In Dresden treffen sich regelmäßig rund zwanzig IT-Sicherheitsbeauftragte mitteldeutscher Krankenhäuser, um sich beim „KRITISchen Stammtisch“ zu informieren. Organisiert wird die Veranstaltung von der SHD System-Haus-Dresden GmbH. Mednic.de war dabei.
Gastbeitrag von Konrad Christoph
Knapp zwanzig IT-Sicherheitsbeauftragte mitteldeutscher Krankenhäuser treffen sich regelmäßig bei den KRITISchen Stammtischen Dresden und sprechen über ihre Erfahrungen zu KRITIS-Themen wie Meldepflichten, Incident Response und Zusammenarbeit mit der Polizei oder Medizintechnik-Herstellern. „Ein regelmäßiger und informeller Austausch ist wichtig, um up to date zu bleiben“, betont Mike Zimmermann, IT-Sicherheitsbeauftragter des Universitätsklinikums Dresden (UKD) die Motivation für den KRITISchen Stammtisch. Denn die Zeit rennt: bis Juli 2019 sind die KRITIS-Anforderungen umzusetzen. Regelmäßig berichtet Mike Zimmermann über die aktuellen Diskussionen und Festlegungen auf Bundesebene und trägt dieses Wissen an alle anderen Stammtisch-Teilnehmer weiter.
So veröffentlichte der Verband der Universitätskliniken beispielsweise im 4. Quartal 2017 die Handlungsempfehlung „IT Sicherheit: allgemeine Grundsätze und Empfehlungen zum Meldewesen nach dem BSI-Prozess“. Mit dieser Grundlage diskutieren die Teilnehmer über den Registrierungsprozess beim BSI, den Meldeprozess bei Störungen sowie die notwendigen Anpassungen der internen Organisationsstruktur und Prozessabläufe.
Immer wieder offene Fragen
Mit der praktischen Umsetzung tauchen bei den Stammtisch-Teilnehmern zunehmend Fragen auf, die im Detail noch zu beantworten sind. Zum Beispiel verzichtet der Gesetzgeber auf eine klare Zeitangabe, bis wann eine IT-Störung zu melden ist. Laut Gesetzestext soll die Meldung unverzüglich erfolgen, das heißt ohne schuldhaftes Zögern. Fakt ist aber, dass die Meldung erst einmal nachrangig gegenüber der Eindämmung der akuten Folgen der IT-Störung ist! Interpretationsmöglichkeiten gibt es auch im Bereich der Meldeverpflichtung: welche konkreten IT-Störungen müssen angezeigt werden? Geschrieben steht, dass alle IT-Störungen zu melden sind, die zu einem Ausfall oder der Beeinträchtigung der Versorgungsdienstleistung geführt haben. Wir empfehlen: „Besser eine IT-Störung mehr melden, als zu wenig!“
Mitarbeiter mitnehmen
„Neben formalen Regelungen und technischer Aufrüstung ist es ganz besonders wichtig, die Mitarbeiter mitzunehmen. Deshalb setzen wir auf nachhaltige User-Awareness-Konzepte“ ergänzt Mike Zimmermann. Seiner Erfahrung nach dauert es bei einem Cyberangriff leider oft viel zu lange, bis Mitarbeiter die notwendigen Schritte einleiten. Die Unsicherheit ist groß. Kaum ein Kollege weiß, dass es im Fall des Falles sinnvoll ist, die Polizei zu alarmieren. Dabei hilft die Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts mit IT-Sachverstand bei der Suche nach dem Täter und dem Einfallstor.
Die Polizei einbinden
Jedes Bundesland hat eine Zentrale Ansprechstelle Cybercrime (ZAC) eingerichtet – und trotzdem werden nur wenige Vorfälle zur Anzeige gebracht. Ist der Aufwand zu groß? Wird die Chance, den Täter zu finden, für zu gering gehalten? Oder sitzt die Angst, dass ein Angriff oder Datenklau öffentlich bekannt wird, bei vielen Unternehmen zu tief? Auch das sind Themen auf dem Stammtisch.
