B3S als Leitfaden für mehr IT-Sicherheit in Kliniken

06 Juni, 2019

Krankenhäuser, die zur „Kritischen Infrastruktur“ (KRITIS) zählen, sind laut IT-Sicherheitsgesetz verpflichtet, sich gegen Cyberattacken und Systemausfälle besonders zu schützen. Die Deutsche Krankenhausgesellschaft (DKG) hat dazu einen branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus vorgelegt.

Er gilt für Kliniken ab einer vollstationären Fallzahl von 30.000 pro Jahr. Doch auch für kleinere Häuser empfehlen sich diese Vorgaben als Leitfaden für mehr Versorgungssicherheit.

Krankenhaus Manager und Ärzte Diskussion

Gesetzgebung noch nicht abgeschlossen

Die Deutsche Krankenhausgesellschaft (DKG) hat dem Bundesamt für Sicherheit in der Informationstechnik (BSI) am 2. April 2019 eine erste Version für den „Branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ vorgelegt. Damit setzt die DKG das IT-Sicherheitsgesetz aus dem Jahr 2015 um, das allgemeine Anforderungen formuliert und KRITIS-Betreibern und deren Branchenverbänden auferlegt, branchenspezifische Sicherheitsstandards (B3S) zu erarbeiten. Die gesetzgeberische Entwicklung ist damit jedoch längst nicht abgeschlossen, die Regelungen werden sich im Bereich der Cyber-Security weiter verschärfen. Das gilt auch für mögliche Sanktionen: Für das kommende IT-Sicherheitsgesetz 2.0 wird bereits eine drastische Erhöhung der Geldbußen bei Verstößen diskutiert. Sie sollen dann bis zu 20 Millionen Euro betragen oder vier Prozent des weltweiten Unternehmensumsatzes, je nachdem welcher Betrag höher ist.

Das Wesentliche in 30 Sekunden

  • Krankenhäuser, die zur „Kritischen Infrastruktur“ (KRITIS) zählen, müssen sich gemäß IT-Sicherheitsgesetz gegen Cyberattacken und Systemausfälle besonders schützen.
  • Die Deutsche Krankenhausgesellschaft (DKG) hat für die Gesundheitsversorgung im Krankenhaus einen branchenspezifischen Sicherheitsstandard (B3S) vorgelegt.
  • Der Standard BS3 beschreibt 168 Maßnahmen, die nötig sind, um eine resiliente Informationstechnik zu gewährleisten und die medizinische Versorgung und Gesundheit der Patienten sicherzustellen.
  • Um die Versorgung der Patienten in jedem Fall aufrechtzuerhalten werden neben dem Schutz der IT-Struktur auch Patientensicherheit und Behandlungseffektivität als wesentliche Aspekte definiert.
  • Die Anforderungen betreffen aktuell nur Kliniken ab einer Schwelle von 30.000 vollstationären Behandlungsfällen pro Jahr, empfehlen sich jedoch auch für kleinere Kliniken.

Grundlage für einen sicheren Klinikbetrieb

Krankenhäuser, die als kritische Infrastruktur (KRITIS) gelten, müssen in Zukunft regelmäßig den Nachweis erbringen, dass sie die von der DKG entwickelten branchenspezifischen Anforderungen (B3S) erfüllen. Doch auch kleinere Häuser können sich beim Thema Cyber-Security an diesem Standard orientieren, denn der B3S stellt einen durchdachten Leitfaden für Kliniken aller Größen dar, um die digitalen Nervenstränge ihres Betriebs zu schützen. Der Standard beschreibt umfänglich die Prozesse und Maßnahmen, um eine robuste Informationstechnik zu gewährleisten und damit die medizinische Versorgung und Gesundheit der Patienten sicherzustellen.

Um ein Informationssicherheits-Risikomanagement (ISMS-Risikomanagement) zu etablieren, sieht der B3S für Kliniken, die zur kritischen Infrastruktur zählen, insgesamt 37 Management-Anforderungen vor. Dabei ist die Informationstechnik auch nach der sogenannten Kritikalität zu bewerten, also der Frage, ab welcher Zeitspanne der Ausfall eines Systems die medizinische Leistungserbringung einschränkt.

Für die Gefährdungsanalyse gilt ein Allgefahren-Ansatz, der sich nicht nur auf IT-Parameter beschränkt, sondern sämtliche Faktoren umfasst, die den Klinikbetrieb beeinträchtigen können. Aufgelistet werden 40 verschiedene Bedrohungsszenarien, Schwachstellen und mögliche Gefahren wie beispielsweise Elementarschaden und Stromausfall, aber auch Cyber-Attacken und menschliche Fehler.

