KOSTENLOS STARTEN
dracoon-login-w
Menu
Kostenlos testen
LOGIN
kritis-health-dracoon
Clean & Elegant
Fully Responsive
referenzen-health

Umsetzungs­empfehlung: Stand der Technik – Datenaustausch / File Service

Um „angemessene Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse“ nach dem „Stand der Technik“ nach­weisen zu können, empfehlen wir, Folgendes zu beachten:

In Bezug auf die eingesetzte Software ist es hilfreich, eine Lösung „Made & Hosted in Germany“ wählen. Denn deutsche Anbieter unterliegen den strengen deutschen Datenschutzgesetzen und entsprechen in der Regel zugleich der EU-DSGVO. Relevante Zertifizierungen und Auszeichnungen wie z.B. auch die ISO27001 untermauern die Konformität zusätzlich.

Ebenso spielt die Verschlüsselung eine große Rolle. Beispielsweise nur eine clientseitige Daten­verschlüsselung stellt sicher, dass die Daten bereits am Endgerät verschlüsselt werden. Dadurch hat nicht einmal der Hersteller/Anbieter die Möglichkeit, auf gespeicherte Informationen zuzugreifen. Wichtig – nicht nur im Sinne der EU-DSGVO – ist es außerdem, dass autorisierte Personen jederzeit einsehen können, welche Daten wann von wem bearbeitet wurden. Nur so lassen sich auch unkontrollierte Datenabflüsse erkennen und vermeiden. Ein feingranulares Rechtesystem regelt außerdem detailliert, wer auf welche Daten zugreifen und diese bearbeiten darf.

Äußerst schwierig für KRITIS-Organisationen aus dem Gesundheitswesen wird es allerdings, wenn es zu einem sogenannten Ransomware-Angriff kommt: Dringen Schadprogramme in das interne Netz ein, führt dies zeitnah zu Störungen der IT-Systeme. Die Schutzmechanismen von Computer-Netzwerken müssen darauf ausgerichtet sein, dass ein erfolgreicher Angriff auf ein einzelnes System nicht sofort Auswirkungen auf das gesamte Netzwerk hat. Idealerweise bedient man sich also einer Software, die über einen Ransomware-Schutz verfügt, mittels dem sich geschädigte Daten zeitnah wiederherstellen lassen – am besten ohne das Lösegeld („Ransom“) zu bezahlen.

Allgemein können Betreiber oder ihre Verbände in „branchenspezifischen Sicherheitsstandards“ (B3S) konkretisieren, wie die Anforderungen zum „Stand der Technik“ erfüllt werden können. Solche B3S können dem BSI zur Feststellung der Eignung vorgelegt werden. Eine gesetzliche Pflicht zur Erarbeitung eines solchen B3S besteht nicht. Die Erstellung eines B3S ist für die Branchen jedoch eine Chance, ausgehend von der eigenen Expertise selber Vorgaben zum „Stand der Technik“ zu formulieren. Darüber hinaus gibt er den Betreibern, die sich nach einem solchen anerkannten B3S prüfen lassen, Rechtssicherheit bzgl. des „Stand der Technik“, der bei einem Audit verlangt und überprüft wird.

Barmer_Logo
MRI-klinikum-rechts-der-isar-dracoon
AOK
Sana
HELIOS-Logo
Bayerischer_Landtag_Logo

Testen Sie jetzt DRACOON

Speichern, teilen und verwalten Sie Ihre Daten einfach, schnell und DSGVO-konform 14 Tage kostenlos!

DRACOON testen