Aus der Branche -

TÜV Süd Nachweis der IT-Sicherheit: Krankenhäuser riskieren Sanktionen

Viele Kliniken konnten wegen Personalmangel noch nicht ihrer Nachweispflicht als Betreiber kritischer Infrastrukturen nachkommen. Was Nachzügler jetzt tun können, um Sanktionen zu vermeiden.

Betreiber kritischer Infrastrukturen (KRITIS) im Gesundheitswesen müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen, dass ihre IT-Sicherheit auf dem neuesten Stand ist. Am 30. Juni endete die Übergangsfrist dazu. Auch angesichts wachsender Bedrohungen durch Cyberangriffe nimmt die Dringlichkeit zu. Der TÜV Süd unterstützt bei der Umsetzung der Nachweispflicht und nennt die wichtigsten Punkte, die Nachzügler beachten sollten.

Die Digitalisierung von Arbeitsabläufen macht Krankenhäuser und andere Einrichtungen im Gesundheitswesen zunehmend verwundbarer. Das hat kürzlich ein Hackerangriff auf einen Krankenhausverbund in Rheinland-Pfalz gezeigt, bei dem zwanzig Einrichtungen zeitgleich betroffen waren. Nach Einschätzung der BSI war dies bundesweit der erste Fall dieser Größenordnung. Ein Trojaner hatte die Server und Datenbanken verschlüsselt, so dass die Mitarbeiter nicht mehr auf die Systeme zugreifen konnten.

Patientenversorgung abhängig von sicheren IT-Prozessen

"Fälle wie dieser führen sehr eindrucksvoll vor Augen, wie abhängig die Patientenversorgung von sicheren IT-Prozessen ist und wie wichtig präventive Maßnahmen zum Schutz sensibler Patientendaten sind. Die gesetzliche Pflicht zum Nachweis der IT-Sicherheit muss sehr ernst genommen werden", erklärt Jens Linstädt, Product-Compliance-Manager Healthcare bei der TÜV Süd Management Service GmbH. Wegen angespannter Ressourcenlage haben es einige Kliniken noch nicht geschafft, ihrer Nachweispflicht nachzukommen und riskieren damit Sanktionen. "Häufig sehen wir auch, dass die gesetzlichen Anforderungen zu einem sehr unterschiedlichen Grad umgesetzt sind", so Linstädt.

Das BSI verpflichtet Betreiber kritischer Infrastrukturen, diese dem Stand der Technik entsprechend abzusichern. Die BSI-KRITIS-Verordnung (BSI-KritisV) beschreibt, welche Anlagenkategorien in den jeweiligen Sektoren als kritisch angesehen werden und fordert von den jeweiligen Betreibern einen Nachweis über den Schutz ihrer Informationstechnik. Spätestens seit 30. Juni 2019, also zwei Jahre nach Inkrafttreten der Verordnung, sind Betreiber in Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen nach §8a BSIG zum Nachweis verpflichtet, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Für andere KRITIS-Sektoren wie z.B. Energie und Wasser gilt diese Nachweispflicht bereits seit 2018.

Was tun, wenn die Frist überschritten wurde?

Der KRITIS-Betreiber muss mit Sanktionen rechnen, sollte sich aber umgehend um eine Verlängerung der Nachweisfrist bemühen. Dazu ist er verpflichtet, dem BSI die Gründe für die Verzögerung nachvollziehbar darzulegen. Dem BSI muss außerdem bestätigt werden, dass die notwendigen Maßnahmen zur Erfüllung des § 8a BSIG (BSI-Gesetz) ohne weitere Verzögerung umgesetzt werden. Belegt werden kann dies durch einen konkreten Umsetzungsplan, aus dem für das BSI alle erforderlichen Maßnahmen ersichtlich sind, um den Nachweis zur IT-Sicherheit zeitnah zu erbringen. Wichtig dabei: Die Zusammenarbeit mit einer prüfenden Stelle wie dem TÜV Süd und ein konkreter Prüfungstermin sind Teil dieser Maßnahmen, die auf eine mögliche Fristverlängerung abzielen.

Die Deutsche Krankenhausgesellschaft (DKG) hat zudem einen branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus vorgelegt, der als Leitfaden für IT-Sicherheit in Kliniken dient.

Zertifizierung nach ISO/IEC 27001 unterstützt ebenfalls

Neben der gesetzlichen Nachweispflicht bietet eine Zertifizierung nach ISO/IEC 27001 als bekannteste Norm zum Nachweis der IT-Sicherheit ebenfalls eine gute Basis, um Informationssicherheit zu gewährleisten, relevante Sicherheitsvorschriften zu erfüllen und eine Sicherheitskultur im eigenen Unternehmen zu fördern. Auch kleine und mittelständische Unternehmen, die durch das Raster des IT-Sicherheitsgesetzes fallen, aber als Zulieferer großen Kunden ihre IT-Sicherheit nachweisen müssen, bietet die Zertifizierung nach ISO/IEC 27001 Vorteile. Wenn diese KRITIS-Unternehmen beliefern, lohne es sich laut TÜV Süd, über eine Zertifizierung eigener IT-Sicherheit nachzudenken. Denn große Auftraggeber erwarten meist bestimmte Sicherheitsvorkehrungen von ihren Zulieferern - und müssen dies eigentlich auch, um ihrerseits entsprechende Nachweise erbringen zu können.

Detaillierte Information zum KRITIS-Nachweis finden Sie auf der Homepage des TÜV Süd.

© hcm-magazin.de 2019 - Alle Rechte vorbehalten
Kommentare
Bitte melden Sie sich an, um Ihren Kommentar angeben zu können.
Login

* Pflichtfelder bitte ausfüllen