„Die Gründe sind vielfältig, aber haltlos“ erklärt Silvio Berner, Kriminalkommissar des Cybercrime Competence Centers Sachsens. Denn die Beamten sichern beispielsweise den diskreten Umgang mit Angriffsfällen zu. Um die Erfolgsrate zu verdeutlichen und die Angst vor hohem Arbeitsaufwand zu nehmen, sprechen sich die Firmen idealerweise proaktiv mit der ZAC des Landeskriminalamtes persönlich ab und lassen sich beraten, was im Ernstfall zu tun ist. Silvio Berner empfiehlt die Erstellung einer „IT-Laufkarte“. So sind alle notwendigen Informationen auf einen Blick verfügbar: Alarmierungsprozess, Meldeketten, Eskalationsplan.
Medizintechnik im Spannungsfeld gesetzlicher Verordnungen
Nicht zuletzt tritt zum 26. Mai 2020 mit der Medizinprodukte-Verordnung (Medical Device Regulation, MDR) eine weitere gesetzliche Regelung in Kraft, die im Zusammenhang mit Security-Konzepten schon heute zu beachten ist. Im Artikel 2, Absatz 17.2 heißt es: „Bei Produkten, zu deren Bestandteilen Software gehört, oder bei Produkten in Form einer Software wird die Software entsprechend dem Stand der Technik entwickelt und hergestellt, wobei die Grundsätze des Software- Lebenszyklus, des Risikomanagements einschließlich der Informationssicherheit, der Verifizierung und der Validierung zu berücksichtigen sind.“
Damit taucht der Begriff „Informationssicherheit“ erstmalig in einer Verordnung zu Medizinprodukten auf und unterstreicht so die Bedeutung der Verknüpfung von KRITIS und MDR. Dabei liegt die Verantwortung für den rechtskonformen Einsatz stets beim Betreiber, nicht beim Hersteller – der allerdings den Stand der Technik bestimmt.
Professor Jens-Uwe Kliemann, Leiter der Abteilung Medizin- und Informationstechnik des Städtischen Klinikums Dresden, fasst seine aktuellen Erkenntnisse bezüglich MDR und KRITIS zusammen:
- Die Grundwerte der Medizinproduktesicherheit – Patientensicherheit, Funktionssicherheit, Interoperabilitätssicherheit, Anwendungssicherheit – sind innerhalb des IT-Sicherheitsgesetzes unbedingt zu berücksichtigen.
- „Medizinprodukte-Sicherheit“ und „Informations-Sicherheit“ wachsen zusammen, d.h. die Organisationsstruktur muss angepasst werden.
- Da der gesamte Lebenszyklus eines Medizinproduktes den Grundwerten entsprechen muss, spielt bereits beim Beschaffungsprozess eine entscheidende Rolle. Die Anbieter sollten ganz konkret zur Cyber Security befragt werden. Nachgewiesen werden sollte eine dedizierte Sicherheitsstrategie von der Entwicklung bis zum sicheren Betrieb des Medizinproduktes.
- Für die Einbindung der Medizinprodukte in IT-Netzwerke ist unbedingt ein Risikomanagement entsprechend DIN EN 80001 nachzuweisen.
Infos für alle Kliniken zugänglich
Cyberkriminalität beschränkt sich nicht auf KRITIS-Kliniken. Da jedes Krankenhaus angegriffen werden kann, stellen die Veranstalter die gewonnenen Erkenntnisse ab 2018 auf der Homepage shd-online.de/kritis/kh auch allen anderen Kliniken zur Verfügung. Der nächste KRITISche Stammtisch findet am 24. April 2018 in Dresden statt. Bei Interesse wenden Sie sich gerne direkt an mich: konrad.christoph (at) shd-online.de