IT-Risiko: Handlungsfeld IT-Infrastruktur im Krankenhaus

Security

Veröffentlicht 27.08.2021 09:30, Kim Wehrs

Krankenhäuser erbringen als eine der tragenden Säulen des Gesundheitswesens vielfältige medizinische und pflegerische Dienstleistungen und zählen daher zu den Kritischen Infrastrukturen unserer Gesellschaft. Der effektive Umgang mit IT-Risiken erfordert eine strukturierte Vorgehensweise, in welcher der IT-Risikoanalyse als wichtigem Werkzeug zur Identifikation der relevanten Risiken eine zentrale Rolle zukommt. Die IT-Risikoanalyse unterstützt damit bestehende Ansätze zum Informationssicherheits- und Risikomanagement – zusammen mit einer organisatorischen Verankerung des Themas „IT-Sicherheit“. 

Die Funktionsfähigkeit von Krankenhäusern hängt nicht nur von weiteren externen Kritischen Infrastrukturen, wie beispielsweise der Strom- und Wasserversorgung, abhängig, sondern auch bereits in hohem Maße von der vor Ort eingesetzten Informationstechnologie. Diese findet sich in zahlreichen Formen von Anwendungen zur Behandlungsdokumentation über Inventar- und Bestellsysteme bis hin zu medizintechnischen Geräten wieder. Sie unterstützt bei bisher papiergebundenen Arbeitsabläufen und erleichtert Diagnose- und Behandlungsprozesse oder macht diese sogar erst möglich. 

Neben der Möglichkeit zur Optimierung und Effizienzsteigerung von Prozessen birgt die zunehmende IT-Unterstützung aber auch neue Risiken, denen im Rahmen des Risikomanagements entsprechend begegnet werden muss. Bisher standen hier vor allem Risiken im Bereich des Datenschutzes, beispielsweise bei der Einführung elektronischer Patientenakten, im Fokus von Untersuchungen zur Sicherheit der Krankenhaus-IT. 

Aus dem Blickwinkel Kritischer Infrastrukturen zur Aufrechterhaltung der Verfügbarkeit der medizinischen Versorgung treten solche Überlegungen in den Hintergrund. Der effektive Umgang mit IT-Risiken erfordert in jedem Fall eine strukturierte Vorgehensweise, in welcher der IT-Risikoanalyse als wichtigem Werkzeug zur Identifikation der relevanten Risiken eine zentrale Rolle zukommt. Die IT-Risikoanalyse unterstützt damit bestehende Ansätze zum Informationssicherheits- und Risikomanagement und erleichtert sowohl Priorisierung als auch Auswahl der umzusetzenden Maßnahmen. Dabei ersetzt die IT-Risikoanalyse aber in keinem Fall die zwingend notwendige organisatorische Verankerung des Themas „IT-Sicherheit“ oder eine umfassende Sicherheitskonzeption nach gängigen Standards. 

Aufgrund seiner wichtigen Aufgaben für die Gesundheitsversorgung der Bevölkerung steht ein Krankenhaus, auch durch gesetzliche Regelungen, in der Pflicht, die Verfügbarkeit seiner Dienstleistungen zu gewährleisten.Angesichts der zunehmenden Abhängigkeit der Patientenversorgung von einer störungsfrei funktionierenden IT-Infrastruktur muss folglich auch der IT-Sicherheit ein hoher Stellenwert eingeräumt werden. Einige Aspekte benennen für IT-Sicherheitsverantwortliche Handlungsfelder, die für die Gewährleistung angemessener IT-Sicherheit besonders wichtig sind.
 

Fragepunkte für Handlungsfelder 

Sind die Prozesse Ihrer Einrichtung und deren IT-Abhängigkeiten bekannt?

Eine regelmäßig aktualisierte Prozessübersicht (z. B. als„Prozesslandkarte“) ­erleichtert es nicht nur, Effektivität und Effizienz der Abläufe eines Krankenhauses zu verbessern, sondern auch die kritischen Prozesse und IT-Abhängigkeiten zu erkennen. Sie ist damit eine wichtige Grundlage für die IT-Risikoanalyse. Hierfür sollte die Übersicht angemessen detailliert die Krankenhausprozesse, deren Zusammenwirken und deren IT-Unterstützung beschreiben. 

