Neue Gesetze und Verordnungen nehmen Krankenhaus- und Klinikbetreiber in Sachen Informations- und IT-Sicherheit in die Pflicht zu deren Umsetzung. Risiken müssen strukturiert bewertet und Gegenmaßnahmen gesteuert werden. Die Herausforderungen liegen dabei vor allem in heterogenen Systemen, Wissens- und Zuständigkeits-Silos sowie in den vorhandenen Denkmustern begründet. Ein Information Security Management System (ISMS) kann hierzu bestehende Standards (ISO-Bestimmungen, IT-Grundschutz, etc.) nutzen und neue schaffen.
Die Digitalisierung im Healthcare-Sektor bringt zahlreiche Vorteile: einen schnelleren Datenaustausch, weniger Medienbrüche dank Wegfall von Zettelwirtschaft, eine durchgängige Patientendokumentation und eine vereinfachte Organisation. Gleichzeitig gehen mit ihr aber auch Risiken einher: Durch die Nutzung und Vernetzung von IT-Systemen entstehen Angriffsflächen für Cyber-Attacken, Störungen und Manipulationen.
Daher wird es auch in Krankenhäusern und Kliniken immer wichtiger, die Informations- und IT-Sicherheit von Systemen und Medizingeräten zu gewährleisten. Gesetzliche Regularien machen dies zur unabdingbaren Notwendigkeit: Das Patientendatenschutz-Gesetz (PDSG), der neue § 75c im Sozialgesetzbuch (SGB V), das BSI-Gesetz (BSI Kritis-Verordnung) und der branchenspezifische Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft (DKG) stellen Regeln auf, die berücksichtigt werden müssen.
Dazu gehören zum Beispiel „nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele“ für informationstechnische Systeme, Komponenten oder Prozesse. Krankenhäuser und Kliniken benötigen hierfür ein System zur Angriffserkennung, das den laufenden Betrieb überwacht und auswertet: ein ISMS.
Informationssicherheit zuverlässig gewährleisten
Als Rahmenwerk umfasst und organisiert ein ISMS alle Prozesse, Richtlinien, Verfahren und Technologien, um Informationen vor Bedrohungen wie Hackerangriffen, Malware, Phishing-Mails und internen Missbrauch zu schützen. Kernbestandteile sind ein Dokumentenmanagement und idealerweise eine Prozess-Engine.
Die Dokumentenpyramide bildet die hierarchische Struktur der schriftlich fixierten Ordnung ab; operative Kontrollen sorgen dafür, dass sie korrekt umgesetzt werden. Dabei erstreckt sich der Geltungsbereich auf den Betrieb, die Projekte, aber ebenso auch auf die Partner und Lieferanten. In der Regel obliegt die Gesamtverantwortung für das ISMS der Geschäftsleitung bzw. einem Scope-Verantwortlichen. Von der Verwaltung bis zum Techniker sind alle mit involviert.
Ein ISMS wie Airit One setzt eine Rollenklärung durch und weist Aufgaben klar zu. Niemand kann sich mehr als nicht zuständig erklären. Templates, Leitlinien und Prozesse sind nach den internationalen Standards ISO/IEC 27001 oder NIST SP 800-53 aufgebaut – bei korrekter Anwendung genügen sie den Normanforderungen.
Die Herausforderungen
Ein ISMS im Klinikumfeld zu implementieren und die Sicherheitsanforderungen umzusetzen, ist in der Praxis jedoch nicht einfach: Eine große Hürde stellen die vorhandenen Denkmuster dar, die sich in der Organisation widerspiegeln. In der Vergangenheit wurde die IT als notwendiges Übel wahrgenommen, weit weg vom Business und dem Patienten.
Deswegen investierten Krankenhäuser lieber in Beton als in die IT. Außerdem stehen organisatorische Trennungen zur Medizintechnik bis heute einem ganzheitlichen Managementsystem im Wege. Dies manifestiert sich in getrennten Berichtslinien, Zuständigkeiten, einer uneinheitlichen Sicht auf Technikrisiken und letztlich auch in einer gewissen Betriebsblindheit. Der Gedanke, dass IT-Sicherheit am Ende Patientensicherheit bedeutet, ist in diesem Umfeld hingegen neu.
