Die Gesundheitsbranche hat – nicht nur dank Corona und Engpässen bei Arzneimitteln und Pflegepersonal – einige "Hausaufgaben" zu machen. Im Bereich der „Medizinischen Versorgung“ gilt es, den Wandel der Digitalisierung zu gestalten, einerseits zum Zwecke der besseren Nutzung von Daten für die Forschung und Optimierung der Verwaltung oder schlicht für ein straffes Kostenmanagement.
Ein großes Krankenhaus ist als Organisation wie ein Unternehmen zu betrachten, das jedoch bei seinen Leistungen hohen Anforderungen des Datenschutzes und Risiken der Patientengesundheit unterliegt. Dabei ist nicht nur der Einsatz medizinischer IT-Systeme relevant!
Ob bei der Gebäudeleittechnik über Wäschereidienste bis hin zur Personal- und Patientenverwaltung zur Speiseversorgung der Patienten, die Informationstechnik ist schlicht nicht wegzudenken. Die Verbesserung der Resilienz, d.h. der Widerstandsfähigkeit der IT gegen mögliche Störungen, Fehlfunktionen oder auch gezielte Manipulationen stellt dabei einen wichtigen Ansatz zur Verbesserung der Informationssicherheit dar.
So sollte trotz Cyberangriffen auf Informationssysteme der Einrichtung oder beispielsweise der damit verbundenen Universität in jedem Falle vermieden werden, dass Patienten zu Schaden kommen. Beispiele aus der Praxis haben leider gezeigt, dass dies vorkommen kann, also Personenschäden als Kollateralschäden nicht auszuschließen sind.
Die vielfältige und historische gewachsene Systemlandschaft und das organisatorische Umfeld in den Krankenhäusern stellt - verbunden mit dem Kostendruck im Gesundheitswesen - eine Herausforderung in der Umsetzung eines Sicherheitsstandards dar, um Datenschutz, Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu sichern.
Der Gesetzgeber fordert in § 8a Abs. 1 BSI-Gesetz, dass Betreiber kritischer Infrastrukturen (also auch die Medizinische Versorgung) „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse […] treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“
Der Branchenspezifische Sicherheitsstandard (B3S)
Der nach dieser Maßgabe von Fachleuten der Branche erarbeitete Branchenspezifische Sicherheitsstandard (B3S) für die medizinische Versorgung orientiert sich an der in der Praxis etablierten Normenfamilie ISO/IEC 27k, dem „Stand der Technik“ sowie der darüber hinausgehenden branchenspezifischen Anforderungen der Datenschutznorm ISO 27799, als auch der für den Geltungsbereich relevanten wesentlichen Risiken. Er liegt in der Version 1.2 vor und wird von der DKG, dem Bundesverband der Krankenhausträger in der Bundesrepublik Deutschland veröffentlicht.
Der B3S dient damit im Ergebnis der Etablierung eines angemessenen Sicherheitsniveaus bei gleichzeitiger Wahrung des üblichen Versorgungsniveaus der Patientenversorgung und der Verhältnismäßigkeit der umzusetzenden Maßnahmen.
Entscheidet sich ein Krankenhaus zur Anwendung des B3S und weist es die Umsetzung entsprechend nach, wird die Einhaltung der erforderlichen Maßnahmen angenommen.
Aber wie kann man die zahlreichen Anforderungen des B3S umsetzen und nachweisen?
Das erfolgt nach in vielen Branchen bereits bewährten Methoden unter der Anwendung der Normen, was in vielen Branchen – vom kleinen Unternehmen bis zum Konzern - bereits seit Jahren der Fall ist. Davon profitiert das Gesundheitswesen, denn die Basisnorm ISO/IEC 27001 wurde erstmals 2005 veröffentlicht und zuletzt 2022 aktualisiert, ist also etabliert.
Die üblichen Werkzeuge, Methoden und Verfahren (Gefahrenanalyse, Risikobewertung, Risikomanagement, Anforderungsumsetzung, Dokumentation, Vorfallmanagement, Reporting, Kontrollsysteme etc.) sind nutzbar.
Tools sind verfügbar
Und durch die Anwendung von Informationssicherheitsmanagement-Software mit bereits vorkonfigurierten Richtlinien und Prozessen wird sowohl die Einführung, Anwendung und der Nachweis besser, schneller und kostengünstiger!
Schrittweises Vorgehensmodell
Folgende Schritte empfehlen sich bei der Umsetzung, wobei davon ausgegangen werden sollte, daß dies nicht in wenigen Tagen machbar ist:
Erhebung, Analyse und Beurteilung des Status Quo von Organisation und Technik auf Basis der Anforderungen des B3S
Erstellung einer belastbaren Aufwandschätzung der nötigen Maßnahmen sowie Entwicklung einer Planung für die Umsetzung
Ausgestaltung und operative Einführung eines Informationssicherheitsmanagement-Systems (ISMS) mit Einführung einer ISMS-Software
Gestaltung und Einführung eines Business-Continuity-Management-Systems (BCM), einschließlich Notfallkonzeptionen, Wiederanlaufplänen sowie Tests und Übungen
Die Organisation muss sich ebenso anpassen, neben der Einrichtung der Rolle des Informationssicherheitsbeauftragten (Vollzeit, Teilzeit, intern oder extern) und der Beschaffung von Budgets und Ressourcen ist die Nutzung von – durchaus beachtlichen - Fördermitteln des Bundes und der Länder für die Realisierung der Maßnahmen zur Umsetzung des B3S zu organisieren.
Die laufende Überprüfung der Organisation nach den Maßgaben des BSI-Gesetzes und des B3S rundet die Aktivitäten ab und die Optimierung wird nach und nach Teil eines kontinuierlichen Verbesserungsprozesses in der medizinischen Versorgung.
Opexa hat ein Paket entwickelt, um Krankenhäuser schnell und effizient einen Uberblick zu verschaffen.
Fazit
In jedem Falle ist initial eine Investition erforderlich, um die gesetzlichen Anforderungen zu erfüllen. Aber die Einrichtung hat nach Abschluss der Einführung ihre Prozesse, Organisation, Risiken und Kosten besser im Griff, das kann ein wesentlicher Wettbewerbsvorteil einer Einrichtung sein!