Risikomanagement der Krankenhaus-IT im Zeichen von KRITIS

Aus der Printausgabe

Veröffentlicht 04.05.2020 10:30

Foto: Lahn-Dill-Kliniken, Standort Wetzlar

Krankenhäuser zählen aufgrund ihrer herausragenden Bedeutung für das Wohlergehen und den Schutz der Bevölkerung zu den Kritischen Infrastrukturen unserer Gesellschaft. Sie haben daher eine besondere Verpflichtung, die Verfügbarkeit ihrer Dienste und der Prozesse, mit denen diese erbracht werden, sicherzustellen.


Die Vernetzung der Office-IT und der Medizintechnik (über­greifende Patientendaten), mobile Arbeitsplätze, Digitalisierung und der Mangel an Fachpersonal sind eine besondere Her­ausforderung für die Krankenhaus-IT. Damit einher entste­hen neue Verwundbarkeiten und Risiken. Damit es aufgrund eines IT-Ausfalls nicht etwa zu Reputationsschäden der Ein­richtung,finanziellen Verlusten oder gar im schlimmsten Fall zu einer Gefährdung von Leib und Leben der Patienten kommt, sind die Herausforderungen durch die IT-Nutzung in das über­greifende Risikomanagement zu integrieren.
Bisher konnte das Management der Krankenhaus-IT jeder für sich allein nur auf einen Leitfaden „Schutz Kritischer Infra­strukturen: Risikoanalyse Krankenhaus-IT“ zurückgreifen und methodisch (RiKrIT) im Sinne der Kritikalität (Verfügbarkeit, Integrität,Authentizität und Vertraulichkeit der Daten) techni­sche und/oder organisatorische Maßnahmen entwickeln.


Im Oktober 2019 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den branchenspezifischen Sicher­heitsstandard (B3S) für die Gesundheitsversorgung im Kran­kenhaus anerkannt. Das B3S Papier dient der Etablierung eines angemessenen Sicherheitsniveaus i. S.v. § 8a (1) BSIG bei gleichzeitiger Wahrung des üblichen Versorgungsniveaus der Patientenversorgung und der Verhältnismäßigkeit der umzu­setzenden Maßnahmen nach heutigem Stand der Technik.
In das B3S Papier sind viele bestehende Standards (ITIL, ISO 27001, BSI IT-Grundschutz, …) und Anforderungen aus der Regulatorik (BSIG, DSGVO, BDSG, …) eingeflossen und damit ein klares Muss für Krankenhäuser, die heute schon unter KRITIS fallen. Für die Krankenhäuser aber, die noch nicht KRITIS sind, ist das Papier ein hervorragender Leitfaden für die Umsetzung eines Minimums an IT-Sicherheit.

Um nicht die nächsten Jahre die Zeit mit reiner Konzeptar­beit zu vergeuden, empfehlen wir:

  • Die Einführung eines ISMS, welches die Anforderungen des B3S-Standards umsetzt
  • die Protokollierung (B3S, Kapitel 7.3.15) zuerst zu starten (als Basis für die Umsetzung vieler technischer und orga­nisatorischer Maßnahmen bei der Einführung eines ISM – System in der Krankenhaus IT)
  • Die Erstellung eines Protokollierungs- und Auswertungskonzeptes (RiKrIT) mit Definition eines Rollenkonzeptes,N-Augen-Prinzip für die Depseudonymisierung, Art und Umfang der Protokollierung. Zielpersonen des Konzeptes sind Auditoren, Revisoren und Datenschützer
  • Zur Erfüllung der Vorgaben aus der DSGVO wurde der Appliance-Gedanke umgesetzt und mit dokumentierten TOMs sichergestellt, dass kein IT-Admin gewollt oder unge­wollt gegen Datenschutz verstoßen kann   
  • Gemäß BDSG § 76 Protokollierung werden innerhalb des Log-Management-Systemes sämtliche Aktionen mit einer Zweckbindung versehen und protokolliert    
  • Die Standardbericht- und Alarmierungspakete dienen dem auditsicheren Nachweis der Kontrolle und sind Bestandteil der Softwarewartung (keine Folgekosten)

Klinikum Wetzlar

Das Klinikum Wetzlar ist auf KRITIS 2.0 vorbereitet

Die Lahn-Dill-Kliniken sind bereits in der Umsetzung und bereiten sich auf KRITIS 2.0 vor.
Folkert Hoim, Leiter IT der Lahn-Dill-Kliniken: „Wir waren auf der Suche nach einem Werkzeug für die Protokollierung, das einfach zu managen, nicht komplex und nicht teuer ist, um die Anforderungen zu erfüllen, die an kritische Infrastrukturen gestellt werden.“
Thilo Berger, stellvertretender IT-Leiter und Bereichsleiter Netzwerk- und Systembetrieb: „Gemeinsam mit der NETZ­WERK Software GmbH haben wir die Log-Management-Lösung ProLog umgesetzt.Dank dem Einsatz von bestehenden Standards konnte in kürzester Zeit das Protokollierungskon­zept erstellt, die technische Integration der ProLog-Appliance und die Anbindung der vielen unterschiedlichen Quellen umgesetzt werden. Die umfangreichen Auswertungsmöglich­keiten haben bereits auf den ersten Blick beeindruckt.“
Michael Wiesner, externer Informationssicherheitsbeauf­tragter bei den Lahn-Dill-Kliniken freut sich über die schnellen Resultate: „Wir haben im Informationssicherheitsmanagement (ISMS) und aus dem B3S-Standard vielfältige Anforderungen an das Log-Management, deren Überwachung mir obliegt. Bereits kurze Zeit nach der Inbetriebnahme der Lösung konn­ten aussagekräftige Berichte erzeugt werden, die mir die Erfül­lung meiner Aufgaben immens erleichtern.“
Die eigentlichen Treiber für den Einsatz eines zentralen Log-Management System wie ProLog sind die Erhöhung der IT-Sicherheit und der IT-Verfügbarkeit dank der vollen Trans­parenz über die IT-Events, die Möglichkeit der Alarmierung in Echtzeit und der forensischen Suche. Aber erst die Kombi­nation der kompletten ProLog-Lösung aus Protokollierungs­konzept, SW-Werkzeug, fertigen Berichts- und Alarmierungs­pakete, Umsetzung der DSGVO und BDSG Vorgaben macht die Krankenhaus-IT auditsicher im Sinne von B3S oder einer ISO27001-Zertifizierung.

Alle Details über ProLog finden Sie unter www.prosoft.de/prolog
Autor: Olaf Müller-Haberland, Co-Founder ( www.NETZWERK.de )

Folkert Hoim

Folkert Hoim, Leiter IT der Lahn-Dill-Kliniken