Was bringt der kürzlich veröffentlichte, branchenspezifische Sicherheitsstandard für Krankenhäuser? In seinem Gastbeitrag wirft Frederik Humpert-Vrielink, Geschäftsführer der CETUS Consulting GmbH, einen kritischen Blick auf den Standard und seine Auswirkung für Krankenhäuser.
Gastbeitrag von Frederik Humpert-Vrielink
Mit der Veröffentlichung des branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser liegt seit Kurzem der Standard für IT-Sicherheit im Krankenhaus vor. Damit sollte endlich Klarheit in die Fragen vieler Krankenhäuser und Ihrer IT-Abteilungen kommen, welche Anforderungen nach dem IT-Sicherheitsgesetz konkret umzusetzen sind. Offen gesagt: Aus Sicht des Autors ist der Standard spät dran, da – zumal vom Bundesamt für Sicherheit in der Informationstechnik noch nicht freigegeben – dieser Standard für Krankenhäuser eine wichtige Stütze für eine ressourcenschonende Umsetzung darstellt. Der lange Weg zum vorliegenden Dokument hat wertvolle Zeit gekostet und letztlich viele Krankenhäuser auch wertvolles Geld.
Aber ebenfalls herauszustellen ist: Mit dem Standard sind der Geltungsbereich des Sicherheitsmanagements für Informationstechnologie, die notwendigen Anforderungen an das ISMS und die technischen und organisatorischen Maßnahmen ganz klar definiert.
Risikomanagement
Wie zu erwarten war, ist der Kern des B3S das Risikomanagement für die Informationsverarbeitung. Dies jedoch nicht aus der Sichtweise des Rechenzentrums oder der IT allein, wie viele in der Vergangenheit angenommen haben. Vielmehr kommt – gerade im Krankenhaus – die klinische Sicht ins Spiel und die Risiken sind nach den folgenden Schutzzielen zu bewerten: Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit (soweit der Gesetzgeber) und aufgrund der hohen Anforderungen an die Krankenversorgung auch nach Patientensicherheit und Behandlungseffektivität (B3S – Kapitel 4). Damit finden sich erstmal nicht nur die Schutzziele der ISO 27001 in einer Umsetzung für die IT wieder, sondern auch die Schutzziele der DIN 80001-1, die das Risikomanagement für medizinische IT-Netze umfasst. Die sonstigen Anforderungen an das Risikomanagement sind nicht neu, stellen aber Krankenhäuser, die bisher keine oder kaum Berührungspunkte mit der ISO 9001 hatten, sondern eher KTQ orientiert sind, auf eine harte Probe. Hier könnte die Zeit knapp werden. Es wäre möglicherweise hier zu empfehlen, mit Mängeln direkt offen umzugehen.
Auch diejenigen Krankenhäuser, die bisher im Risikomanagement eher pragmatisch orientiert waren, werden sich an den mehr als 30 Muss-Anforderungen des B3S einer Rosskur unterziehen müssen. Es wird nicht einfach, aber auch klar ist, dass ein „weiter so“ jetzt nicht mehr geht.
Geltungsbereich
Auch für den Geltungsbereich des Managementsystems für Informationssicherheit schafft der B3S Klarheit. Der Prozess der kritischen Dienstleistung (kDL) medizinische Versorgung wird von der Aufnahme des Patienten bis zur Entlassung mit allen dazugehörigen Prozessbereichen definiert. Vereinfacht umfasst diese kDL das gesamte Krankenhaus mit Apotheke, Medizintechhik und Laboren ohne diejenigen Bereiche, die nicht für die medizinische Versorgung direkt notwendig sind.
Abrechnung, Buchhaltung oder Personalbereiche können und sollten hier mit Nachrang behandelt werden und sind für die Nachweisprüfung nach §8a nicht notwendig. Gleiches gilt für die häufige Konstellation, dass einem Krankenhaus ein Pflegedienst, Wohnstifte oder weitere Pflegereinrichtungen zugeordnet sind. Die profitieren zwar vom B3S sind von diesem jedoch nicht umfasst.
Neben der Bedrohungs- und Gefährdungsszenarien, die für die allgemeine Risikoanalyse der Basis- und speziellen Infrastruktur herangezogen werden können, ist der B3S insbesondere bei den Maßnahmen noch einmal sehr klar. In über 130 teils sehr konkret beschriebenen Maßnahmen werden wertvolle Hinweise gegeben, welche Maßnahmen ein Krankenhaus vor dem Hintergrund seiner Kritikalität umzusetzen hat.
Mehr als 90 dieser Maßnahmen sind klar mit „Muss“ gekennzeichnet und nehmen die Geschäftsführung des Krankenhauses in die Pflicht. So müssen kritische Prozesse definiert und mit den Risikoeignern abgestimmt sein. Auch müssen Änderungsmanagementprozesse so implementiert sein, dass die Auswirkungen auf die Versorgung berücksichtigt werden. Diese und viele weitere Anforderungen werden also das sein, was als „Stand der Technik“ für Krankenhäuser gilt oder in streitigen Auseinandersetzungen die Messlatte ist, an die sich Geschäftsführer zu halten haben.
Fazit
Aus unserer Sicht ist der B3S ein großer Wurf – auch wenn er Zeit gebraucht hat. Es ist ein Standard, der die Bedürfnisse der Krankenhäuser abbildet und mit dessen Umsetzung eine Voraussetzung geschaffen wird, die drei Stufen der digitalen Transformation auf eine sichere Basis zu stellen. Insofern hat dieser Standard mehr Nutzen als Kosten, wenn er korrekt angewendet wird.
Auch kleinere Krankenhäuser, die nicht dem BSI-Gesetz unterfallen, sind gut beraten, diesen Standard anzuwenden. Denn wenn zukünftig Fälle eintreten, in denen Schäden entstehen, die bei Anwendung des Standards hätten verhindert werden können, wird dieser Standard die Latte sein, an der Gerichte das Handeln der Manager messen. Auch die fortschreitende digitale Transformation wird viel von diesem Standard profitieren.