TTS Trusted Technologies and Solutions GmbH

Cyber und Informationssicherheit in der medizinischen Versorgung – Die Herausforderungen einer Branche und ein praktischer Ansatz

StartseiteMedizinische Informationssicherheit NewsCyber und Informationssicherheit in der medizinischen Versorgung – Die Herausforderungen einer Branche und ein praktischer Ansatz

Cyber und Informationssicherheit in der medizinischen Versorgung – Die Herausforderungen einer Branche und ein praktischer Ansatz

Die verstärkte Forderung nach Sicherheit in einem unterfinanzierten System

Es bleibt ungemütlich im deutschen Gesundheitssystem. Nicht, dass es nach Coronapandemie und den geplanten sowie umstrittenen Reformen des aktuellen Gesundheitsministers Karl Lauterbach schon ungemütlich genug wäre. Die Anforderungen an die Informationssicherheit im Gesundheitssektor wurden mit der Verabschiedung des Digital-Gesetzes (DigiG) noch einmal verschärft und treffen nun auch Ärzte und damit kleinere medizinische Versorgungszentren. Mit dem im Digital-Gesetz neu hinzugefügten Absatz drei des § 391 SGB V wird dabei die Möglichkeit für Krankenhäuser und Kliniken, nicht getätigte Investitionen in diesem Bereich zu legitimieren, deutlich eingeschränkt, da Kosten für Maßnahmen zur Absicherung der Informationssicherheit im Verhältnis zum erwarteten Schaden stehen müssen.

Mit der nationalen Umsetzung der EU-Richtlinie NIS2, nach der Kliniken und Krankenhäuser im überwiegenden Fall als besonders wichtige Einrichtungen gelten werden, wird das Thema Informationssicherheit wahrscheinlich auch noch einmal komplexer. Aktuell sehen viele den bürokratischen „Albtraum“ einer Doppelregulierung auf Krankenhäuser und Kliniken zurollen. Die KRITIS-Regelung mit ihren Schwellenwerten für Krankenhäuser und Kliniken wird aller Voraussicht nach bestehen bleiben, ebenso die Vorgaben nach § 391 SGB V, die durch die Umsetzung des branchenspezifischen B3S-Standards erfüllt werden. Ob diese Vorgaben jedoch reichen, um die Vorgaben gemäß NIS2UmsuCG zu erfüllen, oder ob eine alleinige Umsetzung der NIS2UmsuCG- Vorgaben reicht, um die Anforderungen aus § 391 SGB V zu erfüllen, muss sich erst zeigen. Zudem besteht im Rahmen des § 30, Abs. (4) NIS2UmsuCG die Möglichkeit, dass noch zusätzliche Durchführungsrechtsakte der EU festgelegt werden, die dann genauere Anforderungen an die Umsetzung entsprechender Maßnahmen vorgeben. Fest steht jedoch, dass sowohl durch die Aktualisierung der ISO/IEC 80001-1, welche wir im zweiten und dritten Teil dieses Artikels noch genauer beleuchten werden, als auch im Rahmen der NIS2-Regelung eine Anpassung des B3S-Standards erfolgen sollte, um sowohl den Dienstleistern als auch den Kliniken und Krankenhäusern Planungssicherheit und klare sowie konsistente und schlüssige Standards und Vorgaben zu bieten. Das alles begleitet von einem wirksamen Finanzierungsrahmen, denn die Kassen der Krankenhäuser und Kliniken sind leer. Ein Umstand, an dem auch die 4,3 Milliarden starke Investition von Bund und Ländern im Rahmen des Krankenhauszukunftsgesetzes leider nur bedingt etwas ändern konnte. Sie mag einen ersten Schritt in die richtige Richtung ermöglicht haben, um eine entsprechende Infrastruktur zur Absicherung von Patientendaten überhaupt erst anzuschaffen. Jedoch muss diese auch von entsprechendem Personal betrieben und auch sukzessive modernisiert, verbessert und erweitert werden, um mit der aktuellen Bedrohungslage Schrittzuhalten. Eine PwC-Studie aus dem November 2023 konnte hier bereits eine große Finanzierungslücke bei der Digitalisierung der Krankenhäuser aufzeigen, welche in letzter Konsequenz auch die Bereiche IT- bzw. Informationssicherheit betreffen. Dazu kommen laut Deutscher Krankenhausgesellschaft auch die seit Jahrzehnten zu gering ausfallenden Investitionen und eine allgemeine Knappheit von Fachpersonal auf einem hart umkämpften Markt.

