(Oktober 2019) Das IT-Sicherheitsgesetz des Bundes sowie die BSI-KRITIS-Verordnung fordern den Schutz „kritischer Infrastrukturen“ zur Aufrechterhaltung wichtiger gesellschaftlicher Funktionen. Im Gesundheitswesen haben Krankenhäuser mit über 30.000 stationären Fällen pro Jahr diese Vorgaben zu erfüllen. Auch kleinere Häuser sollten sich zur Sicherstellung ihres Betriebs an den Branchenstandard B3S halten.

Im September fand im City-Center Dresden erneut der KRITISche Stammtisch statt. Die Vertreter aus den Kliniken von sechs Bundesländern und aus Ministerien sowie Auditoren und ISMS-Berater diskutierten aktuelle Schwerpunkte der Informationssicherheit in Kliniken. Im Mittelpunkt der Veranstaltung stand die Auswertung der Audits in den KRITIS-Kliniken.

Die Audits wurden durchgeführt und die Unterlagen eingereicht, doch diese konnten von der zuständigen Behörde vorerst nur auf Vollständigkeit und nicht auf Inhalt geprüft werden. Einig waren sich die Teilnehmer darüber, dass ein Lagebericht zur Gesamtsituation der Informationssicherheit in der Branche durch solche Audits wünschenswert ist. Es stellte sich die Frage, wie die “Behebung der Sicherheitsmängel“ laut Audits konkret finanziert werden soll.

Der KRITISche Stammtisch, eine Initiative mit Ursprung in Dresden, existiert seit 2017. Die darin diskutierten und gewonnenen Erkenntnisse wurden von den Kliniken erfolgreich zur Vorbereitung der Audits integriert und vom Fachgremium als positiv beurteilt. Die Initiatoren – das Universitätsklinikum Carl Gustav Carus Dresden und SHD System-Haus-Dresden GmbH – freuen sich über diese positive Resonanz.

Sebastian Junge, Heinrich-Braun-Klinikum gemeinnützige GmbH, berichtete von den Erfahrungen aus dem Audit in seinem Haus. Junge fasste am Ende zusammen: „Die erfolgreiche Zertifizierung der ISO/IEC 27001 im Heinrich-Braun-Klinikum ist das Ergebnis der sehr guten Zusammenarbeit im gemeinsamen Projekt zwischen HBK und SHD. Insbesondere das seitens SHD eingebrachte fachliche Wissen und die praktischen Erfahrungen über den Aufbau eines ISMS (Informationssicherheits-managementsystem, Grundbestandteil einer KRITIS-Strategie), haben wesentlich zum Projekterfolg beigetragen.“

Konrad Christoph, Teamleiter Gesundheitswesen bei SHD, hielt einen Fachvortrag zum Notfallmanagement. Er stellte unter anderem eine Lösung von Intellior in Kooperation mit SHD vor. Mit dieser Lösung ist es künftig möglich, ein komplettes Notfallmanagement in den Krankenhäusern aufzubauen. Christoph betonte in diesem Zusammenhang: „Für die Vertreter in den Kliniken bedeutet das viel Arbeit, doch ein Informationssicherheitsmanagementsystem kommt ohne ein Notfallmanagement nicht aus.“ Dieses Tool wurde speziell zum Notfallmanagement entwickelt und dient als Ergänzung der bereits vorhandenen Produktfamilie, wie beispielsweise Tools für ISMS, DSGVO, QM und Auditmanagement. Damit steigt die Effektivität der Plattform unter anderem durch die gemeinsame Nutzung der Daten. Christoph wies zum Schluss darauf hin: „Die nächsten Kontroll-Audits stehen bereits in zwei Jahren an, deshalb sollten die Kliniken zügig mit der Umsetzung der Maßnahmen beginnen“.

Der Termin für den achten KRITISchen Stammtisch ist für Anfang 2020 in Planung. Diskutiert wird dann der Umgang mit sensiblen Patientendaten in der Cloud, und es werden praktische Umsetzungskonzepte von Sicherheitsmaßnahmen dargestellt. Alle Kliniken sind zum Dialog eingeladen!

Quelle Text: SHD

Quelle Bild: Fotolia/kamasigns