• Dracoon - Sicherer Datenaustausch im Gesundheitswesen
Referenzen DRACOON Gesundheitsbranche

KRITIS: HERAUSFORDERUNG FÜR DAS GESUNDHEITSWESEN
BEIM DATEIAUSTAUSCH

Mit der voranschreitenden Digitalisierung hat die Informationstechnologie Einzug in unseren Alltag gehalten. Die Verknüpfung von Daten und die Vernetzung von technischen Geräten eröffnen einzigartige Möglichkeiten, Computersysteme zu nutzen.

Das Internet der Dinge und die Industrie 4.0 zeigen das enorme Entwicklungspotenzial, das im digitalen Wandel steckt. Dabei darf jedoch nicht vergessen werden, dass all diese Neuerungen auch mit einem immensen Zuwachs an Sicherheitsrisiken einhergehen. Die zunehmende Vernetzung von IT-Komponenten und daraus erwachsende Abhängigkeiten führen zu einer erhöhten Verletzlichkeit der eingesetzten Systeme. Besonders „kritisch“ ist das für Unternehmen, die eine wichtige Bedeutung für das Gemeinwohl haben.

Unter den Begriff „Kritische Infrastrukturen“ (kurz genannt KRITIS) fallen Organisationen oder Einrichtungen, die eine wichtige Bedeutung für das staatliche Gemeinwesen haben. Kommt es dort zu einem Ausfall oder zu einer Beeinträchtigung mit nachhaltig wirkenden Versorgungsengpässen, sind erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen zu erwarten. Deshalb unterliegen diese Organisationen einem besonderen Schutz, der entsprechende Sicherheitsmaßnahmen erfordert.

Nachweis über geeignete Vorkehrungen zur IT-Sicherheit

Betroffene Krankenhäuser müssen alle zwei Jahre einen Nachweis über geeignete Vorkehrungen zur
Informationssicherheit erbringen

Benennung einer Kontaktstelle / Funktionspostfach

Generell müssen KRITIS-Betreiber innerhalb von sechs Monaten nach Inkrafttreten der BSI-KritisV eine Kontaktstelle benennen. Es muss sich dabei um ein Funktionspostfach handeln, das durchgehend an 7 Tagen pro Woche / 24 Stunden erreichbar ist.

Meldung von IT-Störungen

Liegt eine meldepflichtige IT-Störung vor, muss diese umgehend an das BSI kommuniziert werden.

Umsetzung des Stands der Technik

Spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung (also der BSI-KritisV) müssen „angemessene Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse“ nach dem „Stand der Technik“ getroffen und gegenüber dem BSI nachgewiesen werden.

Umsetzungsempfehlung:
Stand der Technik – Dateiaustausch / File Service

Um „angemessene Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse“ nach dem „Stand der Technik“ nachweisen zu können, empfehlen wir, folgendes zu beachten:

In Bezug auf die eingesetzte Software ist es hilfreich, eine Lösung „Made & Hosted in Germany“ wählen. Denn deutsche Anbieter unterliegen den strengen deutschen Datenschutzgesetzen und entsprechen in der Regel zugleich der EU-DSGVO. Relevante Zertifizierungen und Auszeichnungen wie z. B. auch die ISO27001 untermauern die Konformität zusätzlich.

Ebenso spielt die Verschlüsselung eine große Rolle. Beispielsweise nur eine clientseitige Datenverschlüsselung stellt sicher, dass die Daten bereits am Endgerät verschlüsselt werden. Dadurch hat nicht einmal der Hersteller / Anbieter die Möglichkeit, auf gespeicherte Informationen zuzugreifen. Wichtig – nicht nur im Sinne der EU-DSGVO – ist es außerdem, dass autorisierte Personen jederzeit einsehen können, welche Daten wann von wem bearbeitet wurden. Nur so lassen sich auch unkontrollierte Datenabflüsse erkennen und vermeiden. Ein feingranulares Rechtesystem regelt außerdem detailliert, wer auf welche Daten zugreifen und diese bearbeiten darf.

Äußerst schwierig für KRITIS-Organisationen aus dem Gesundheitswesen wird es allerdings, wenn es zu einem sogenannten Ransomware-Angriff kommt: Dringen Schadprogramme in das interne Netz ein, führt dies zeitnah zu Störungen der IT-Systeme. Die Schutzmechanismen von Computer-Netzwerken müssen darauf ausgerichtet sein, dass ein erfolgreicher Angriff auf ein einzelnes System nicht sofort Auswirkungen auf das gesamte Netzwerk hat. Idealerweise bedient man sich also einer Software, die über einen Ransomware-Schutz verfügt, mittels dem sich geschädigte Daten zeitnah wiederherstellen lassen – am besten ohne das „Lösegeld“ zu bezahlen.

Allgemein können Betreiber oder ihre Verbände in „branchenspezifischen Sicherheitsstandards“ (B3S) konkretisieren, wie die Anforderungen zum „Stand der Technik“ erfüllt werden können. Solche B3S können dem BSI zur Feststellung der Eignung vorgelegt werden. Eine gesetzliche Pflicht zur Erarbeitung eines solchen B3S besteht nicht. Die Erstellung eines B3S ist für die Branchen jedoch eine Chance, ausgehend von der eigenen Expertise selber Vorgaben zum „Stand der Technik“ zu formulieren. Darüber hinaus gibt er den Betreibern, die sich nach einem solchen anerkannten B3S prüfen lassen, Rechtssicherheit bzgl. des „Stand der Technik“, der bei einem Audit verlangt und überprüft wird.

Fordern Sie jetzt Ihr Whitepaper inkl. Checkliste an!

Ist Ihr Krankenhaus von KRITIS betroffen?
Welche Auswirkungen hat KRITIS auf ein Krankenhaus?
Wie gut sind Ihre Maßnahmen auf KRITIS ausgerichtet?

In diesem Whitepaper beschreiben wir übersichtlich, wann ein Krankenhaus von KRITIS betroffen ist, welche Herausforderungen das mit sich bringt und wie man diese lösen kann.

Zudem können Sie anhand unserer Checkliste ganz einfach herausfinden, ob Sie Ihre Daten KRITIS-konform speichern.