Die Informationssicherheit der gesundheitlichen Versorgung in Krankenhäusern, Kliniken und zukünftig wohl auch medizinischen Versorgungszentren bleibt also ein Bereich, in dem ein nicht unerhebliches Improvisationstalent nötig sein wird, um in einem personell und finanziell stark limitierten System die Informationssicherheit zu verbessern.

 

Normen und Standards der medizinischen Informationssicherheit – mehr als man auf den ersten Blick sieht

Dass es Regelwerke braucht, die einen allgemeinen Standard definieren und festhalten, ist leicht zu verstehen, ebenso der Umstand, dass diese mit einem gewissen Maß an Bürokratie einhergehen. Die bloße Zahl an Normen und Standards, fehlende oder unzureichende Abstimmung untereinander, aber auch mangelnde Transparenz bezüglich der regulatorischen Relevanz einzelner Normen machen es dabei schwierig, mit geringem Arbeitsaufwand schnell und effektiv dringend benötigte Verbesserungen herbeizuführen. Ein entsprechendes Beispiel vor allem für die Punkte Zwei und Drei ist die ISO/IEC 80001-1.

Die Einbindung von Medizinprodukten in IT-Netze bringt neben Gesetzen wie der Medizinprodukte-Betreiberverordnung (MPBetreibV) oder der europäischen Verordnung über Medizinprodukte 2017/745 (MDR) auch eine ganze Reihe von Normen ins Spiel, deren Umsetzung in Krankenhäusern und Kliniken vorgesehen ist. Der in § 391 SGB V referenzierte B3S-Standard der medizinischen Versorgung verweist im Rahmen der Informationssicherheit nicht nur auf die Normen DIN ISO/IEC 27001 und 27002 sowie die DIN EN ISO 27799, der Spezifizierung für Medizinische Informatik, sondern vor allem im Zuge des Risikomanagements auch auf die ISO/IEC 80001-1. In Kapitel 4.4.6 des Standards wird diese Norm als „Grundanforderung an das Informationssicherheitsmanagement eines Krankenhauses“ bezeichnet und im Zuge des fünften Kapitels, dem Risikomanagement in der Informationssicherheit, werden die Anforderungen aus der Norm sogar explizit erwähnt. Auch wenn die Norm dadurch nur eine „indirekte“ Rolle zum Nachweis gesetzlicher spielt, wäre es im Hinblick auf die oben genannten zukünftigen Entwicklungen fahrlässig, sie zu ignorieren.

Das Risikomanagement für „Hybridnetze“, die sowohl medizinische Geräte oder Software als auch Standard-IT-Komponenten beinhalten, ist durch die Vergangenheit der Medizintechnik-Branche und den dadurch nur bedingt vorhandenen „Stand der Technik“ mit der Aktualisierung der ISO/IEC 80001‑1 noch komplexer und anspruchsvoller geworden. Sieht man von einer eher unkonkreten Formulierung oder dem unübersichtlichen Aufbau der Norm, insbesondere im Verhältnis zum großen Normverwandten, der DIN-EN 14971, welche herstellerseitig Anforderungen an das Risikomanagement für Medizinprodukte vorgibt, ab, so bleibt vor allem die Erweiterung des Scopes, die einen erheblichen Mehraufwand mit sich bringt. In ihrer aktualisierten Form erwartet die Norm von Krankenhäusern und Kliniken nun auch die Weiterführung des Risikomanagements für medizinische Geräte und Software, die Teil eines IT-Netzes sind, über den gesamten Lebenszyklus hinweg. Die fehlende Formulierung der entsprechenden Aktivitäten sowie die fehlende Abstimmung mit anderen Normen erschwert die Normumsetzung und erfordert die Entwicklung entsprechender Konzepte und Prozesse. Ein Umstand, der in einem ressourcenarmen Umfeld als durchaus kritisch betrachtet werden darf.

