KRITIS – Wege, Erfahrungen und Best Practices

Bundesverband KH-IT Sonderseiten

Veröffentlicht 19.04.2020 21:20

Aus Gesprächen mit anderen Einrichtungen muss man feststellen, dass jeder Betreiber einer kritischen
Infrastruktur im Krankenhausumfeld zum Thema KRITIS aus dem Audit zur Nachweiserbringung einen
anderen Weg geht. Jeder Betreiber hat trotz gleicher Aufgaben- und Problemstellungen einen anderen
Fokus und eine andere Zielsetzung, so dass jeder dieser Betreiber gerade für sich das Rad neu erfindet.
Das sieht man auch an den aktuellen Diskussionen bei den Betreibern kritischer Infrastruktur im
Krankenhausumfeld zu den verschiedenen Prüfgrundlagen. Die einen hatten beispielsweise zur
Nachweiserbringung den Branchenstandard B3S als Prüfgrundlage und wollen zukünftig die ISO/IEC
27001 dafür als Grundlage nutzen und umgekehrt. Die Begründungen für den Wechsel der Prüfgrundlage
sind oft nicht schlüssig und valide, kosten nur knappe Ressourcen und viel Zeit. Aufgrund der
unterschiedlichen Prüfgrundlagen zur Nachweiserbringung sind auch die Ergebnisse zu ein und
demselben Thema aus den Nachweiserbringungen komplett verschieden. Vergleichbarkeit zur
Einhaltung „Stand der Technik“ so nicht möglich.

Mitarbeiter-Awareness zur Informationssicherheit


Egal ob in Krankenhäusern oder anderen Branchen, die meisten erfolgreichen Zwischenfälle hatten überwiegend die Schwachstelle Mensch als Ursache. An erster Stelle muss in jedem Krankenhaus und Unternehmen die regelmäßige Mitarbeiter-Awareness zur Informationssicherheit stehen. Sämtliche bisher vorhandene Schwachstellen stehen mit dem menschlichen Handeln in Verbindung. Sei es, dass zum Beispiel die menschliche Neugierde ausgenutzt wird oder die menschliche Bequemlichkeit eine Ursache für technische- und organisatorische „Schlupflöcher“ ist.
Auch ist in den Krankenhäusern aktuell zu erkennen, dass die Informationssicherheit noch kein fester Bestandteil der Krankenhauswelt ist. Bis dato liegt in vielen Krankenhäusern, die zur kritischen Infrastruktur gehören, der Fokus zur Informationssicherheit primär auf die Nachweiserbringungen. Die Aktivitäten zur Informationssicherheit im Krankenhaus haben bisher wenige Verknüpfungen zum täglichen Krankenhausbetrieb, sondern werden rein an die bevorstehende Nachweiserbringung oder an bevorstehende Audits geknüpft.

Was ist vor allem von den Krankenhäusern zu tun?


Informationssicherheit muss in den Krankenhäusern zukünftig zur unbewussten Kompetenz der Krankenhäuser dazugehören und das wird nur durch regelmäßige Awareness-Maßnahmen
der Mitarbeiter im Unternehmen erreicht. Informationssicherheit muss in allen Krankenhausprozessen automatisch mit Berücksichtigung finden. Aufgrund der Überschneidungen zu den Themen: Datenschutz, Qualitätsmanagement/ Patientensicherheit, usw. mit der Informationssicherheit, sollten alle diese Bereiche im Krankenhaus eng verknüpft miteinander zusammenarbeiten und die Synergien gemeinsam nutzen, weil sonst die Gefahr besteht, dass thematisch gleiche Parallelstrukturen entstehen, die wiederrum kostbare Ressourcen im Krankenhaus binden

Autor: Jens Schulze, KH-IT-Vorstand schulze@kh-it.de