Foto: Lahn-Dill-Kliniken, Standort Wetzlar
Krankenhäuser zählen aufgrund ihrer herausragenden Bedeutung für das Wohlergehen und den Schutz der Bevölkerung zu den Kritischen Infrastrukturen unserer Gesellschaft. Sie haben daher eine besondere Verpflichtung, die Verfügbarkeit ihrer Dienste und der Prozesse, mit denen diese erbracht werden, sicherzustellen.
Die Vernetzung der Office-IT und der Medizintechnik (übergreifende Patientendaten), mobile Arbeitsplätze, Digitalisierung und der Mangel an Fachpersonal sind eine besondere Herausforderung für die Krankenhaus-IT. Damit einher entstehen neue Verwundbarkeiten und Risiken. Damit es aufgrund eines IT-Ausfalls nicht etwa zu Reputationsschäden der Einrichtung,finanziellen Verlusten oder gar im schlimmsten Fall zu einer Gefährdung von Leib und Leben der Patienten kommt, sind die Herausforderungen durch die IT-Nutzung in das übergreifende Risikomanagement zu integrieren.
Bisher konnte das Management der Krankenhaus-IT jeder für sich allein nur auf einen Leitfaden „Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT“ zurückgreifen und methodisch (RiKrIT) im Sinne der Kritikalität (Verfügbarkeit, Integrität,Authentizität und Vertraulichkeit der Daten) technische und/oder organisatorische Maßnahmen entwickeln.
Im Oktober 2019 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus anerkannt. Das B3S Papier dient der Etablierung eines angemessenen Sicherheitsniveaus i. S.v. § 8a (1) BSIG bei gleichzeitiger Wahrung des üblichen Versorgungsniveaus der Patientenversorgung und der Verhältnismäßigkeit der umzusetzenden Maßnahmen nach heutigem Stand der Technik.
In das B3S Papier sind viele bestehende Standards (ITIL, ISO 27001, BSI IT-Grundschutz, …) und Anforderungen aus der Regulatorik (BSIG, DSGVO, BDSG, …) eingeflossen und damit ein klares Muss für Krankenhäuser, die heute schon unter KRITIS fallen. Für die Krankenhäuser aber, die noch nicht KRITIS sind, ist das Papier ein hervorragender Leitfaden für die Umsetzung eines Minimums an IT-Sicherheit.
Um nicht die nächsten Jahre die Zeit mit reiner Konzeptarbeit zu vergeuden, empfehlen wir:
- Die Einführung eines ISMS, welches die Anforderungen des B3S-Standards umsetzt
- die Protokollierung (B3S, Kapitel 7.3.15) zuerst zu starten (als Basis für die Umsetzung vieler technischer und organisatorischer Maßnahmen bei der Einführung eines ISM – System in der Krankenhaus IT)
- Die Erstellung eines Protokollierungs- und Auswertungskonzeptes (RiKrIT) mit Definition eines Rollenkonzeptes,N-Augen-Prinzip für die Depseudonymisierung, Art und Umfang der Protokollierung. Zielpersonen des Konzeptes sind Auditoren, Revisoren und Datenschützer
- Zur Erfüllung der Vorgaben aus der DSGVO wurde der Appliance-Gedanke umgesetzt und mit dokumentierten TOMs sichergestellt, dass kein IT-Admin gewollt oder ungewollt gegen Datenschutz verstoßen kann
- Gemäß BDSG § 76 Protokollierung werden innerhalb des Log-Management-Systemes sämtliche Aktionen mit einer Zweckbindung versehen und protokolliert
- Die Standardbericht- und Alarmierungspakete dienen dem auditsicheren Nachweis der Kontrolle und sind Bestandteil der Softwarewartung (keine Folgekosten)
Das Klinikum Wetzlar ist auf KRITIS 2.0 vorbereitet
Die Lahn-Dill-Kliniken sind bereits in der Umsetzung und bereiten sich auf KRITIS 2.0 vor.
Folkert Hoim, Leiter IT der Lahn-Dill-Kliniken: „Wir waren auf der Suche nach einem Werkzeug für die Protokollierung, das einfach zu managen, nicht komplex und nicht teuer ist, um die Anforderungen zu erfüllen, die an kritische Infrastrukturen gestellt werden.“
Thilo Berger, stellvertretender IT-Leiter und Bereichsleiter Netzwerk- und Systembetrieb: „Gemeinsam mit der NETZWERK Software GmbH haben wir die Log-Management-Lösung ProLog umgesetzt.Dank dem Einsatz von bestehenden Standards konnte in kürzester Zeit das Protokollierungskonzept erstellt, die technische Integration der ProLog-Appliance und die Anbindung der vielen unterschiedlichen Quellen umgesetzt werden. Die umfangreichen Auswertungsmöglichkeiten haben bereits auf den ersten Blick beeindruckt.“
Michael Wiesner, externer Informationssicherheitsbeauftragter bei den Lahn-Dill-Kliniken freut sich über die schnellen Resultate: „Wir haben im Informationssicherheitsmanagement (ISMS) und aus dem B3S-Standard vielfältige Anforderungen an das Log-Management, deren Überwachung mir obliegt. Bereits kurze Zeit nach der Inbetriebnahme der Lösung konnten aussagekräftige Berichte erzeugt werden, die mir die Erfüllung meiner Aufgaben immens erleichtern.“
Die eigentlichen Treiber für den Einsatz eines zentralen Log-Management System wie ProLog sind die Erhöhung der IT-Sicherheit und der IT-Verfügbarkeit dank der vollen Transparenz über die IT-Events, die Möglichkeit der Alarmierung in Echtzeit und der forensischen Suche. Aber erst die Kombination der kompletten ProLog-Lösung aus Protokollierungskonzept, SW-Werkzeug, fertigen Berichts- und Alarmierungspakete, Umsetzung der DSGVO und BDSG Vorgaben macht die Krankenhaus-IT auditsicher im Sinne von B3S oder einer ISO27001-Zertifizierung.
Alle Details über ProLog finden Sie unter www.prosoft.de/prolog
Autor: Olaf Müller-Haberland, Co-Founder ( www.NETZWERK.de )
Folkert Hoim, Leiter IT der Lahn-Dill-Kliniken