Neues und Best Practice stehen im Mittelpunkt des KRITISchen Stammtischs. Die vom Universitätsklinikum Carl Gustav Carus der TU Dresden und der SHD System-Haus-Dresden GmbH organisierten Veranstaltungen adressieren bundesweit Datenschutzbeauftragte (DSB), Informationssicherheitsbeauftragte (ISB), Krankenhaus-IT-Leiter sowie Vertreter von Verbänden, Behörden und der Industrie. Von Michael Reiter
Wie komme ich rechtssicher in die Cloud? Wie schließe ich rechtssicher SaaS-Verträge ab? Was ist im Kontext Datenschutz und Datensicherheit zu regeln? Diese Fragen behandelte beim Online-Stammtisch im März Prof. Dr. Hans-Hermann Dirksen, Rechtsanwalt mit Fokus auf Digitalisierung und Datenschutz und Dozent an der FOM-Hochschule, im Kontext des KHZG-Fördertatbestandes (FT) 7. Auch eigene Cloud-Strukturen lassen sich im Kontext des FT 7 aufbauen. Cloud-Angebote sind heute unverzichtbar, so der Rechtsanwalt; es geht bei ihnen somit nicht mehr um das „Ob“, sondern um das „Wie“ – mit der Verarbeitung personenbezogener Daten im Zentrum. Metadaten und Servicedaten sind ebenfalls zu berücksichtigen. Auch die Position von Dienstleistern in der Risikoabschätzung sowie Drittland-Transfers innerhalb („auf der sicheren Seite“) und außerhalb der EU (generell skeptisch
zu sehen) sprach Prof. Dirksen an.
Gravierende Unschärfen bei der Nutzung von Clouds mit US-Anbindung
Besonders kompliziert ist ein datenschutzkonformer Einsatz von US-Dienstleistern, unter anderem bezüglich des U.S. Cloud Acts. Zu beachten ist insbesondere das „Übermittlungsinstrument“ nach § 46 DSGVO; Auftraggeber haben ergänzende Maßnahmen zu treffen, Verfahrensvorschriften zu beachten und das gewählte Szenario in angemessenen Abständen zu überprüfen. – Eine politische Lösung für Anbindungen an eine US-Struktur, so Prof. Dirksen, steht hier aus.
SIEM und Datenschutz
Was haben Security Information and Event Management-Systeme (SIEM) und Datenschutz miteinander zu tun? SIEM steht für „Sammelsystem für systematisch zugeführte Logdaten aus unterschiedlichen Quellsystemen zur Auswertung von Anomalien – automatisiert oder manuell“, erläuterte Andreas F. Scholtz vom Universitätsklinikum Leipzig. SIEM sind Teil der Maßnahmen zur Minimierung von IT-Risiken, zu denen auch Krankenhäuser verpflichtet sind; sie beziehen technische sowie personenbezogene Daten mit ein. Somit kommen hier insbesondere die Artikel 5 und 33 sowie ggf. 34 der DSGVO ins Spiel.
Schwachstellenmanagement
Mike Zimmermann vom Universitätsklinikum Dresden beschrieb das Management der vielfältigen Schwachstellen in der IT am Uniklinikum Dresden – mit Beispielen von Citrix über Rohrpost und Medizingeräte-Fernwartung bis hin zu HP-Druckermodellen. Pro Woche geht es hier um rund 50 Schwachstellen. In diesem Jahr manifestierten sich bereits 65 kritische Schwachstellen; diese Zahl liegt über dem Vorjahresniveau. Schwachstellen- und Patchmanagement sind als wichtiger Bestandteil des IT-Sicherheitskonzepts zu definieren, betonte Zimmermann. Eine detailliertes Assetmanagement zu den eingesetzten Komponenten und Verantwortlichkeiten ist dabei die Grundvoraussetzung; Krankenhäuser haben einen systematischen und kontinuierlichen Prozess für das Schwachstellenmanagement zu etablieren. IT-Notfallmanagement bezieht die Prüfung etwaiger schon ausgenutzter Schwachstellen und – lang aufzubewahrende – Log Files ein.
Neuerungen im B3S und Update aus der DKG-Arbeitsgruppe
Zu Informationssicherheit im Krankenhaus und Neuerungen im B3S „Medizinische Versorgung“ sprach Mario Beck. Das Starterpaket zum § 75c SGB V wurde wie geplant zum Jahreswechsel verfügbar gemacht, so der Referent IT, Datenaustausch und eHealth bei der DKG. In einer Informationsveranstaltung wurden die Elemente des Pakets vorgestellt. Informationssicherheit ist ein Prozess; daher geht die Arbeit weiter. Themen sind unter anderem die Einbindung von Dienstleistern und die Logistik, auch eine weitere Informationsveranstaltung ist in Planung. Die Aktivitäten im Kontext B3S und 75c werden künftig intensiver abgestimmt, so Beck.