Bei näherer Betrachtung stellt man also sehr schnell fest, dass sich die medizinische Informationssicherheit vor allem in Krankenhäusern und Kliniken in ihrer Komplexität, durch die Einbindung medizinischer Geräte, deutlich von der Betrachtung der Informationssicherheit in anderen Branchen unterscheidet. Dies nimmt sowohl Krankenhäuser als auch Dienstleister in eine zeit- und kostenintensive Verpflichtung und verlangt im Rahmen einer allgegenwärtigen Ressourcenknappheit förmlich nach Vereinfachungen in der Umsetzung.

 

Ein kleiner, aber wirkungsvoller Ansatz zur Vereinfachung des Risikomanagements am Beispiel der Schutzziele

Im Rahmen des Risikomanagements orientiert sich der B3S-Standard an den primären, in der DIN-EN 27001 definierten Schutzzielen „Vertraulichkeit“, „Verfügbarkeit“ und „Integrität“ und erweitert diese noch um „Authentizität“, „Patientensicherheit“ und „Behandlungseffektivität“. Diese Erweiterung der Schutzziele ist zwar absolut sinnvoll und notwendig, birgt jedoch einen enormen Aufwand, wenn es nun darum geht, sechs statt der ursprünglichen drei (vier inklusive Authentizität) Schutzziele in ihrer Priorisierung gegeneinander abzuwägen. Die ISO/IEC 80001-1 definiert in ihrer neuen Version auch das Schutzziel „Effektivität“, doch vermeidet sie es, das Schutzziel „Sicherheit“ weiter zu konkretisieren. Darüber hinaus wird der gewohnte Dreiklang der Informationssicherheit aus Vertraulichkeit, Integrität und Verfügbarkeit nicht aufgegriffen, dafür aber mit „Daten- uns Systemsicherheit“ ein weiteres Schutzziel eingeführt. Allein dieser Umstand öffnet schon einen großen Raum für Diskussionen und Interpretationen und erweitert die Zahl der Schutzziele je nach Interpretation auf sieben.
Eine angepasste und vor allem vereinfachte Betrachtung der Schutzziele im Rahmen
des Risikomanagements von medizinischen IT-Netzwerken bietet sich hier also durchaus an.

Um das Risikomanagement für ein medizinisches IT-Netz linearer und in sich konsistenter zu gestalten, sind wir bei TTS Trusted Technologies and Solutions GmbH dazu übergegangen, die klassischen Schutzziele der Informationssicherheit beizubehalten und die Punkte „Patientensicherheit“ und „Behandlungseffektivität“ als gesonderte und spezielle Schadensauswirkungsklassen zu betrachten. Eine unzureichende Gewährleistung der Schutzziele muss immer in Bezug auf mögliche Auswirkungen betrachtet werden, um der Beantwortung der Frage, warum der Verlust von Integrität, Verfügbarkeit oder Vertraulichkeit einer Information problematisch ist, gerecht zu werden. Durch die Definition der Schadensauswirkung und deren Schweregrad ergibt sich in der Folge ein entsprechender Schutzbedarf, sodass durch die Verlagerung der Schutzziele „Patientensicherheit“ und „Behandlungseffektivität“ in den Bereich der Schadensauswirkungsklassen das Risikomanagement in seiner Qualität nicht gemindert wird. Im Gegensatz dazu führt die Reduzierung der Anzahl an Schutzzielen zu einer Vereinfachung des Risikomanagements, da die Zahl möglicher Konflikte im Rahmen der Bewertung und Priorisierung von Schutzzielen sinkt. Diese Vereinfachung durch die Reduzierung von Schutzzielen (oder mathematisch gesprochen: Reduzierung von Variablen) ist vor allem dann hilfreich, wenn es um die zuweilen komplexe Schutzbedarfsbestimmung/Risikobewertung spezifischer Werte und ihrer dazugehörigen Prozesse geht.

