Informationssicherheit in der medizinischen Versorgung – Ein kleiner praktischer Ansatz zur Vereinfachung des Risikomanagements

StartseiteNewsInformationssicherheit in der medizinischen Versorgung – Ein kleiner praktischer Ansatz zur Vereinfachung des Risikomanagements

Informationssicherheit in der medizinischen Versorgung – Ein kleiner praktischer Ansatz zur Vereinfachung des Risikomanagements

Die DIN EN IEC 80001-1 und ihre Relevanz

Wenn man einen tieferen Blick in den B3S-Standard der medizinischen Versorgung wirft, findet man in Kapitel 4.4.6 den ersten deutlichen Hinweis auf die Bedeutung der DIN EN IEC 80001-1, denn dort wird sie als „Grundanforderung an das Informationssicherheitsmanagement eines Krankenhauses“ bezeichnet. Sowohl im Zuge des fünften Kapitels, des Risikomanagements in der Informationssicherheit, als auch in den Anforderungen 188, 130 und 151 wird die Beachtung der Norm sogar explizit gefordert. Durch die Nennung des B3S-Standards insbesondere im vierten Absatz des § 391 SGB V erlangt die Norm zwar somit lediglich eine „abgeleitete“ Rolle zum Nachweis gesetzlicher Anforderungen, doch ist davon auszugehen, dass man im Zuge eines schwerwiegenden Informationssicherheitsvorfalls sehr genau betrachten wird, wie, wo und in welchem Umfang die betroffene Einrichtung vom B3S-Standard und damit auch von der DIN EN IEC 80001-1 abgewichen ist. Damit steht ihre Relevanz für das Risikomanagement in Kliniken und Krankenhäusern nahezu außer Frage. Bedenkt man zudem die Mehraufwände, welche sich aus der Aktualisierung der Norm ergeben, so ist der gesamte Arbeitsaufwand für die Implementierung der Norm in ein Informationssicherheits-Managementsystem einer Einrichtung seit 2023 deutlich gestiegen.

Die Aktualisierung der DIN EN IEC 80001-1 – Eine deutliche Erweiterung des Anwendungsbereiches

Die aktualisierte Norm definiert eine ganze Reihe neuer Anforderungen, vor allem im Bereich der Dokumentation und zu etablierenden Kontrollmechanismen. So erwartet sie zum Beispiel von Krankenhäusern und Kliniken nun auch die Weiterführung des von den Herstellern initiierten Risikomanagements für medizinische Geräte und Software, die Teil eines IT-Netzes sind, über den gesamten Lebenszyklus, von der Beschaffung bis hin zur Außerbetriebnahme, hinweg. Doch zur Freude aller Betroffenen wird die Norm in Bezug auf die Umsetzung jedoch kaum konkret und schafft es, mehr Fragen aufzuwerfen als Antworten und Lösungsansätze zu liefern. Fachpersonal, welches im Rahmen des Risikomanagements sowohl das „Internet of Things“ (IoT) als auch das „Internet of Medical Things“ (IoMT) mit einbeziehen muss, steht nun also vor der Herausforderung, Prozesse zu etablieren, welche den Einkauf mit einbeziehen, um im Rahmen der Anschaffung neuer Geräte die Rahmenbedingungen für eine hohe Informationssicherheit eines medizinischen IT-Netzes sicherzustellen. Die Erfüllung der Normanforderungen gestaltet sich in der Folge nicht nur durch den notwendigen Abgleich von Risiken, welche sich im Bereich IoT und IoMT ergeben, als ein ausgesprochen interdisziplinäres und arbeitsintensives Unterfangen. Neben der Erweiterung des Anwendungsbereiches sind es hier vor allem die in der Norm definierten Schutzziele, welche die Komplexität des Risikomanagements für medizinische IT-Netze deutlich erhöhen und dem für Informationssicherheit zuständigen Personal kaum Vergnügen bereiten dürften.

