Die Einführung eines Information Security Management Systems sei nicht nur für die rund hundert Kliniken in Deutschland bedeutsam, die als „Kritische Infrastrukturen“ eingestuft seien, sagt ein Darmstädter Beratungsunternehmen. Auch andere Betreiber sollten ihre Informationssicherheit erhöhen.
Mit der Änderungsverordnung zum IT-Sicherheitsgesetz vom 30. Juni 2017 und der damit einhergehenden Klassifizierung von rund hundert Krankenhäusern in Deutschland als „Kritische Infrastrukturen“ hat sich die Auseinandersetzung mit den Themen zum Ausbau der Informationssicherheit in fast allen Krankenhäusern intensiviert.
ISMS auch ohne KRITIS-Status
Nur wenigen Verantwortlichen war dahin beispielsweise die Bedeutung der Einführung eines Information Security Management Systems (ISMS) bekannt. Die vertiefte, konkrete Beschäftigung mit den Inhalten führt inzwischen dazu, dass eine Reihe von Krankenhäusern auch ohne akuten KRITIS-Status darüber nachdenken oder bereits konkret planen, ein ISMS in ihrem Haus einzuführen.
Das Darmstädter Unternehmen Adiccon als klinikorientierter ISMS-Berater bietet den Krankenhäusern in diesem Themenumfeld mit verschiedenen Dienstleistungspaketen konkrete Unterstützung an. Das ISMS bildet dabei den Rahmen zur Steuerung und Kontrolle aller Aspekte der Informationssicherheit. Für Kliniken, die knapp unter der „KRITIS-Schwelle“ von 30.000 vollstationären Patienten pro Jahr liegen und möglicherweise demnächst den KRITIS-Status erreichen, ist die Einführung des ISMS nach Einschätzung von Adiccon eine sinnvolle, vorbereitende Maßnahme.
Ganzheitliche Risikobetrachtung
Im Kern werden dabei die Risiken betrachtet, die auf die Unternehmenswerte wie beispielsweise Hardware, Software, Infrastruktur, Personal und immaterielle Werte (Image, Reputation) wirken und hierbei einen oder mehrere der Grundwerte von Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) beeinträchtigen. Als Folge der Risikobetrachtung werden technische, organisatorische und prozessuale Maßnahmen definiert, die grundsätzlich die gesamte Organisation des Krankenhauses einbeziehen.
Zudem wird ein permanenter Bewertungsprozess etabliert, in der Regel mit einer Orientierung an der DIN ISO27001. Einher gehen Verbesserungen innerhalb der Organisation, so beispielsweise der Aufbau einer durchgängigen, strukturierten und vollständigen Dokumentation aller Prozesse, Verfahren und Abläufe.