Nachbericht 13. KRITISche Stammtisch

KRITIS

Veröffentlicht 11.10.2021 14:00, Kim Wehrs

Er bringt Informationssicherheitsbeauftragte (ISB), Krankenhaus-IT-Leiter, Vertreter von Verbänden und Behörden sowie der Industrie zusammen: der KRITISche Stammtisch. Zurück geht er auf eine gemeinsame Initiative des Universitätsklinikums Carl Gustav Carus der TU Dresden und der SHD System-Haus-Dresden GmbH im Jahr 2017. 

Zur 13. Ausgabe begrüßten Konrad Christoph, KRITIS-Experte und Mike Zimmermann, IT-Sicherheitsbeauftragter des Dresdener Universitätsklinikums, im September rund 35 Teilnehmer online. Auf der Agenda standen die Reifegradmessung im Kontext des Krankenhauszukunftsgesetzes (KHZG), die Umsetzung von IT-Sicherheit in Krankenhäusern nach § 75c SGB V, Security Monitoring in IT von Stromversorgern sowie KIM und sichere Kommunikation im Kontext der Telematikinfrastruktur.

Messung des digitalen Reifegrades

Thorsten Schütz berichtete über die Reifegradmessung laut §14b KHZG. Neben der Bereitstellung eines hilfreichen Werkzeuges zur Selbsteinschätzung für die Krankenhäuser ist eine weitere Motivation für die Politik , einschätzen zu können, ob die Fördergelder erfolgreich umgesetzt werden, so der Leiter IT und Betriebsorganisation am Klinikum Itzehoe und Stellvertretender Vorsitzender des Bundesverbandes der Krankenhaus IT-Leiterinnen/Leiter. Messungen 2021 und 2023 sollen Einblick geben, ob das KHZG tatsächlich die erwarteten Verbesserungen gebracht hat. Verpflichtend sind die Messungen für alle Häuser mit Bedarfsmeldung, für die anderen ist dieses freiwillig. Eigentlich hatte die erste Reifegradmessung im Juni starten sollen; nach verspäteter Projektvergabe ist mit Beginn im Oktober zu rechnen. „DigitalRadar“ heißt das Modell, das das GewinnerKonsortium unter Leitung der HIMSS ausformuliert. Im Expertenbeirat des HIMSS-Konsortiums mit Krankenhäusern unterschiedlichster Größe und Trägerschaft sowie Kostenträgern ist auch der Bundesverband KH-IT vertreten. Das Reifegradmodell soll eine standardisierte und umfassende Bewertung des Digitalisierungsgrads von Krankenhäusern ermöglichen; hierzu dient die Selbsteinschätzung der Krankenhäuser auf Basis des in Pilothäusern getesteten Kriterienkatalogs. Der Aufwand der Beantwortung der rund 230 Fragen (Stand 3.8.) wird wohl die ursprünglich veranschlagten 2,5 Stunden deutlich überschreiten, betonte Schütz. Einbezogen werden sollen neben der IT auch Berufsgruppen wie Ärzte, Pflegepersonal und Controller – um festzustellen, wie wirksam IT die Prozesse unterstützt. Jedes Haus hat einen Verantwortlichen zu benennen.

Umsetzung von IT-Sicherheit in Krankenhäusern nach § 75c

SGB V Mario Beck, Referent Dezernat III – IT, Datenaustausch und eHealth, Deutsche Krankenhausgesellschaft, erläuterte den Stammtischteilnehmern die Anforderungen des Paragraphen 75c SGB V. Danach sind Krankenhäuser ab dem 1. Januar 2022 verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Informationssicherheit zu treffen. Ziel des Gesetzgebers sei die Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie die weiteren Sicherheitsziele informationstechnischer Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Auch sei im Paragraphen 75c SGB V festgelegt, dass Organisatorische und technische Vorkehrungen „angemessen“ dann sind, wenn der erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses bzw. der Sicherheit der verarbeiteten Patienteninformationen stehe, so Beck. Diese Vorkehrungen seien anschließend spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen. Erfüllen könnten die Krankenhäuser diese Verpflichtungen insbesondere, indem sie den branchenspezifischen Sicherheitsstandard B3S in der jeweils gültigen Fassung anwenden.