Hinzu kommen Hemmnisse in Form von heterogenen Systemlandschaften und Daten-Silos. Das Knowhow zu den historisch gewachsenen Systemen wird häufig in Kopfmonopolen vorgehalten. Zwar sind die zentralen Datenbanken zu Krankenhaus-Informationssystemen (KIS) und den PACS (Picture Archiving and Communication System) noch bekannt. Schwammig wird es aber bei der Einbindung externer Partner oder Schattenkopien in Subsystemen.
Außerdem fehlen Standards: Die Ursache liegt hier in der zweckgebundenen Zertifizierung der medizinischen IT. Sie bezieht sich auf ein vernetztes Gesamtsystem. Der Medizintechnik-Experte baut die enthaltene Commodity IT in dem Glauben mit auf, ein in sich geschlossenes Verfahren zu installieren. Wegen scharfer Gewährleistungsbestimmungen oder der Zertifizierungen darf das System nicht verändert werden.
Das hat jedoch zur Folge, dass Standard-Betriebssysteme und Netzkomponenten in einem medizinischen System entstehen, die seit Jahren keine Patches erhalten haben und keinen Schadcode-Schutz besitzen. Speziell die bildgebende Diagnostik setzt auf standardisierte Windows-Server mit einhergehenden Angriffsflächen für Hacker oder Schadcode. Diese Medizintechnik wird dann als Black-Box mit dem Krankenhausnetz verbunden.
Ein ISMS implementieren
Aus diesen Gründen ist es wichtig, dass Zuständigkeitsgrenzen aufgebrochen und entlang der Datenflüsse einheitliche Bewertungsstandards angelegt werden. Schutzbedarfsanalysen und Datenschutz benötigen allesamt einheitliche, nachvollziehbare Maßstäbe. Die Einführung eines ISMS beginnt deswegen mit einer Prozessanalyse. Leitfragen unterstützen dabei, die richtigen Maßstäbe beim Schutzbedarf von Systemen und Komponenten anzulegen. Wichtige und maßgebliche Fragestellungen lauten dabei:
- Welche Prozesse sind besonders schützenswert?
- Wo befinden sich deren Informationen?
- Welche Sicherheitslösungen sind bereits im Einsatz?
- Wie sind die Grundwerte der Informationssicherheit (Integrität, Verfügbarkeit, Vertraulichkeit) zu bewerten?
Die Phasen der ISMS-Einführung sind mit klaren Rollen und Funktionen hinterlegt. Stringente Projektmethoden führen zu schnellen Umsetzungserfolgen. Bei der Einführung werden Projektsicht und Betrieb gleichermaßen berücksichtigt, sodass der Übergang in den Betrieb nahtlos erfolgen kann: Funktionen und Rollen im Projekt lassen sich in der Betriebsphase einfach weiterführen. Personen können sich ändern, Funktionen und Rollen bleiben bestehen.
Workflows, Funktionen und Features
Ein effizient arbeitendes ISMS beinhaltet die Einbeziehung neuer Assets samt Anforderungsmanagement. Informations- und Datenschutzbeauftragte werden eingebunden, die Verantwortlichkeit fachlich und technisch definiert, Außerdem werden Schutzbedarfsanalysen und Wiederanlaufparameter festgelegt und genehmigt.
Vor allem die durch ein ISMS erzielte Prozessautomation sorgt wiederum für Akzeptanz, da dadurch Aufwände vermieden und die zum Betrieb eines ISMS nötigen Ressourcen geschont werden. Nicht nur die Bearbeitung von Vorfallsmeldungen, sondern auch wiederkehrende Audits und Kontrollen sowie deren entsprechende Vor- und Nachbereitung stehen dabei im Fokus der Befürchtung von Mitarbeitern, dass diese Aufgaben möglicherweise sehr aufwändig wären. Befürchtungen vor einer Zunahme an Aufwand für die zuständigen Mitarbeiter kann ein ISMS aber durch einen effizienten Betrieb zerstreuen.
