Mit der voranschreitenden Digitalisierung hat die Informationstechnologie Einzug in unseren Alltag gehalten. Die Verknüpfung von Daten und die Vernetzung von technischen Geräten eröffnen einzigartige Möglichkeiten, Computersysteme zu nutzen.
Das Internet der Dinge und die Industrie 4.0 zeigen das enorme Entwicklungspotenzial, das im digitalen Wandel steckt. Dabei darf jedoch nicht vergessen werden, dass all diese Neuerungen auch mit einem immensen Zuwachs an Sicherheitsrisiken einhergehen. Die zunehmende Vernetzung von IT-Komponenten und daraus erwachsende Abhängigkeiten führen zu einer erhöhten Verletzlichkeit der eingesetzten Systeme. Besonders „kritisch“ ist das für Unternehmen, die eine wichtige Bedeutung für das Gemeinwohl haben.
Unter den Begriff „Kritische Infrastrukturen“ (kurz genannt KRITIS) fallen Organisationen oder Einrichtungen, die eine wichtige Bedeutung für das staatliche Gemeinwesen haben. Kommt es dort zu einem Ausfall oder zu einer Beeinträchtigung mit nachhaltig wirkenden Versorgungsengpässen, sind erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen zu erwarten. Deshalb unterliegen diese Organisationen einem besonderen Schutz, der entsprechende Sicherheitsmaßnahmen erfordert. Neben einer speziellen Cloud für das Gesundheitswesen, verdienen auch die folgenden Punkte besonderen Schutzbedarf.
Generell müssen KRITIS-Betreiber innerhalb von sechs Monaten nach Inkrafttreten der BSI-KritisV eine Kontaktstelle benennen. Es muss sich dabei um ein Funktionspostfach handeln, das durchgehend an 7 Tagen pro Woche 24 Stunden erreichbar ist.
Betroffene Krankenhäuser müssen alle zwei Jahre einen Nachweis über geeignete Vorkehrungen zur Informationssicherheit erbringen.
Spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung (also der BSI-KritisV) müssen „angemessene Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse“ nach dem „Stand der Technik“ getroffen und gegenüber dem BSI nachgewiesen werden.
Liegt eine meldepflichtige IT-Störung vor, muss diese umgehend an das BSI kommuniziert werden.
Um „angemessene Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse“ nach dem „Stand der Technik“ nachweisen zu können, empfehlen wir, Folgendes zu beachten:
In Bezug auf die eingesetzte Software ist es hilfreich, eine Lösung „Made & Hosted in Germany“ wählen. Denn deutsche Anbieter unterliegen den strengen deutschen Datenschutzgesetzen und entsprechen in der Regel zugleich der EU-DSGVO. Relevante Zertifizierungen und Auszeichnungen wie z.B. auch die ISO27001 untermauern die Konformität zusätzlich.
Ebenso spielt die Verschlüsselung eine große Rolle. Beispielsweise nur eine clientseitige Datenverschlüsselung stellt sicher, dass die Daten bereits am Endgerät verschlüsselt werden. Dadurch hat nicht einmal der Hersteller/Anbieter die Möglichkeit, auf gespeicherte Informationen zuzugreifen. Wichtig – nicht nur im Sinne der EU-DSGVO – ist es außerdem, dass autorisierte Personen jederzeit einsehen können, welche Daten wann von wem bearbeitet wurden. Nur so lassen sich auch unkontrollierte Datenabflüsse erkennen und vermeiden. Ein feingranulares Rechtesystem regelt außerdem detailliert, wer auf welche Daten zugreifen und diese bearbeiten darf.
Äußerst schwierig für KRITIS-Organisationen aus dem Gesundheitswesen wird es allerdings, wenn es zu einem sogenannten Ransomware-Angriff kommt: Dringen Schadprogramme in das interne Netz ein, führt dies zeitnah zu Störungen der IT-Systeme. Die Schutzmechanismen von Computer-Netzwerken müssen darauf ausgerichtet sein, dass ein erfolgreicher Angriff auf ein einzelnes System nicht sofort Auswirkungen auf das gesamte Netzwerk hat. Idealerweise bedient man sich also einer Software, die über einen Ransomware-Schutz verfügt, mittels dem sich geschädigte Daten zeitnah wiederherstellen lassen – am besten ohne das Lösegeld („Ransom“) zu bezahlen.
Allgemein können Betreiber oder ihre Verbände in „branchenspezifischen Sicherheitsstandards“ (B3S) konkretisieren, wie die Anforderungen zum „Stand der Technik“ erfüllt werden können. Solche B3S können dem BSI zur Feststellung der Eignung vorgelegt werden. Eine gesetzliche Pflicht zur Erarbeitung eines solchen B3S besteht nicht. Die Erstellung eines B3S ist für die Branchen jedoch eine Chance, ausgehend von der eigenen Expertise selber Vorgaben zum „Stand der Technik“ zu formulieren. Darüber hinaus gibt er den Betreibern, die sich nach einem solchen anerkannten B3S prüfen lassen, Rechtssicherheit bzgl. des „Stand der Technik“, der bei einem Audit verlangt und überprüft wird.
Ist Ihr Krankenhaus von KRITIS betroffen?
Welche Auswirkungen hat KRITIS auf ein Krankenhaus?
Wie gut sind Ihre Maßnahmen auf KRITIS ausgerichtet?
In diesem Whitepaper beschreiben wir übersichtlich, wann ein Krankenhaus von KRITIS betroffen ist, welche Herausforderungen dadurch entstehen und wie man diese lösen kann.
Zudem können Sie anhand unserer Checkliste ganz einfach herausfinden, ob Sie Ihre Daten KRITIS-konform speichern.
Speichern, teilen und verwalten Sie Ihre Daten einfach, schnell und DSGVO-konform 14 Tage kostenlos!
© 2023 DRACOON GmbH
Made in Germany
Tel. +49 (941) 7 83 85-0
