Corona und die KRITIS-Audits - Rückblick 9. KRITIScher Stammtisch

Veröffentlicht 29.06.2020 13:40

Der KRITISche Stammtisch wird seit 2017 auf Initiative des Universitätsklinikums Carl Gustav Carus Dresden zusammen mit der SHD System-Haus-Dresden GmbH durchgeführt. Neben der Wissensvermittlung durch KRITIS-Experten steht vor allem der Erfahrungs- und Meinungsaustausch mit den Teilnehmern im Vordergrund. Die Veranstaltung hat sich als erfolgreiches Konzept weit über die mitteldeutschen Landesgrenzen hinaus etabliert und bietet Vertretern von Krankenhäusern die Möglichkeit des exklusiven Erfahrungsaustausches.

Das IT-Sicherheitsgesetz des Bundes und die KRITIS-Verordnung haben den Schutz „kritischer Infrastrukturen“ zur Aufrechterhaltung wichtiger gesellschaftlicher Funktionen im Fokus. Im Gesundheitswesen betrifft es Krankenhäuser mit über 30.000 stationären Fällen pro Jahr. Aber auch kleineren Häusern wird angeraten, sich an den Branchenstandard B3S zu halten. Aufgrund der Corona-Pandemie wurde der 9. KRITISche Stammtisch als virtuelle Veranstaltung am 14. Mai 2020 durchgeführt. Rund 40 Teilnehmer trafen sich über ein Meeting-Tool, um über das IT-Sicherheitsgesetz zu diskutieren und Erfahrungen auszutauschen.

Mehr Angriffe, aber weniger Anzeigen

Mike Zimmermann, IT-Sicherheitsbeauftragter am Universitätsklinikum Carl Gustav Carus Dresden gab Einblicke in die aktuelle Lage aus dem UP KRITIS Branchenarbeitskreis (BAK) Medizinische Versorgung. Die gegenwärtige Corona-Pandemie bedeute für die IT enorme Herausforderungen, da man in kürzester Zeit neue bzw. geänderte Anforderungen bei Themen wie zu, Beispiel Home Office, Konferenz/Kollaboration Tools, Beschaffung mobiler IT-Systeme umsetzen müsse, betonte Zimmermann. Zudem gab er zu bedenken, dass es zugleich ein Surfbrett für Angreifer sei und die IT-Sicherheit vor große Herausforderung stelle. Insgesamt gibt es zwar mehr Angriffe auf die IT, doch Eric Fischer, Zentrale Ansprechstelle Cybercrime (ZAC), Landeskriminalamt Sachsen, erklärte in seinem Vortrag, dass es
kaum mehr Anzeigen gäbe. „Das Anzeige-Verhalten ist extrem eingebrochen. Vielleicht haben die Leute momentan andere Probleme.“, gab Fischer zu bedenken. Es gebe ein sehr hohes Dunkelfeld bezüglich der Angriffe auf die IT-Sicherheit. René Salamon, Sektorbetreuer Gesundheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI), erklärte, dass die Angriffe durch eine gute Sensibilisierung der Mitarbeiter für die IT-Sicherheit gut abgewehrt werden könnten. Diese Rückmeldung habe er aus den Krankenhäusern erhalten, so Salamon. So habe die Corona-Krise dazu geführt, dass die Abteilungen mehr zusammengewachsen seien, die Regeln der IT würden besser eingehalten und diese Ruhe könne genutzt werden, um sich für die gravierenden Fälle zu wappnen.

Fristverschiebung durch Corona?

Auch wenn Corona die gegenwärtige Lage durcheinanderbringt, so müssen die Fristen zur Erfüllung der Vorgaben eingehalten werden. René Salamon, Sektorbetreuer Gesundheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI), appellierte an alle Krankenhäuser, sich rechtzeitig um eine Prüfstelle zu kümmern. Markus Holzbrecher-Morys, Deutsche Krankenhausgesellschaft e. V., Geschäftsführer Datenaustausch, IT-Sicherheit und Digitalisierung, betonte, dass die DKG sich täglich intensiv mit der Corona-Gesetzgebung beschäftige. Das Problem sei aber, so Holzbrecher-Morys, dass die verschiedenen
Gesetzes- und Verordnungsentwürfe mit äußerst kurzen Vorlauffristen auf die Krankenhäuser zukämen und teils nicht immer eindeutig seien. So träten immer wieder versteckte Abhängigkeiten auf, die „nicht auf dem Schirm waren.“ Die Menge der nun gesetzlich umzusetzenden IT-Themen, angefangen bei neuen Informationspflichten bis hin zum Aufbau neuer Corona-Behandlungszentren, würden die Informationstechnik und die dafür zuständigen Mitarbeiterinnen und Mitarbeiter in den Kliniken insgesamt vor große Herausforderungen stellen. Trotzdem dürfe die IT-Sicherheit gerade jetzt nicht aus
dem Blick geraten.
Zudem erklärte Holzbrecher-Morys, dass die DKG eine Umfrage an KRITIS-Häuser verschickt habe, um Rückmeldungen zum Audit-Verfahren aus 2019 zu erhalten, die auch bei der weiteren Überarbeitung de B3S berücksichtigt werden sollen. Eine bislang positive Rückmeldequote lasse auf aussagekräftige Ergebnisse hoffen, so Holzbrecher-Morys. Die Ergebnisse würden im Herbst diesen Jahres in anonymisierter
Form der Öffentlichkeit zugänglich gemacht. Ein transparenter Umgang mit den Themen sei auch eine Hilfe für andere Häuser.

Erfahrungsbericht Software-Plattform (aeneis)

Mike Zimmermann, IT-Sicherheitsbeauftragter des Universitätsklinikums Carl Gustav Carus, Philipp Klanert und Jens Höhnel, beide SHD, stellten in ihrem Vortrag das webbasierte Tool ISMS@aeneis mit integrierten B3S Krankenhaus/ISO27001 sowie des DSGVO@aeneis auf Basis der Software-Plattform (aeneis) vor und berichteten über ihre direkten Erfahrungen.

Handlungsempfehlung zum Einsatz Konferenz-Tools im Krankenhaus

Viele Krankenhäuser haben nicht die Ressourcen, aus dem „BSI Kompendium Videokonferenzsysteme KoViKo - Version 1.0.1“ eine für die Praxis handhabbare Handlungsanweisung zu erstellen.
Aus diesem Grunde wurde für den Teilnehmerkreis des KRITISchen Stammtisches von Mike Zimmerman und Konrad Christoph die „Handlungsempfehlung Konferenz-Tools Version 0.4“ erarbeitet. Diese soll eine erste Diskussionsgrundlage sein, die Empfehlungen aus dem BSI KoViKo in die Krankenhaus-Praxis umzusetzen. Spontan wurde im Verlaufe des virtuellen KRITISchen Stammtisches die Idee einer Arbeitsgruppe geboren, um die Handlungsempfehlung weiter zu entwickeln. Interessenten sind herzlich zur Mitarbeit eingeladen.

10. KRITIScher Stammtisch

Der Organisator, Konrad Christoph, Teamleiter Gesundheitswesen, SHD, wies zum Abschluss auf den nächsten Stammtisch hin, der für den 10. September 2020 geplant sei. Zudem feiert die SHD das 30jährige Firmenjubiläum. In welcher Form der nächste Stammtisch stattfinden wird, virtuell oder als reales Treffen, wird dann entsprechend der dann herrschenden Lage entschieden.

Aus der Printausgabe Krankenhaus-IT Journal mit IT-Sicherherheit im Krankenhaus, Juni 2020, Autorin: Dagmar Finlayson