Zum mittlerweile sechsten Mal trafen sich in Dresden Informations-Sicherheitsbeauftragte und Sicherheits-Experten aus Krankenhäusern zum „KRITISchen Stammtisch“. Im Mittelpunkt der Gesprächsrunde standen insbesondere Tipps für den Fokus auf Kernprozesse, den Antrag auf Fördergelder und den Umgang mit Prüf-Ergebnissen.
Rund drei Dutzend Teilnehmer trafen sich kürzlich zum Informations- und Erfahrungsaustausch zum „KRITISchen Stammtisch“ in der sächsischen Elbmetropole. Viele Kliniken haben sich schon intensiv auf den Stichtag Ende Juni vorbereitet, ihre ersten internen Audits teilweise bereits weitgehend hinter sich und weitere Schutzmaßnahmen getroffen. Vertreter einiger betroffener Häuser standen in Dresden Rede und Antwort. Aber es gibt noch Unsicherheiten. So müsse klar sein, dass Prüfer, die nach B3S (Branchenspezifischen Sicherheitsstandards) vorgehen wollen oder sollten, nach wie vor auf die endgültige Fassung der Durchführungsverordnung warten müssen – obwohl im April 2019 die Auditierungen offiziell beginnen sollen. Zwar muss die Auditierung nicht nach den B3S vorgenommen werden, bietet allerdings den Vorteil, den neusten Stand der Technik in Kliniken höchstmöglich zu berücksichtigen.
80 Prozent Klarheit
Angesichts des nahenden Stichtags zur Jahresmitte rät Stammtisch-Mitinitiator Konrad Christoph zu Pragmatismus: „Jetzt handeln mit 80 Prozent Klarheit ist besser als bis zum Schluss zu warten und dann womöglich mit leeren Händen dazustehen.“ Besser, so Christoph, mit dem Entwurf des B3S loslegen als gar nicht. Der KRITIS-Fachexperte arbeitet bei der SHD System-Haus-Dresden GmbH als Teamleiter Gesundheitswesen und bündelt mit dem von ihm mitinitiierten Stammtisch inzwischen reichlich Branchen- und Sicherheits-Kompetenz.
Er empfiehlt denn auch Gelassenheit und den Blick aufs Wesentliche. Zum Beispiel Fördermittel zu beantragen. So berücksichtige der im neuen Pflegepersonal-Stärkungsgesetz ausgewiesene Strukturfond mit einer Laufzeit von vier Jahren (von 2019 bis 2022) auch Mittel für Verfahren und Maßnahmen im Bereich BSI Kritisverordnung. Auf Bundesebene werden jährlich 500 Millionen Euro aus der Liquiditätsreserve des Gesundheitsfonds bereitgestellt – ein Teil davon stehe für Vorhaben zur Verbesserung der informationstechnischen Sicherheit der Krankenhäuser zur Verfügung. Wobei der jeweilige Landeshaushalt zusätzlich 50 Prozent als Co-Finanzierung aus eigenen Mitteln aufbringen müsse. Nach Erscheinen der Verwaltungsvorschrift liegt es Christoph zufolge nun auch an der Kreativität der Häuser, diese Fördergelder entsprechend der zeitlichen Vorgabe zu beantragen.
Mängelliste mit Prüfer diskutieren
Fachlichen Austausch über Maßnahmen zur Absicherung von Infrastrukturen bot der „6. KRITISche Stammtisch” über die Referenten Frank Engelking, ISB beim Carl-Thiem-Klinikum Cottbus und Sebastian Junge, ISB der Heinrich-Braun Klinikum gemeinnützige GmbH (HBK). Hierbei hielt Junge fest, dass das HBK einen Nachweis beim BSI durch eine Kombination aus branchenspezifischem Sicherheitsstandard und der ISO/IEC 27001 anstrebt.
Laut Engelking ist zu erwarten, dass es beim Audit eine Mängelliste geben werde, die mit dem Prüfer diskutiert werden könne. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) muss die kommentierte Mängelliste vorgelegt werden. Das BSI erhält durch den Eingang der Prüfberichte einen generellen Überblick der Informationssicherheit in der Branche und werde darüber hinaus voraussichtlich stichprobenartig mit einigen Einrichtungen in Kontakt treten. Zukünftig könne das BSI einen Sachstand über die KRITIS-Fortschritte aufbauen.
BSI zu meldepflichtigen Vorfällen
René Salamon, Sektorverantwortlicher Gesundheit beim Bundesamt für Sicherheit in der Informationstechnik, gab Einblicke dazu, welche Vorfälle überhaupt gemeldet werden müssen. Ziel sei es, sich anhand der Menge und Inhalte der Fehlermeldungen ein Lagebild von besonders gefährdeter IT-Security der Hard- und Software zu schaffen, die entsprechenden Hersteller zu identifizieren und auf diese zuzugehen, um die Fehler zu beheben. Denn nicht selten ist es der Fall, dass Sicherheitsmängel in den Produkten von den Betreibern nicht kompensiert werden können, sondern herstellerseitig abgestellt werden müssen.
Salamon warb dafür, dem BSI im Störungsfall zu vertrauen. Die Anonymisierung von Daten sei möglich, es werde nichts passieren, was meldende Häuser diskreditiere. Ansonsten gehe es im ersten Schritt des KRITIS-Prüfverfahrens nicht um „Bestanden“ oder „Nicht bestanden“, sondern um Sensibilisierung anhand der Mängelliste, sowie die Initiierung eines Veränderungsprozesses.
Management gerät unter Druck
Ein Management, das bis dato noch immer keine Budgets freigestellt oder Fördermittel initiiert habe, gerate spätestens mit der Vorlage des Prüfberichts endgültig unter Druck. Generell begrüßte Salamon die bereits bestehende sowie die absehbare Kooperation zwischen Kliniken und BSI, nur so sei die Sicherheit kritischer Infrastrukturen sinnvoll zu erarbeiten und letztlich von Erfolg gekrönt.
Der nächste „KRITISche Stammtisch“ der SHD GmbH wird am 11. September 2019 stattfinden. Schwerpunkt-Themen sollen dann die Auswertung der Audits und Strategien für das Abarbeiten der Mängellisten sein.
Kritische Infrastrukturen (kurz KRITIS): Der Schwellenwert zur Identifikation kritischer Infrastrukturen im Bereich der Krankenhäuser wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf 30.000 vollstationäre Behandlungsfälle pro Jahr festgelegt. Dieser Schwellenwert bezieht sich auf das Vorjahr. Gemäß der BSI-KRITIS-Verordnung haben Krankenhäuser jeweils bis zum 31. März zu prüfen, ob sie diesen Schwellenwert erreichen oder überschreiten. In diesem Fall sind sie aufgefordert, eine entsprechende Meldung an das BSI zu übermitteln.