Managementsysteme für Informationssicherheit in Krankenhäusern – Welche Norm ist die richtige?

PrintMailRate-it

​​​veröffentlicht am 31. Mai 2022​; Autoren: Konrad Klein, Jürgen Schwestka

 

Zunächst waren lediglich Universitätskliniken und große Krankenhäuser betroffen: Sie haben gemäß dem IT-Sicherheitsgesetz Maßnahmen zur Informationssicherheit unter Berücksichtigung des Stands der Technik umzusetzen. Seit dem Patientendaten-Schutz-Gesetz und der damit verbundenen Einführung des § 75c SGB V gilt die Pflicht zur Umsetzung angemessener technischer und organisatorischer Maßnahmen nach dem Stand der Technik jedoch gleichermaßen für alle Krankenhäuser. Damit Krankenhäusern dies gelingt, ist regelmäßig zu bewerten, welche Chancen und Risiken aus der Nutzung von IT gegeben sind und wo es Lücken in der Maßnahmenumsetzung gibt. Ein Managementsystem für Informationssicherheit wird benötigt. Doch bei all den vorhandenen Normen – welche ist die richtige für das eigene Unternehmen und brauche ich das überhaupt?

 

InformationsSicherheitsManagementSystem (ISMS)

Ein wirksames Managementsystem für Informationssicherheit besteht aus wiederholbaren Verfahren mit festgelegten Verantwortlichkeiten, Zielen und Regelungen zur Risikoverwaltung, um die Informationssicherheitsziele bestmöglich zu erreichen. Ein Managementsystem stellt sicher, dass die Verfahren und Maßnahmen regelmäßig auf den Prüfstand gestellt werden und ein kontinuierlicher Verbesserungsprozess geschaffen wird. Ohne ein Managementsystem werden Maßnahmen zur Informationssicherheit häufig nicht ausreichend methodisch umgesetzt und die Wirksamkeit bleibt unklar. Nachhaltige Verfahren und Transparenz fehlen.

 

Für die Implementierung eines ISMS gibt es unterschiedliche Standards und Normen. Besonders etabliert sind die Rahmenwerke ISO/IEC 27001 und der IT-Grundschutz des Bundesamts für Informationstechnik (BSI). Weitere Normen, die sich insbesondere für kleinere und mittelgroße Unternehmen eignen, finden sich mit CISIS12, der Weiterentwicklung von ISIS12, sowie dem VdS 10000. Im Krankenhausumfeld wird bei der Umsetzung von Informationssicherheitsmaßnahmen auch der sogenannte Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (nachfolgend „B3S”) herangezogen.

 

Eine Übersicht der gängigsten Normen zur Informationssicherheit

​VdS 10000
  • ​ISMS mit Fokus auf KMU
  • Anforderungen sind eine Teilmenge der Basis-Absicherungen des IT-Grundschutzes
  • Bildet eine solide Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001
​CISIS12
  • ​Compliance-Informations-Sicherheits-Management-System in 12 Schritten (früher ISIS12)
  • ISMS mit Fokus auf öffentliche Einrichtungen, Kommunen sowie KMU
  • Beinhaltet neben einem umfangreichen Anforderungskatalog mit 87 Bausteinen insbesondere Hinweise auf die schrittweise Implementierung eines ISMS in zwölf Schritten und drei Phasen
  • Aufwärtskompatibilität mit IT-Grundschutz und ISO 27001 vorhanden
​B3S Gesundheits-versorgung im Krankenhaus
  • Branchenspezifischer Sicherheitsstandard, der von Krankenhaus-Branchenvertretern entwickelt wurde und die Anforderungen an ein ISMS beinhaltet
  • Konkretisiert Anforderungen an umzusetzende technische und organisatorische Maßnahmen im Krankenhausumfeld.
  • Beinhaltet viele wertvolle Tipps zum Geltungsbereich und umzusetzende Maßnahmen im Krankenhaus.
  • Wurde vom BSI geprüft und freigegeben. Eignet sich gut als Maßnahmenkatalog für Betreiber Kritischer Infrastrukturen, ggf. in Ergänzung zur Umsetzung einer ISMS-Norm.
  • Gültigkeit eines B3S ist auf zwei Jahre begrenzt. Derzeit gibt es keinen gültigen B3S für die Medizinische Versorgung: Die Struktur des Standards kann sich mit jeder Neufassung komplett verändern – sofern überhaupt ein neuer Standard entwickelt wird.
​ISO/IEC 27001
  • Eine Norm für ISMS, der international verbreitet, beliebt und anerkannt ist
  • Wird von Unternehmen mit hohem Schutzbedarf der Informationssysteme angewandt, z.B. IT-Dienstleister mit (internationalen) Kunden
  • Aufgeteilt in Anforderungen an das Managementsystem und ca. 150 Referenzmaßnahmen sowie -ziele (Anhang A)
  • Referenzmaßnahmen und -ziele bieten Raum für unterschiedliche Möglichkeiten der Umsetzung in Abhängigkeit des Unternehmens- und Risikoprofils
  • Konkrete Umsetzung der häufig generischen Anforderungen stellt KMU i.d.R. vor Herausforderungen
BSI ​IT-Grundschutz
  • Eine Norm für ISMS, die insbesondere bei Betreibern kritischer Infrastrukturen häufig ganz oder in Teilen Anwendung findet
  • Aufgeteilt in vier ausführliche Standards (200-X: ISMS, Grundschutz-Methodik, Risikomanagement und Notfallmanagement) und das IT-Grundschutzkompendium mit ca. 100 IT-Grundschutz-Bausteinen
  • Die dreistufige Grundschutz-Methodik (Basis, Standard- und Kern-Absicherung) bietet Spielraum in der Umsetzung der häufig konkreten Anforderungen aus den IT-Grundschutz-Bausteinen.
  • Häufig werden Ansätze des IT-Grundschutz auch bei Implementierung von ISO 27001 verwendet, z.B. Schutzbedarfsanalyse, Risikomanagement bzw. Bewertung von Gefährdungen und elementaren Bedrohungen
    • Implementierung ist anspruchsvoll und dokumentationsaufwendig

 

 

Die Qual der Wahl?

