JETZT TESTEN
dracoon-login-w
Menu
JETZT TESTEN
LOGIN
kritis-health-dracoon
Clean & Elegant
Fully Responsive
referenzen-health

KRITIS: Herausforderung für das Gesundheits­wesen beim Daten­austausch

Mit der voranschreitenden Digitalisierung hat die Informationstechnologie Einzug in unseren Alltag gehalten. Die Verknüpfung von Daten und die Vernetzung von technischen Geräten eröffnen einzigartige Möglichkeiten, Computersysteme zu nutzen.

Das Internet der Dinge und die Industrie 4.0 zeigen das enorme Entwicklungspotenzial, das im digitalen Wandel steckt. Dabei darf jedoch nicht vergessen werden, dass all diese Neuerungen auch mit einem immensen Zuwachs an Sicherheitsrisiken einhergehen. Die zunehmende Vernetzung von IT-Komponenten und daraus erwachsende Abhängigkeiten führen zu einer erhöhten Verletzlichkeit der eingesetzten Systeme. Besonders „kritisch“ ist das für Unternehmen, die eine wichtige Bedeutung für das Gemeinwohl haben.

Unter den Begriff „Kritische Infrastrukturen“ (kurz genannt KRITIS) fallen Organisationen oder Einrichtungen, die eine wichtige Bedeutung für das staatliche Gemeinwesen haben. Kommt es dort zu einem Ausfall oder zu einer Beeinträchtigung mit nachhaltig wirkenden Versorgungsengpässen, sind erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen zu erwarten. Deshalb unterliegen diese Organisationen einem besonderen Schutz, der entsprechende Sicherheitsmaßnahmen erfordert. Neben einer speziellen Cloud für das Gesundheitswesen, verdienen auch die folgenden Punkte besonderen Schutzbedarf. 

Benennung einer
Kontaktstelle / eines Funktionspostfachs

Generell müssen KRITIS-Betreiber innerhalb von sechs Monaten nach Inkrafttreten der BSI-KritisV eine Kontaktstelle benennen. Es muss sich dabei um ein Funktionspostfach handeln, das durchgehend an 7 Tagen pro Woche  24 Stunden erreichbar ist.

Nachweis über geeignete Vorkehrungen
zur IT-Sicherheit

Betroffene Krankenhäuser müssen alle zwei Jahre einen Nachweis über geeignete Vorkehrungen zur Informationssicherheit erbringen.

Umsetzung des Stands der Technik

Spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung (also der BSI-KritisV) müssen „angemessene Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse“ nach dem „Stand der Technik“ getroffen und gegenüber dem BSI nachgewiesen werden.

Meldung von IT-Störungen

Liegt eine meldepflichtige IT-Störung vor, muss diese umgehend an das BSI kommuniziert werden.

Umsetzungs­empfehlung: Stand der Technik – Datenaustausch / File Service

Um „angemessene Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse“ nach dem „Stand der Technik“ nach­weisen zu können, empfehlen wir, Folgendes zu beachten:

In Bezug auf die eingesetzte Software ist es hilfreich, eine Lösung „Made & Hosted in Germany“ wählen. Denn deutsche Anbieter unterliegen den strengen deutschen Datenschutzgesetzen und entsprechen in der Regel zugleich der EU-DSGVO. Relevante Zertifizierungen und Auszeichnungen wie z.B. auch die ISO27001 untermauern die Konformität zusätzlich.

Ebenso spielt die Verschlüsselung eine große Rolle. Beispielsweise nur eine clientseitige Daten­verschlüsselung stellt sicher, dass die Daten bereits am Endgerät verschlüsselt werden. Dadurch hat nicht einmal der Hersteller/Anbieter die Möglichkeit, auf gespeicherte Informationen zuzugreifen. Wichtig – nicht nur im Sinne der EU-DSGVO – ist es außerdem, dass autorisierte Personen jederzeit einsehen können, welche Daten wann von wem bearbeitet wurden. Nur so lassen sich auch unkontrollierte Datenabflüsse erkennen und vermeiden. Ein feingranulares Rechtesystem regelt außerdem detailliert, wer auf welche Daten zugreifen und diese bearbeiten darf.

Äußerst schwierig für KRITIS-Organisationen aus dem Gesundheitswesen wird es allerdings, wenn es zu einem sogenannten Ransomware-Angriff kommt: Dringen Schadprogramme in das interne Netz ein, führt dies zeitnah zu Störungen der IT-Systeme. Die Schutzmechanismen von Computer-Netzwerken müssen darauf ausgerichtet sein, dass ein erfolgreicher Angriff auf ein einzelnes System nicht sofort Auswirkungen auf das gesamte Netzwerk hat. Idealerweise bedient man sich also einer Software, die über einen Ransomware-Schutz verfügt, mittels dem sich geschädigte Daten zeitnah wiederherstellen lassen – am besten ohne das Lösegeld („Ransom“) zu bezahlen.

Allgemein können Betreiber oder ihre Verbände in „branchenspezifischen Sicherheitsstandards“ (B3S) konkretisieren, wie die Anforderungen zum „Stand der Technik“ erfüllt werden können. Solche B3S können dem BSI zur Feststellung der Eignung vorgelegt werden. Eine gesetzliche Pflicht zur Erarbeitung eines solchen B3S besteht nicht. Die Erstellung eines B3S ist für die Branchen jedoch eine Chance, ausgehend von der eigenen Expertise selber Vorgaben zum „Stand der Technik“ zu formulieren. Darüber hinaus gibt er den Betreibern, die sich nach einem solchen anerkannten B3S prüfen lassen, Rechtssicherheit bzgl. des „Stand der Technik“, der bei einem Audit verlangt und überprüft wird.

Fordern Sie jetzt Ihr Whitepaper inkl. Checkliste an!

Ist Ihr Krankenhaus von KRITIS betroffen?
Welche Auswirkungen hat KRITIS auf ein Krankenhaus?
Wie gut sind Ihre Maßnahmen auf KRITIS ausgerichtet?

In diesem Whitepaper beschreiben wir übersichtlich, wann ein Krankenhaus von KRITIS betroffen ist, welche Herausforderungen dadurch entstehen und wie man diese lösen kann.

Zudem können Sie anhand unserer Checkliste ganz einfach herausfinden, ob Sie Ihre Daten KRITIS-konform speichern.

Hier anfordern:
Barmer_Logo
MRI-klinikum-rechts-der-isar-dracoon
AOK
Sana
HELIOS-Logo
Bayerischer_Landtag_Logo

Testen Sie jetzt DRACOON

10 Benutzer und 10 GB – für immer kostenlos.
Speichern und teilen Sie Ihre Daten DSGVO-konform und zwar zeitlich unbeschränkt!

DRACOON testen