stream werden das Monitoring und die Regeln für interne Audits erarbeitet. Damit erhält beispielsweise die Klinikleitung Instrumente, um die Effektivität des ISMS zu bewerten. Das Monitoring basiert auf der Erstellung aussagekräftiger KPIs und Richtlinien sowie der Definition korrektiver und präventiver Maßnahmen. Für die Audits gilt es ebenfalls Richtlinien, einen Auditplan und Dokumentenvorlagen zu entwickeln. Des Weiteren müssen die Auditoren ausgewählt und trainiert werden. Nach dem Audit empfiehlt sich darüber hinaus auch eine Dokumentation dessen sowie einen Bericht über mögliche verbesserungswürdige und präventive Maßnahmen anzufertigen.
Stream 8: Kriterien und Auswahl für ein Software-Tool
Dieser optionale Stream dient der dokumentierten Sammlung strukturierter Anforderungen für eine Umsetzung des ISMS mit Hilfe einer Software-Lösung. In diesem Arbeitsschritt werden außerdem ein Leistungsverzeichnis für die Ausschreibung der benötigten Software-Tools sowie eine Bieterbewertungsmatrix entwickelt.

Ergebnis: In weniger als einem Jahr Implementierung eines B3S-konformen ISMS

Setzt ein Krankenhaus oder eine Klinik auf agiles Projektmanagement, lässt sich ein standardisiertes Informationssicherheits-Managementsystem in weniger als einem Jahr einführen. Auch macht dieser Prozess den Weg dafür frei, die Anforderungen für den Erhalt der Fördergelder des Krankenhauszukunftsgesetzes zu erfüllen.





Autor: Markus Obser, geschäftsführender Gesellschafter, handz.on GmbH

Symbolbild: Pixabay


Lesen Sie mehr zum Thema "IT-Management"

Lesen Sie hier die neuesten Beiträge

Hacker-Angriffe auf mehrere Kliniken in Franken
IT-Sicherheit & Kritis
Hacker
Diese Webseite verwendet Cookies.   Mehr Info.      oder