Allerdings stünden nicht allen Krankenhäusern die benötigten Ressourcen zur Verfügung, um den B3S von Anfang an vollumfänglich zu erfüllen bzw. wird Unterstützung in der konzeptionellen Ausgestaltung der Anforderungen des B3S benötigt. Um es allen Krankenhäusern zu ermöglichen, die gesetzlichen Anforderungen zu erfüllen, verfolgt die DKG das Ziel, die im B3S formulierten Anforderungen für , Krankenhäuser in geeignete Umsetzungshinweise, Leitfäden und Vorlagen zu übersetzen, die adressatengerecht die für die Umsetzung notwendigen Themen aufgreifen sollen. Hierbei sollen auch bestehende, bereits in der praktischen Anwendung befindliche Projekte, wie beispielsweise die Orientierungshilfe „IT-Sicherheit in Kliniken“ des Landesamtes für Sicherheit in der Informationstechnik Bayern berücksichigt werden, erläutert Beck.


Security Monitoring in der Stromversorgung

Der Stammtisch bot den vergleichenden Brückenschlag zur Stromversorgung , einer ebenfalls kritischen Infrastruktur. Wie erkennen Übertragungsnetzbetreiber Angriffe? Für das Sicherheitsmonitoring in Information Technology (IT) und Operation Technology (OT) gibt es keine Lösungen „out of the box“, betonte Felix Schiller, IT-Sec Management des Betreibers 50 Hertz Transmission. Die Bedrohung ist enorm – das zeigen Attacken auf das ukrainische und US Stromnetz. Analysen identifizierten auch Aktivitäten von „APT“ (Gruppen „kompetenter“ Hacker) in Deutschland. Der Ansatz von 50 Hertz Transmission beinhaltet einen vielschichtigen Monitoring-Setup: mit „Corporate Network“ (IT), „Control System Network“ (IT/ OT), und „Remote Systems“ (OT). An einem Punkt werden alle detektierten Informationen zusammengeführt. Bei Identifizieren der schwer zu findenden APT dienen Ursprungsländer der „Anfragen“ potenzieller Angreifer ebenso als Erkennungshilfe wie Anomalien im Nutzerverhalten. So sieht laut Schiller der Weg zum Erfolg aus: Ereignisdaten (Zugriffe, Firewall logs, remote Sessions) verfeinern, Daten (Missbrauch, Inkonsistenzen) analysieren, Infrastruktur auf Basis der Analysen härten.


„KIM verbindet“

Wie sichere Kommunikation die Telematikinfrastruktur belebt, präsentierte Rene Schubert. Er ist Geschäftsführer der Deutschen Krankenhaus TrustCenter und Informationsverarbeitung GmbH (DKTIG). Mit zunehmender Digitalisierung erfordert die Daten- und Informationssicherheit im Gesundheitsumfeld besondere Aufmerksamkeit, sagte Schubert. In seinem Fokus stand die Kommunikation der Beteiligten innerhalb und außerhalb der sicheren Telematikinfrastruktur. Vor dem Hintergrund der hohen Anforderungen bietet sich „Kommunikation im Medizinwesen“ (KIM), Herzstück der Telematikinfrastruktur, als sicheres Übermittlungsverfahren nach § 311 Abs. 6 SGB V an. Höchste Sicherheitsstandards werden dank des Zulassungsverfahrens der gematik und des Bundesamtes für Sicherheit in der Informationstechnik gewährleistet – etwa durch Absender- und Empfängerauthentizität, Manipulationsprüfung und Verschlüsselung. Zugelassene KIM-Anbieter sind im Fachportal der gematik gelistet. KIM, fasste Schubert zusammen, sorgt für sichere und medienbruchfreie Kommunikation und wird die Vernetzung und Kommunikation zwischen den Beteiligten beschleunigen. Mit der Ausbaustufe 2 werden dann die Mehrwerte erlebbar.


Die Diskussion

Eine wertvolle Komponente des Stammtischs ist die Diskussion. Auch dieses Mal fand ein engagierter Austausch von Informationen und Meinungen statt, an dem sich unter vielen anderen das Bundesamt für Sicherheit in der Informationstechnik beteiligte, vertreten durch René Salamon, Sektorverantwortlicher, Bereich Gesundheit. Zur Sprache kamen Herausforderungen wie Personalfindung zum Meistern der anspruchsvollen Aufgaben und das zunehmende Risiko von Haftungsthemen für IT-Abteilungen.

Der KRITISche Stammtisch hat nun eine einige Website: www.kritischer-stammtisch.de. Sie wird weitergeleitet an die SHD-Seite. Jedes Mitglied kann sich registrieren. Jetzt muss die Seite mit Leben gefüllt werden – so die Sprecher von SHD


Von Michael Reiter


Lesen Sie mehr zum Thema "Veranstaltungen"

Lesen Sie hier die neuesten Beiträge

Dedalus übernimmt Dobco Medical Systems
Aus dem Markt
Übernahme