ISMS in Krankenhäusern – Kritische Infrastruktur?
Was ist eine kritische Infrastruktur?
Das Bundesinnenministerium beschreibt in seinem Strategiepapier „Nationale Strategie zum Schutz kritischer Infrastrukturen (KRITIS-Strategie)“ die kritischen Infrastrukturen in Deutschland. Kritische Infrastrukturen (KRITIS) sind dabei solche Einrichtungen, die wesentlich zur Aufrechterhaltung wichtiger gesellschaftlicher Funktionen beitragen. Dabei unterscheiden sich die KRITIS in zwei wesentliche Gruppen: technische Basisinfrastrukturen und sozioökonomische Dienstleistungsinfrastrukturen.
Zu den technischen Basisinfrastrukturen zählen Energie- und Trinkwasserversorgung, Informations- und Kommunikationsnetzwerke sowie Transport- und Verkehrswege. Sozioökonomische Dienstleistungsinfrastrukturen fassen öffentliche, politische und juristische Einrichtungen des Staates, das Gesundheitswesen, einschließlich Notfall- und Rettungswesen, das Finanz- und Versicherungswesen sowie Medien und Kulturgüter zusammen. Damit fällt auch die Versorgung durch Krankenhäuser in den Bereich der kritischen Infrastruktur.
Betreiber sind für den Schutz selbst verantwortlich
Ein Ausfall oder eine Beeinträchtigung der oben genannten Bereiche hätte weitreichende Folgen für die Bevölkerung und die Gesellschaft allgemein. Diese Infrastrukturen zu schützen – vor sämtlichen Gefahren von Naturkatastrophen über technisches und menschliches Versagen bis zu Sabotage, kriminellen und terroristischen Aktionen – ist daher eine wichtige und entscheidende Aufgabe, wie sie auch in der EU-Richtlinie 2008/114/EG angesprochen und für Deutschland im oben genannten Strategie-Papier des Bundesinnenministeriums näher beschrieben wird.
Demnach sind zunächst die Betreiber und Versorger für den Schutz selbst verantwortlich. Dazu angehalten werden sie über diverse Gesetze. Beispielsweise sind die deutschen Energieversorger nach der Novelle des Energiewirtschaftsgesetzes (EnWG) angehalten, ein Managementsystem für Informationssicherheit (ISMS) nach ISO 27001 einzuführen, um besser gegen mögliche Cyber-Attacken und andere Gefahren der IT-Sicherheit gewappnet zu sein.
Mit der neuen EU-weiten Datenschutzgrundverordnung (DSGVO) soll zudem die Qualität in Sachen Datenschutz deutlich erhöht werden. Hiernach müssen alle personenbezogenen Daten ausreichend geschützt werden. Die Regelungen müssen die Unternehmen bis zum 25. Mai 2018 verbindlich umgesetzt haben. Gerade die sensiblen Daten von Versicherungen, Banken, juristischen Einrichtungen, Krankenhäusern und anderen öffentlichen Einrichtungen sind hier betroffen.
Informationssicherheit und Datenschutz für Krankenhäuser
Es steht außer Frage, dass auch Einrichtungen wie Krankenhäuser, Rettungsdienste, Hilfswerke, Polizei und Feuerwehr zu KRITIS bestimmt werden und mit entsprechenden Gesetzen analog zu den Energieversorgern ihre Qualität in Sachen Abwehr von Cyber-Attacken und Ausfall ihrer IT erhöhen müssen. Nicht zuletzt haben die Ereignisse um die virusbedingten Ausfälle der Krankenhaus-IT in Großbritannien vor einigen Wochen die Problematik aufgezeigt.
Daher sollten sich Krankenhäuser schnellstmöglich mit einer Verbesserung ihres IT Managementsystems allgemein und der ISMS im Besonderen beschäftigen. Die Verpflichtung, ein ISMS einzuführen, ist nur eine Frage der Zeit. Krankenhäuser sollten zügig eine Risikoeinschätzung ermitteln und einen Plan für eine Verbesserung ihrer IT-Sicherheit aufstellen.
Wichtig hierbei ist vor allem, dass in allen Fällen die Einsatzfähigkeit erhalten bleibt. Eine Notfallsituation, in der die Versorgung durch das Krankenhaus besonders gefordert ist, darf beispielsweise durch einen gleichzeitigen Hackerangriff nicht zusätzlich eskalieren. Die IT-Infrastruktur muss zu jeder Zeit und ganz besonders im Katastrophenfall einwandfrei funktionieren. Die Abwehr von Cyber-Attacken muss im Bereich der IT-Sicherheit auch für Krankenhäuser einen hohen Stellenwert einnehmen.
Unser Angebot
Wir unterstützen Krankenhäuser und andere Betreiber oder Versorger einer kritischen Infrastruktur, Sicherheitsrisiken zu erfassen und mögliche Ursachen für Schäden und Störungen zu erkennen. Mit unserer Hilfe wird die bestehende Situation analysiert und bewertet, anschießend erarbeiten wir zusammen einen Plan für die Verbesserung der (informations-)technischen und organisatorischen Sicherheitsmaßnahmen.
Dabei werden Risiken unter einem ganzheitlichen Managementansatz erfasst und bereits im Vorfeld eines eintretenden Ereignisses hinreichend beschrieben. Damit ist eine bestmögliche Vorbereitung auf den Krisen- oder Katastrophenfall möglich. Mit unserer Hilfe stellen Sie eine sichere Handlungsweise in Ihrem Hause sicher und Sie sorgen für eine zuverlässige Infrastruktur.
Bildnachweis: (C) Free-Photos, CC0 v1.0, Pixabay
[…] Bestandteile dieser Zusatzqualifikation im Bereich Informationssicherheit […]