Als Fallbeispiel betrachten wir exemplarisch das Schutzziel Verfügbarkeit bei einem Röntgengerät und die dazugehörigen Röntgendaten im Kontext der Schadensauswirkungsklasse „Patientensicherheit“. Ist das Röntgengerät durch seine Lokalisation Teil der Notaufnahme und als solches als Teil des diagnostischen Kernprozesses der Radiologie nur relevant für Notfallpatienten, so ist die Verfügbarkeit der Information „Röntgendaten“ und damit des Gerätes für die Patientensicherheit von weit höherer Bedeutung, als wenn das Röntgengerät nur Teil der radiologischen Fachabteilung wäre und dort ausschließlich für die Diagnose von stationären Patienten im Rahmen elektiver Behandlungen genutzt würde. Während eine fehlende Verfügbarkeit im Rahmen der Notfallversorgung eines Patienten für die Patientensicherheit womöglich schon nach zehn Minuten kritisch wäre, so wäre der kritische Zeitwert im zweiten Fall vermutlich deutlich höher anzusiedeln. Ist das Röntgengerät für die Diagnose von Notfall- und elektiven Behandlungen vorgesehen, so wird das Szenario mit der höchsten Schadensauswirkung als Grundlage gewählt.

Mit der Patientensicherheit als ein weiteres zu betrachtendes Schutzziel wäre das hier aufgeführte Beispiel im Zuge der Ermittlung des Schutzbedarfs bzw. der Risikobewertung weit weniger linear bzw. „leicht“ zu betrachten.

Hinsichtlich der nationalen Umsetzung der NIS2-Richtlinie bleibt also zu hoffen, dass nicht nur Dienstleister bestrebt sind, existierende Konzepte und Standards der Informationssicherheit für die medizinische Versorgung in Krankenhäusern und Kliniken nachvollziehbarer und linearer zu gestalten.

 

Ein Fazit

Krankenhäuser sind hochdynamische Systeme aus lokalen Strukturen, Technik, Personal und Prozessen, welche hohen Anforderungen bei minimaler Fehlertoleranz unterliegen, und das bei Anforderungen an die Informationssicherheit, die immer komplexer werden. Nicht zuletzt im Hinblick auf die steigende Bedeutung von KI.

In einem solchen System kann die Absicherung der Patientenversorgung, sowie der dafür nötigen Patientendaten, nur mit einer gemeinsamen Kraftanstrengung möglich sein. Diese erfordert nicht zuletzt auch ein gutes Maß an Flexibilität und Verständnis seitens der Dienstleister, welche Krankenhäuser und Kliniken bei der Optimierung der Informationssicherheit unterstützen. Wir bei TTS Trusted Technologies and Solutions GmbH möchten genau hier ansetzen, um zusammen mit dem Personal, Software unterstützte und anwendernahe Informationssicherheit in der Gesundheitsversorgung mit einfachen und sicheren Konzepten zu etablieren und zu optimieren.
Neueste Beiträge
Archive
Kategorien

Leistungen

Informationssicherheitsmanagement
Informations­sicherheits­management Gewährleistung der Sicherheitsziele
Identity and Access Management Verwaltung von Identitäten
Identity and Access Management Verwaltung von Identitäten
Risikomanagement
Risikomanagement Bewusster Umgang mit Risiken
Business Continuity Management
Business Continuity Management Absicherung von Geschäftsprozessen
SAP-Sicherheit
SAP-Sicherheit
Dienstleistungen im SAP-Umfeld
tts trax
TTS trax
Das smarte ISMS Tool

  • Unsere Themen

    Anwenderforum Auditierung BGM BIA Carve In /Carve Out / Outsourcing Cloud Security Cyber-Security Fachvortrag ISO/IEC 270xx IT-Sicherheit Messen Notfall- /Krisenübung Risikoanalysen SAP-Sicherheit Sicherheitsanalysen Sicherheitsarchitektur Sicherheitskatalog Sicherheitskonzepte TTS trax Webkonferenz Zertifizierung