KRITIS-Umsetzung im Klinikum Frankfurt Höchst

Veröffentlicht 26.04.2020 21:10

mit ganzheitlicher Lösungsorientierung zur erhöhten Informationssicherheit

Das Klinikum Frankfurt Höchst gehört mit mehr als 37.000 stationären Patienten in die Gruppe der „kritischen Infrastrukturen“ KRITIS. Schnell war dem Krankenhaus-
Management klar, dass mit dem KRITIS-Status zügig die vollständige Umsetzung des IT-Sicherheitsgesetzes beginnen muss. Die inhaltliche Auseinandersetzung
mit den geforderten Themen machte deutlich, dass für den Projekterfolg externe Unterstützung notwendig sein würde.

Aus dieser Situation heraus ist eine intensive Zusammenarbeit mit dem Darmstädter IT-Beratungsunternehmen Adiccon GmbH entstanden, mit dessen praxisorientierter Unterstützung
das Klinikum die KRITIS-Prüfung zum 30.06.2019 erfolgreich absolvierte.


Ganzheitlicher Ansatz


Die Erfahrungen für alle Projektbeteiligten des Klinikums sind vielfältig. Dr. Thomas Seehaus, Abteilungsleiter EDV/Medizininformatik erinnert sich: „Am Anfang des KRITIS-Projektes
war es für viele in unserem Haus schwer nachzuvollziehen, dass es sich um  eine unternehmensweite Aufgabenstellung handeln muss. “

Man traf die Entscheidung, sich am von der DKG getragenen und im Entwurf vorliegenden branchenspezifischen Standard (B3S) zu orientieren. Die Projektarbeit zeigte, dass eine
Reihe von Themen bekannt war, nun aber Maßnahmen zur Lösung präzise umgesetzt werden mussten. Dazu gehörten u.a. Zuständigkeiten festlegen, Erstellen der Informationssicherheitsleitlinie
und des Risikomanagement-Konzepts – zusammen mit der Definition der kritischen Prozesse im Klinikum.


Risikobetrachtung als Herausforderung


Weitgehend neu waren die Themen rund um das Risikomanagement von IT-Lösungen und –Infrastrukturen. „Die Menge von gelisteten Risikoobjekten war schon beachtlich. Die Beurteilung und Einschätzung durch die Verantwortlichen gestaltete sich schwierig. Alle mussten sich erst einmal mit der gedanklichen Logik zu Recht finden“, so Thomas Seehaus. Sukzessive wurde der strukturelle Rahmen eingeführt – das Information Security Management System (ISMS) nahm Formen an. Um die gesetzlichen Anforderungen fristgerecht umzusetzen, bestand ein wichtiger Erfolgsfaktor darin, die Funktion des Informationssicherheitsbeauftragten extern mit einem Fachmann der Adiccon zu besetzen. Als zentraler Ansprechpartner begleitet der ISB auch nach der Prüfung im Juni 2019 die weiteren
Umsetzungsmaßnahmen, die das gesamte Sicherheitsniveau des Klinikums im Hinblick auf die Informationssicherheit kontinuierlich erhöhen. In Zeiten immer perfider werdender Cyber-Attacken geht es konkret um die organisationsweite Optimierung der Sicherheit. Dr. Seehaus stellt fest: „Ein konkreter Erfolg des KRITIS-Projektes ist die strukturierte und stetige Verbesserung unseres Sicherheitsstandards gemeinsam mit dem ISB. Dazu gehörte für uns ganz klar das Aufrüsten unserer Sicherheitsmechanismen sowie die Schulung unserer Mitarbeiter gegenüber aktuellen Cyber-Attacken.“


Digitalisierung und Informationssicherheit


Zudem erfordert die umfassende Digitalisierung der Prozesse, sich intensiv mit Themen wie dem IT-Notfallmanagement auseinanderzusetzen. Durch eine intensive Begutachtung der
Risikoobjekte und einer aktiven Risikobewertung gewinnen die entsprechenden Organisationseinheiten und das Krankenhausmanagement dazu einen guten Überblick, der in dieser Feinheit vorher nicht vorhanden war. Das Risikomanagement wird damit kontrollierbar und kann jederzeit nachvollzogen werden. Mehr noch: Es kann mehr und mehr dazu übergegangen werden, präventive Schutzmaßnahmen und -vorkehrungen zu treffen, wie beispielsweise bedarfsgerechte Awareness- Maßnahmen für die Mitarbeiter mit zeitgemäßen Technologien anhand von E-Learning Kursen.

Transparenz durch Tool-Einsatz


Im Laufe der Risikobetrachtung wurde deutlich, dass das erfasste Datenvolumen stetig steigt. Eine übersichtliche, dem Management-Blick gerecht werdende Darstellung der Ergebnisse ist mit herkömmlichen Mitteln kaum oder gar nicht zu erreichen. Dr. Seehaus kommentiert: „Es ist erstaunlich, wie viele Daten generiert und wie viele Risikoobjekte erfasst werden, die dann auch beurteilt werden müssen – und das unter Berücksichtigung des B3S. Da waren wir sehr froh, dass unser Beratungspartner mit seiner Kombination aus Krankenhaus-Know-how und Informations-Sicherheits-Expertise uns
obendrein noch ein eigenentwickeltes Risikomanagement- Tool anbieten konnte. Mit AdiRisk haben wir begonnen, unser IT-Risikomanagement strukturiert und mit hoher Transparenz abzubilden.“

KRITIS bedeutet Innovation


Ein weiterer wichtiger Aspekt resultiert als Erfahrung und als Erfolg aus dem KRITIS-Projekt: Die genaue Begutachtung aller eingesetzten Lösungen führt automatisch zu einer umfassenden Bestandsaufnahme. Damit entstehen auch Ideen, wie moderne Technologien für den Einsatz im klinischen Bereich sinnvoll sind, beispielsweise für ein mobiles Arbeiten. Informationssicherheit löst deshalb nicht nur Restriktionen aus, sondern schafft auch Impulse für innovative Maßnahmen, z.B. die interne Kommunikation für Mediziner zu verbessern.