Überarbeitung B3S: Hierzu gibt es ebenfalls eine Arbeitsgruppe. Diese hat die Aspekte der BSI-Prüfrunde aus 2019 in eine neue Version umgesetzt – im Rahmen der Fortschreibung
im Zweijahres-Turnus. Änderungen der Version 1.2 beinhalten unter anderem Präzisierung und Klarstellungen in Kapitel 1. In Kapitel 2 wurden Zielsetzung und Adressaten klarer herausformuliert, Kapitelteile wurden umstrukturiert. In Kapitel 3 und 4 wurden Hinweise überarbeitet und zusammengefasst. In das Kapitel 5 wurde der Standard-Risikomanagement-Prozess verschoben. Der Betrachtungsbereich zur Kritikalität beruht nun auf den vier Säulen Informationstechnik, Medizintechnik, Kommunikationstechnik und Versorgungstechnik. Kapitel 6 wurde um neue Anforderungen ergänzt, insbesondere um die Leitlinie Informationssicherheit; Logging-Vorgaben für IT und Medizintechnik sind nun getrennt, branchenspezifische Technik und MPG-Anforderungen haben ein eigenes Kapitel erhalten. Anforderungen zu Datensicherung, Datenwiederherstellung und Archivierung wurden ergänzt, Intrusion Detection wird zu einem Muss-Kriterium. Vorgaben zum betrieblichen Kontinuitätsmanagement und zur Priorisierung bei mehreren Sicherheitsvorfällen wurden ergänzt. Kapitel 7 wurde strukturell angepasst, Kapitel 8 und 9 blieben weitgehend unverändert. – Die Version 1.2 hat also eine moderate Überarbeitung erfahren.
Cybercrime: von den Tätern lernen
Für einen gesamtheitlichen Ansatz angesichts der Bedrohungslage plädierte Lars Nowack. Die Steigerungsraten bei der Cyberkriminalität liegen bei zehn bis 30 Prozent pro Jahr,
erklärte der Kriminaloberkommissar und Experte für Cyberkriminalität des Dezernates 3 der Kriminalpolizeiinspektion Görlitz. Die Verschiebung des Kriminalitätsbereichs in den digitalen Raum ist unaufhaltsam – das Agieren ist hier für die Täter deutlich weniger riskant als beispielsweise der Autodiebstahl. Zu den Akteuren von außen auf Suche nach Schwachstellen zählen Abgreifer von Daten und Waren, Geheimdienste mit Sabotage-Intentionen, Ransomware mit Systemverschlüsselung, Spam, Geschäftsführerbetrug und auch Hardware-Diebe.
Dass allein der Admin sich um die Härtung der Infrastruktur kümmern soll, funktioniert nicht, unterstrich Nowack. Alle PC-Nutzer sind gefragt, Eindringen zu verhindern und somit
Risiken zu minimieren! IT ist „nur“ für die sichere Netz-Infrastruktur zuständig; der/die Sicherheitsbeauftragte hat die Problempotenziale zu identifizieren. Bedrohungen klären, reale
Prozesse überprüfen, Schulungen organisieren, Hardware und bauliche Gegebenheiten checken das sind ebenso seine/ihre Aufgaben wie das Entwickeln von Notfallplänen und Handlungsanleitungen. Sollten CEO Fraud-Mails an die Polizei gemeldet werden – auch wenn dort nicht viel getan wird oder getan werden kann? Statistik auf Basis von Anzeigen hilft, so der Polizei-Experte. Wenn man entsprechende IP-Adressen und Emails zusammenführt, verstärkt dies die Ermittlungsansätze und damit den Druck in Richtung der Täter – die dann hohe Schadenssummen vermeiden helfen kann.
Der Prophet im eigenen Land erhält kaum Gehör, so der Tenor des 15. KRITISchen Stammtischs. Allianzen bilden, um Aufmerksamkeit für das Thema und Verantwortungsbewusstsein in allen Abteilungen der Krankenhäuser voranzubringen – das ist ein Schlüsselfaktor für das Mehr an IT-Sicherheit. Für die Verantwortlichen bringt der nächste KRITISche Stammtisch wieder ein wertvolles Update.
SIEM und Datenschutz
Was haben Security Information and Event Management-Systeme (SIEM) und Datenschutz miteinander zu tun? SIEM steht für „Sammelsystem für systematisch zugeführte Logda
en aus unterschiedlichen Quellsystemen zur Auswertung von Anomalien – automatisiert oder manuell“, erläuterte Andreas F. Scholtz vom Universitätsklinikum Leipzig. SIEM sind Teil
der Maßnahmen zur Minimierung von IT-Risiken, zu denen auch Krankenhäuser verpflichtet sind; sie beziehen technische sowie personenbezogene Daten mit ein. Somit kommen hier insbesondere die Artikel 5 und 33 sowie ggf. 34 der DSGVO ins Spiel. Die DSB sollten deshalb bei der Planung frühzeitig einbezogen werden.
Aktuelle Informationen zum KRITISchen Stammtisch bietet die Website www.kritischer-stammtisch.de.
Spezialisten und Interessierte sind eingeladen, sich hier mit Input zu beteiligen.
Quelle: Krankenhaus-IT Journal, Juni Ausgabe 03/2022
Foto: Adobe Stock /ipopba