Je nach Unternehmensgröße und Ausgangslage ergibt sich eine andere Empfehlung für die richtige Wahl eines der vorhandenen Rahmenwerke. Die Norm ISO/IEC 27001 ist aufgrund ihres Aufbaus und Umfangs sehr verständlich und deshalb leicht umzusetzen, wenngleich der Implementierungsaufwand dennoch nicht zu unterschätzen ist.

 

VdS 10000 und CISIS12 werben mit einer wesentlich geringeren Implementierungsdauer, doch kommt CISIS12 nach der Neuausrichtung ebenfalls mit einem sehr umfangreichen Maßnahmenkatalog in Anlehnung an das Grundschutz-Kompendium daher. Gleichzeitig bieten kleinere ISMS-Rahmenwerke vor allem Unternehmen mit hohem Schutzbedarf, zu der Krankenhäuser aufgrund der sensiblen Patienteninformationen und der notwendigen Verfügbarkeit von IT-Systemen zur Aufrechterhaltung der Gesundheitsversorgung zweifelsohne gehören, keine ausreichende Sicht auf Sicherheitsmaßnahmen.

 

Der IT-Grundschutz des BSI ist als sehr dokumentationsaufwendige Norm bekannt - bietet aber aufgrund der sehr konkreten Schritte und Anforderung gleichzeitig eine hohe Sicherheit bei Umsetzung. Für Betreiber kritischer Infrastrukturen bleibt außerdem abzuwarten, inwiefern das BSI seine Norm oder Teile davon zukünftig als verpflichtend umzusetzen deklariert.

 

Der B3S kann und sollte bei jeglicher Orientierung an einer der Normen von Krankenhäusern stets berücksichtigt werden und eignet sich auch als Einstieg in das Thema ISMS und damit einhergehenden technisch-organisatorischen Maßnahmen im IT-Umfeld. Da es derzeit keinen gültigen B3S für die Gesundheitsversorgung im Krankenhaus gibt, Abwarten bei der Umsetzung von Informationssicherheitsmaßnahmen jedoch keine Option darstellt, sollte man sich bei ausschließlicher Ausrichtung am B3S den Mehraufwand hinsichtlich der Veröffentlichung des neuen B3S bewusst machen. Aber auch beim IT-Grundschutzkompendium wird jedes Jahr eine neue Version veröffentlicht, sodass bei den geänderten Bausteinen Anpassungen notwendig sind. Die Veränderungen in der nächsten B3S Version werden voraussichtlich gering ausfallen und ein stark überarbeiteter Maßnahmenkatalog wird erst nach dem Prüfzeitpunkt Mitte 2023 zu erwarten sein – eine Neubewertung der implementierten Maßnahmen auf Basis eines aktualisierten B3S-Anforderungskatalogs wird jedenfalls regelmäßig notwendig werden. Lediglich der Umfang neuer oder veränderter Anforderungen ist noch unklar. Hinzu kommt die damit einhergehende Dokumentation und ggf. Pflege in einem verwendeten ISMS-Tool.

 

Welche Norm ist nun die richtige?

Die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeitenden Informationen in einem Krankenhaus sind in besonderem Maße schützenswert. Krankenhäuser haben unter Berücksichtigung ihres Versorgungsauftrages umfangreiche Maßnahmen zum Schutz von Informationen umzusetzen. Aus diesem Grund eignen sich lediglich die sehr anerkannten Normen ISO/IEC 27001 und IT-Grundschutz, um den vom Gesetzgeber geforderten Stand der Technik hinsichtlich angemessener Maßnahmen sicherzustellen. Der B3S bietet gute Hinweise für die Anwendung eines ISMS im Krankenhaus und eignet sich aufgrund des Umfangs und der Branchenfokussierung gut als Einstieg, insbesondere weil hier die Besonderheiten im Krankenhausumfeld gut berücksichtigt sind (z.B. die Schutzziele Patientensicherheit und Behandlungseffektivität). Aufgrund der jeweils nur zweijährigen Gültigkeit eines B3S erschwert sich die langfristige Orientierung an diesem Rahmenwerk jedoch erheblich, sodass sich Betreiber kritischer Infrastrukturen neben dem B3S auch an den oben genannten Normen orientieren sollten.

 

Auf Basis welcher Norm haben Sie ihr Informationssicherheitsmanagementsystem aufgebaut und welche Erfahrungen haben Sie damit gemacht? Sprechen Sie uns gerne an. Als unabhängige Berater und Prüfer mit Erfahrungen jeglicher Normen freuen wir uns auf den Austausch mit Ihnen.

Kontakt

Contact Person Picture

Jonas Buckel

B.A. Wirtschaftsinformatik, Zert. ITSiBe / CISO, IT-Auditor IDW

Manager

+49 911 9193 3627

Anfrage senden

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu