Page 33 - KrankenhausITJournal_Ausgabe062020
P. 33
Sicherheitsstandards (B3S) für kritische Fazit
Infrastrukturen (KRITIS) zusammen? Eine fundierte Cyber-Security Reifegrad- Quellen
Gerade dieser Punkt ist besonders rele- Analyse bietet durch den Bezugspunkt
vant, da a) mit der Neuauflage des IT- "Krankenhausprozesse" sowohl eine [1] hwww.bundesgesundheitsministerium.de/
Sicherheitsgesetzes mehr Häuser unter valide Einschätzung der aktuellen Cyber- krankenhauszukunftsgesetz.html
KRITIS fallen werden und b) das Pati- Risiko-Situation, als auch eine ideale
entendatenschutzgesetz (PDSG) expli- Planungsgrundlage für Investitionen und [2] www.nordbayern.de/region/fuerth/
experte-erklart-das-steckt-hinter-cyber-atta-
zit auf den B3S-Standard - unabhängig Förderprojekte im Kontext des KHZG. cke-auf-klinikum-1.9670400
vom KRITIS-Status des Krankenhauses Legt man hierbei einschlägige Standards
- Bezug nimmt. zugrunde, ist man bestens auf die Rei- [3] www.sueddeutsche.de/digital/hacker-
fegrad-Prüfungen des KHZG vorberei- angriff-computervirus-legt-klinik-in-neuss-
Blindflug ohne Betrachtung tet. Eine Orientierung an ISO 27001 in lahm-1.2861656
der spezifischen IT-Risiken Kombination mit dem branchenspezifi-
Eine ausgewogene Cyber-Sicherheits- schen B3S-Standard bietet eine optimale [4] www.handelsblatt.com/technik/
Strategie basiert auf Menschen, Prozessen Ausgangsbasis - gerade in Hinblick auf sicherheit-im-netz/cyberkriminalitaet-
todesfall-nach-hackerangriff-auf-uni-klinik-
und Technologie und ein praxisorien- KRITIS und PDSG. duesseldorf/26198688.html
tiertes Cyber-Risiko-Management ver- Mithilfe dieser Standards lässt sich
bindet diese drei Säulen. Den Einstieg eine priorisierte Cyber-Strategie- und [5] www.himssanalytics.org/infram
in ein solches Managementsystem findet Investitionsplanung ableiten und opti-
man typischerweise mit einer unabhän- mal in förderfähige KHZG-Projekte [6] www.krankenhaus-it.de/modules/
gigen Cyber-Security-Reifegrad-Analyse, einpassen. Ersteres ist sowieso auch ohne publisher/index.php/item.360
die branchenspezifische Anforderungen KHZG ein absolutes Muss für alle Kran-
umfasst, z.B. Personengruppen (Ärzte, kenhäuser! Lücken bei einer Fokussie-
Pflegepersonal, Patienten, Verwaltungs- rung auf IT-Infrastruktur bspw. auf Basis
personal, etc.), medizinisch-technische des Reifegradmodells INFRAM würden
Geräte oder auch besonders sensible sich spätestens bei echten Cyber-Atta-
Gesundheitsdaten. cken - oder auch bei neuen Compliance-
Anforderungen aus KritisV und
Erfolgsfaktor branchenspezi- PDSG - zeigen. Durch einen risi-
fische Praxiserfahrung kobasierten Reifegrad-Ansatz
Vor allem Erfahrung und Praxisbezug lässt sich dies vermeiden.
sind bei der Bewertung von aktuel-
len technischen und organisatorischen
Maßnahmen entscheidende Faktoren:
Funktionieren die Notfall-Prozesse in
realistischen IT-Ausfall-Szenarien? Sind
die organisatorischen Strukturen intern
und darüberhinaus (LKA, Katastrophen-
schutz, BSI) dokumentiert, etabliert,
erprobt? Decken die eingesetzten Tech-
nologien die identifizierten Risiken tat-
sächlich auch ab? Die Beantwortung die-
ser Fragen ist definitiv nicht trivial, wie
bspw. die "Stabsrahmenübung Cybersi-
cherheitsvorfall" des Vivantes Klinikums
in Berlin zeigt [6]: Diese Übung wurde
ganze sechs Monate vorbereitet unter
Einbeziehung der IT, unterschiedlicher
Medizinbereiche, des LKA und sogar des Michael Watzl ist Geschäftsführer der CyberSecurity manufaktur mit ebenso
Katastrophenschutzes. In der Realität langjähriger Cyber-Security-Erfahrung, bspw. zu Security-Awareness,
eines Cyber-Notfalls steht deutlich weni- IT-Security-Technologien und strategischer Cyber-Security-Planung.
ger Vorbereitungszeit zur Verfügung! m.watzl@cybersecurity-manufaktur.com , cybersecurity-manufaktur.com
Krankenhaus-IT Journal 6 /2020
033