Prozesseffizienz heißt in diesem Zusammenhang, dass eine erzeugte Vorfallsmeldung geringen Aufwand bedeuten muss und somit keine Hemmschwelle zur Bearbeitung eines Vorfalls darstellen darf: Die verantwortlichen Stabsfunktionen werden automatisch einbezogen, der Vorfall wird klassifiziert und der Risikoprozess initiiert. Es erfolgt eine stringente Dokumentation inklusive der Kommunikation sowie eine Dokumentation für Meldungen an Aufsichtsbehörden bei besonders kritischen Vorfällen. Zum Risikomanagement gehört die Bewertung der Kritikalität, die Initiierung möglicher Folgemaßnahmen in Abhängigkeit zur gewählten Risikobehandlungsmethodik sowie ebenfalls die ausführliche Dokumentation.
Eine Automatisierung erfolgt durch die Zuweisung nachvollziehbarer Aufgaben an die Verantwortlichen mit Bearbeitungszeitraum. Erfolgt keine Reaktion, kann das System über Risikoschwellen automatisch entlang der Hierarchie eskalieren. Damit unterliegt Informationssicherheit keinen Zufällen mehr. Das ISMS stellt zudem automatische Inhalte in Abhängigkeit zum Workflowfortschritt zur Verfügung.
Auch hier erfolgt eine stringente Dokumentation samt revisionssicherer Historie aller Aktivitäten. Der Umsetzungsgrad der geforderten Maßnahmen wird durch die Hinterlegung eines Reifegradmodells transparent. Außerdem stellt das ISMS automatische Hinweise zur Bearbeitung abhängig vom Bearbeitungsstand zur Verfügung.
Auch der kontinuierliche Verbesserungsprozess wird umgesetzt: Die Projektpläne zur Initiierung eines ISMS sind mit einem Maßnahmenset wie Mindestanforderungen und Best Practices verknüpft. Die Aufgaben werden stringent über die Projektlaufzeit hinaus dokumentiert. Für geforderte, regelmäßige und der Norm entsprechende Aktivitäten stehen entsprechende Aufgaben bereit.
Die Vorteile eines ISMS
Maßgeschneiderte ISMS können häufig hohe Projektkosten bedeuten, werden dann aber oft nicht vollständig akzeptiert bzw. gehen nicht richtig in den Regelbetrieb, weil sich während des Projekts z.B. die Prioritäten und Zuständigkeiten verändern. Sie scheitern in solchen Fällen an Zuständigkeiten, Fehl-Einschätzungen und fehlendem Durchhaltevermögen. Als schlüsselfertige „Lösung as a Service“ ist bspw. Airit-One sofort einsatzbereit: Die Implementierung kann in kurzer Zeit erfolgen, da durch ein fit-to-standard Verfahren Grundsatzdiskussionen vermieden werden können.
Projekte lassen sich durch die Methodenexpertise beschleunigen, indem ISMS-Experten in der standardisierten Projektmethodik direkt unterstützen können. Plattform, Beratung und Support stammen zudem aus einer Hand. Nachvollziehbare Prozessschritte erlauben eine Standardisierung und damit eine Automatisierung des Workflows. Die Entpersonalisierung stellt schließlich die geforderte Informationssicherheit her, indem nicht mehr Personen, sondern Funktionen in der Verantwortung sind.
Insgesamt ordnet ein ISMS die Ressourcen und ermöglicht transparente Entscheidungen auf fundierten Informationen. Die Orientierung an Normen hilft, die Finanzmittel für die echten Risiken einzusetzen. Missstände – eine Firewall fürs Rechenzentrum, wenn die Daten in der Cloud liegen oder nicht abgeschlossene Türen im Rechenzentrum – kommen immer ans Tageslicht. Dies erzeugt Rechtssicherheit für Geschäftsführung und Vorstand.
Mit einem ISMS können Krankenhäuser und Kliniken Datenschutz-, Qualitäts- und Risikomanagement unter einen Hut bringen und den gesetzlichen Anforderungen für IT- und Informationssicherheit genügen. Sinnvoll ist dabei eine schlüsselfertige Lösung, die schnell sowie aufwandsarm in Betrieb gehen kann. Sie bringt Missstände, Schwächen sowie Optimierungsbedarfe der Informationssicherheit ans Tageslicht, bildet die Basis für tragfähige Entscheidungen und sorgt am Ende durch klare Zuständigkeiten und definierte Prozesse samt Dokumentation für die Rechtssicherheit.
Tim Cappelmann ist Managing Director bei der Airitsystems GmbH.