Verfügen die IT-Zuständigen Ihrer Einrichtung über einen umfassenden Überblick über die IT-Infrastruktur und deren Komponenten?

Ein aktuelles und vollständiges Inventar der IT-Infrastruktur hilft bei der Ermittlung derjenigen IT-Komponenten, die für das korrekte Funktionieren der kritischen IT-Anwendungen unverzichtbar sind. Es erleichtert darüber hinaus die Entwicklung von Sicherheitskonzepten zum Schutz dieser Anwendungen. Das Inventar sollte sämtliche eingesetzten IT-Systeme (Server, Clients usw.) und alle für deren Betrieb wichtigen Angaben enthalten, beispielsweise Einsatzzweck, Softwareausstattung sowie die Art der Netzanbindung. 

Sind die für Ihre Einrichtung unverzichtbaren (kritischen) Bestandteile der IT-Infrastruktur bekannt?

 Die Kenntnis der unverzichtbaren IT-Anwendungen und IT-Komponenten ist eine Grundvoraussetzung für den Schutz vor IT-Ausfällen, welche die Handlungsfähigkeit Ihrer Einrichtung gefährden, und unterstützt die Auswahl angemessener Sicherheitsmaßnahmen. Die ­IT-Risikoanalyse ist ein Instrument, um die bestehenden Kenntnisse durch ein strukturiertes Vorgehen systematisch und möglichst vollständig zu erweitern. 

Gibt es in Ihrer Einrichtung eine ausgewiesene Zuständigkeit für IT-Sicherheit?

 Für die organisatorische Verankerung der IT-Sicherheit in Ihrer Einrichtung ist es hilfreich, wenn in Person eines IT-Sicherheitsbeauftragten eine zentrale Zuständigkeit für die Koordination der zugehörigen Aufgaben festgelegt wird. Ein IT-Sicherheitsbeauftragter ist der Krankenhausleitung berichtspflichtig und sollte eng mit allen Stellen zusammenarbeiten, die mit Sicherheitsfragen der Einrichtung befasst sind. Ihm obliegt es vor allem, die Entwicklung von Sicherheitskonzepten zu steuern und die Umsetzung der darin vorgesehenen Maßnahmen zu kontrollieren. 

Sind die Mitarbeiter Ihrer Einrichtung für den sicheren Umgang mit kritischer Informationstechnik geschult?

Zur Vermeidung von IT-Sicherheitsvorfällen ist es erforderlich, dass die Benutzer hinreichend für Risiken bei der Anwendung von IT sensibilisiert und im sicheren Umgang mit dieser Technik geschult sind. Auch Administratoren und andere mit dem IT-Betrieb betraute Mitarbeiter müssen ausreichende Fortbildungsmöglichkeiten erhalten. Die IT-Risikoanalyse kann dazu beitragen, die Sensibilität für IT-Sicherheit in einem Krankenhaus zu erhöhen. 

Liegen Notfallkonzepte für die kritischen IT-Anwendungen Ihrer Einrichtung vor?

Die IT-Risikoanalyse zeigt auf, welche IT-Anwendungen für die kritischen Prozesse eines Krankenhauses besonders wichtig sind. Trotz aller Sicherheitsmaßnahmen können IT-Ausfälle niemals völlig ausgeschlossen werden. Daher sind für alle kritischen IT-Anwendungen Notfallkonzepte zu entwickeln, in denen Ersatzmaßnahmen zur Überbrückung eines IT-Ausfalls und Maßnahmen für den Wiederanlauf der IT-Anwendungen beschrieben sind. Diese IT-Notfallkonzepte sind in ein Gesamtnotfallkonzept des Krankenhauses zu integrieren, in dem das V

 

Quelle: Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT, BSI, www.bsi.bund.de
Foto: Adobe Stock / iuriimotov

 

 


Lesen Sie mehr zum Thema "Special KRITIS"

Krankenhäuser reagieren auf Bedrohung durch Attentate
Special KRITIS
Kritische Infrastruktur
Marktübersicht Sicherheits-Software
Special KRITIS
Special KRITIS

Lesen Sie hier die neuesten Beiträge

Wearables – eine komplexe Technologie
IT-Management
Wearables