24.08.2020      Krankenhaus      Branchen-News      Louise Knorre-Witt

„Informationssicherheit von Anfang an mitdenken“

Wer erinnert sich nicht? Seit dem 30. Juni 2017 gilt die sogenannte KRITIS-Verordnung auch für kritische Infrastrukturen im Gesundheitswesen, nachgewiesen werden muss die Umsetzung seit dem 30. Juni 2019, ein branchenspezifischer Sicherheitsstandard (B3S) wurde im Oktober 2019 final veröffentlicht. Im Zuge dieses Prozesses kam es zu teils hitzigen Diskussionen, es ging vornehmlich um die Umsetzbarkeit und um viele offene Fragen. Das Erfordernis, IT-Sicherheit von Anfang an mitzudenken und organisatorisch zu verankern, war jedoch unstrittig – und ist es selbstverständlich immer noch.

2020 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgehakt – und zwar im Rahmen einer qualitativen Studie, die Rahmenbedingungen, Status Quo und Handlungsfelder bezüglich der Informationssicherheit in der stationären medizinischen Versorgung erörtert.

 

Das wichtigste – und erwartbare – Ergebnis: Es gibt Nachholbedarf – vor allem im Bereich der organisatorischen Maßnahmen. Die im Auftrag des BSI durchgeführten Betreiberbefragungen ergaben, dass „sich ein systematisches IT-Risikomanagement in vielen Häusern noch nicht auf dem notwendigen Niveau bewegt“. Dabei ist die Verankerung von IT-Sicherheit auf organisatorischer Ebene besonders wichtig, um jederzeit auf neue (und alte) Bedrohungen vorbereitet zu sein.

 

Klar, der Aufbau eines solchen Managementsystems kostet zunächst Ressourcen – auf lange Sicht zahlt sich die Investition aber aus, denn erfolgreiche Angriffe bedeuten nicht nur erhebliche finanzielle Risiken, sondern schädigen auch den Ruf der betroffenen Einrichtung erheblich. Die gute Nachricht: Es ist möglich, ein strukturiertes, risikobasiertes Informationssicherheitsmanagementsystem (ISMS) mit überschaubarem Aufwand zu realisieren.

 

Wie? Mit einem System, das den Anforderungskatalog des B3S systematisch als Risiken erfasst und mit Verantwortlichkeiten sowie Maßnahmen verknüpft. Im Rahmen der DMEA sparks demonstrierte Clas Clasen, Produktmanagement NEXUS / QM, in einem Webinar, wie ein schlankes und leistungsfähiges Managementsystem aufgebaut werden kann. Sie können sich hier für die Aufzeichnung registrieren. 

 

Und wie sieht es mit den technischen Maßnahmen aus? Grundsätzlich erwies sich der branchenspezifische Sicherheitsstandard als praktikables Instrument – klassische Abwehrmaßnahmen wie Firewalls, DMZ oder Spam- bzw. Malwareschutz sowie redundant ausgelegte IT-Infrastrukturen werden in der Regel umgesetzt. Luft nach oben sei aber auch hier – etwa in den Bereichen Patch- bzw. Änderungsmanagement und Netzwerkmonitoring.

 

Unsere Experten von der NEXUS / CLOUD IT stehen Ihnen jederzeit gerne beratend zur Seite.

 

Und auch wenn längst nicht alle Einrichtungen des Gesundheitswesens unter die KRITIS-Verordnung fallen – IT-Sicherheit ist ein Thema, das alle gleichermaßen betrifft!

Weitere Informationen

 

Sie haben Fragen? Gerne können Sie uns jederzeit kontaktieren – via E-Mail (vertrieb@nexus-ag.de)  oder telefonisch unter +49 69 583004-200.

Über den Autor

Louise Knorre-Witt macht Marketingkommunikation für die NEXUS Deutschland. Ihre Themen sind das NEXUS / KISNG, die QM-Software NEXUS / CURATOR und alles, was mit der Organisation der DMEA zusammenhängt.

Kontakt