Risikomanagement für medizinische IT-Netze mit nicht aufeinander abgestimmten Schutzzielen

Der B3S-Standard orientiert sich an den primären, in der DIN-EN ISO/IEC 27001 definierten Schutzzielen „Vertraulichkeit“, „Verfügbarkeit“ und „Integrität“, erweitert diese allerdings noch um „Authentizität“, „Patientensicherheit“ und „Behandlungseffektivität“. Diese Erweiterung der Schutzziele ist zwar absolut sinnvoll und notwendig, birgt jedoch einen erhöhten Aufwand, wenn es nun darum geht im Zuge des Risikomanagements, die Schutzziele in ihrer Priorisierung gegeneinander abzuwägen.

In ihrer aktuellen Version definiert die DIN EN IEC 80001-1 zwar auch das Schutzziel „Effektivität“, doch vermeidet sie es, das Schutzziel „Sicherheit“ weiter zu konkretisieren. Ob damit also auch die Sicherheit der Mitarbeiter gemeint ist, wird nicht klargestellt.

Darüber hinaus wird der gewohnte Dreiklang der Informationssicherheit aus Vertraulichkeit, Integrität und Verfügbarkeit nicht aufgegriffen, dafür aber mit „Daten- uns Systemsicherheit“ ein weiteres abgewandeltes Schutzziel eingeführt. Dieser Umstand öffnet einen großen Raum für Diskussionen und Interpretationen, erweitert die Zahl der Schutzziele je nach Interpretation auf sieben bis acht (unter Einbezug der Authentizität) und verlangt förmlich nach einer Vereinfachung im Zuge des Risikomanagements für medizinische IT-Netze, um der Menge an Schutzzielen Herr zu werden.

Das Ziel unserer Vereinfachung: Die Schutzziele

Um das Risikomanagement für ein medizinisches IT-Netz linearer und in sich konsistenter und vor allem einfacher sowie zeitsparender und damit effizienter zu gestalten, sind wir bei TTS Trusted Technologies and Solutions GmbH dazu übergegangen, die klassischen Schutzziele der Informationssicherheit beizubehalten und die Punkte „Patientensicherheit“ und „Behandlungseffektivität“ als gesonderte und spezielle Schadensauswirkungsklassen zu betrachten. Eine unzureichende Gewährleistung der Schutzziele muss immer in Bezug auf mögliche Auswirkungen betrachtet werden, um der Beantwortung der Frage, warum der Verlust von Integrität, Verfügbarkeit oder Vertraulichkeit einer Information problematisch ist, gerecht zu werden. Durch die Definition der Schadensauswirkung und deren Schweregrad ergibt sich in der Folge ein entsprechender Schutzbedarf, sodass durch die Verlagerung der Schutzziele „Patientensicherheit“ und „Behandlungseffektivität“ in den Bereich der Schadensauswirkungsklassen das Risikomanagement in seiner Qualität nicht gemindert wird. Im Gegensatz dazu führt die Reduzierung der Anzahl an Schutzzielen zu einer Vereinfachung des Risikomanagements, da die Zahl möglicher Konflikte im Rahmen der Bewertung und Priorisierung von Schutzzielen sinkt. Diese Vereinfachung (oder mathematisch gesprochen: Reduzierung von Variablen) ist vor allem dann hilfreich, wenn es um die zuweilen komplexe Schutzbedarfsbestimmung/Risikobewertung spezifischer Werte und ihrer dazugehörigen Prozesse geht.

Fallbeispiel im Rahmen der Betrachtung der Patientensicherheit

Als Fallbeispiel betrachten wir exemplarisch das Schutzziel „Verfügbarkeit“ von Röntgendaten und das dazugehörige Röntgengerät im Kontext der Schadensauswirkungsklasse „Patientensicherheit“. Ist das Röntgengerät durch seine Lokalisation expliziter Teil der Notaufnahme und als solches als Teil des diagnostischen Kernprozesses der Radiologie (mit Verweis auf den B3S-Standard) nur relevant für Notfallpatienten, so ist die Verfügbarkeit der Information „Röntgendaten“ und damit des Gerätes für die Patientensicherheit von weit höherer Bedeutung, als wenn das Röntgengerät Teil der radiologischen Fachabteilung wäre und dort ausschließlich für die Untersuchung von stationären Patienten im Rahmen elektiver Behandlungen genutzt würde. Während eine fehlende Verfügbarkeit im Rahmen der Notfallversorgung eines Patienten für die Patientensicherheit womöglich schon nach fünf bis zehn Minuten kritisch wäre, so wäre der kritische Zeitwert im zweiten Fall vermutlich deutlich höher anzusiedeln. Ist das Röntgengerät im Rahmen der Diagnose bzw. Behandlung von Notfall- und elektiven Patienten vorgesehen, so wird das Szenario mit der höchsten Kritikalität als Bewertungsgrundlage herangezogen.

Mit der Patientensicherheit als ein weiteres zu betrachtendes Schutzziel neben der Verfügbarkeit wäre das hier aufgeführte Beispiel im Zuge der Ermittlung des Schutzbedarfs bzw. der Risikobewertung weit weniger linear bzw. „leicht“ zu betrachten. Generell lässt sich also festhalten, dass je weniger Schutzziele gegeneinander abgewogen werden müssen, desto einfacher ist eine Risikobewertung durchzuführen.

Der Anspruch unserer Firma – Individuelle Lösungen im Rahmen der Möglichkeiten

Mit der Entwicklung derartiger Konzepte wollen wir bei TTS Trusted Technologies and Solutions GmbH zusammen mit dem Personal und unserer firmeneigenen Software einen Beitrag leisten, um anwendernahe Informationssicherheit in der Gesundheitsversorgung zu etablieren und zu optimieren. Dabei ist es uns wichtig, Konzepte und Prozesse zur Unterstützung der Informationssicherheit nicht umfangreicher und komplexer als unbedingt nötig zu gestalten.

Verfasser: Dr. Tim Vellmer – tim.vellmer@tts-security.com

Krankenhausspezifische Toolunterstützung mit unserer ISMS-Software TTS trax

TTS trax ist das smarte Tool für den effizienten ISMS Betrieb und ein intelligentes Risikomanagement im Gesundheitssektor.

TTS trax lässt sich flexibel konfigurieren und ermöglicht so eine einfache Anpassung an Ihre individuellen Bedürfnisse und Vorgaben.

Für Kunden aus dem medizinischen Umfeld liefern wir auf Wunsch einen passend vorkonfigurierten Mandaneten nach DIN EN 80001-1 und B3S-Standard aus.

Mehr erfahren

Auf Wusche beraten wir Sie zum Thema Medizinische Informationssicherheit​

  • Bedarfsorientierte und kosteneffiziente Verbesserung ihrer Informationssicherheit oder ihres Risikomanagements für MIT-Netze
  • Umsetzung rechtlicher Vorgaben (BSI-KritisV, §391 SGB V, sowie zukünftig NIS2)
  • DIN-EN 80001 konformes Risikomanagement
  • Vollumfängliche Informationssicherheit (gemäß Digital-Gesetz/ § 391 SGB V)
  • Verbesserung der internen Transparenz
  • Einbettung von Informationssicherheit in den Arbeitsalltag
  • Optimierte und sichere Prozesse für einen reibungslosen und effizienten Betriebsablauf auch unter Krisenbedingungen
  • Maßnahmenkatalog auf Basis des branchenspezifischen B3S-Standards

Mehr erfahren

Leistungen

Informationssicherheitsmanagement
Informations­sicherheits­management Gewährleistung der Sicherheitsziele
Identity and Access Management Verwaltung von Identitäten
Identity and Access Management Verwaltung von Identitäten
Risikomanagement
Risikomanagement Bewusster Umgang mit Risiken
Business Continuity Management
Business Continuity Management Absicherung von Geschäftsprozessen
SAP-Sicherheit
SAP-Sicherheit
Dienstleistungen im SAP-Umfeld
tts trax
TTS trax
Das smarte ISMS Tool