Der B3S-Katalog empfiehlt insgesamt 168 Maßnahmen, die in Muss-, Soll- und Kann-Anforderungen untergliedert sind. Damit kann das Regelwerk für Klinikbetreiber als Leitfaden für die Praxis dienen wie auch als Grundlage für Kontrollen.

B3S-Standard reicht über Cybersicherheit weit hinaus

Auch wenn der B3S-Standard im Zuge des BSI-Gesetzes erstellt wurde, betrifft er nicht nur den Schutz der technischen Infrastruktur. Neben den vier klassischen Schutzzielen des Informationssicherheits-Managements (Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit) werden auch Patientensicherheit und Behandlungseffektivität als wesentliche Aspekte definiert. Der Standard zielt darauf, die medizinische Versorgung der Patienten zu gewährleisten, wofür die Informationstechnik eine grundlegende Voraussetzung darstellt. Neben technischen Aspekten werden deswegen auch die organisatorische, strukturelle und prozessuale Verantwortung auf Führungsebene genannt.

Der Standard verpflichtet beispielsweise auch die Geschäftsführung persönlich zur Bekanntgabe und Durchsetzung von Zielen der Informationssicherheit und fordert neben dem Datenschutzbeauftragten und der IT-Leitung einen dedizierten Informationssicherheitsbeauftragten (ISB bzw. CISO). Die Geschäftsführung muss notwendige organisatorische, personelle und finanzielle Mittel zur Verfügung stellen sowie die Wirksamkeit des Informationssicherheitsmanagements überprüfen und fortlaufend kontrollieren.

Versorgung auch bei Ausfall der IT gewährleisten

Die fundamentale Bedeutung von digitaler Informationsverarbeitung zeigt sich meist erst während des Ausfalls von Systemen. Damit in diesen Fällen die medizinische Versorgung – und somit das Krankenhaus als kritische Infrastruktur – aufrechterhalten werden kann, empfiehlt der B3S-Standard die Etablierung eines betrieblichen Kontinuitätsmanagement-Systems (Business Continuity Management). Dazu müssen zunächst kritische Systeme, Komponenten oder Prozesse mit hohem Risiko identifiziert werden. Für die Bereiche, deren Ausfall einen hohen Schaden verursacht, müssen Geschäftsfortführungs-, Notfall- und Wiederanlauf-Pläne erstellt werden. Diese Pflicht zur Identifizierung kritischer Leistungen in Verbindung mit der Gefährdungsanalyse im Allgefahren-Ansatz bildet die Grundlagen eines betrieblichen Kontinuitätsmanagements.

Der B3S beschreibt Anforderungen, die aktuell nur Kliniken ab einer Schwelle von 30.000 vollstationären Behandlungsfällen pro Jahr erfüllen müssen. Die Vorgaben dürften die meisten Häuser, die zur kritischen Infrastruktur zählen, vor große Herausforderungen stellen. Doch sie sind weder überzogen, noch unerreichbar und in anderen Branchen schon lange Usus. Schließlich geht es nicht darum, formal einen Standard zu erfüllen, sondern die medizinische Versorgung der Patienten in jedem Fall aufrechtzuerhalten.

IT-Sicherheit kann für Klinikbetreiber zum Wettbewerbsvorteil werden

Der B3S dürfte eine weitreichende Wirkung entfalten – vor allem im Zuge der steigenden Anforderungen und Sanktionen des geplanten IT-Sicherheitsgesetzes 2.0. Er gibt den Stand der Technik für informations(sicherheits)technische Prozesse so vor, dass er auch Krankenhäusern als Orientierung dienen kann, die nicht als kritische Infrastruktur gelten.

Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit bilden das strategische Fundament für die Digitalisierung von Versorgungsprozessen. Der B3S bietet deswegen auch die Chance, Mehrwert jenseits der gesetzlichen Pflichten zu entfalten. Ein gute Informationssicherheit kann zum Wettbewerbsvorteil für Klinikbetreiber werden, die Prozesse und Angebote digitalisieren und optimieren. Die Investitionen können sich auch im Hinblick auf zukünftige Digitalisierungsprojekte wie auch die Rechtssicherheit auszahlen.

„Mit dem BS3 kann nicht nur eine gute IT-Sicherheit erreicht werden – er kann auch zum echten Wettbewerbsvorteil für Klinikbetreiber werden.“

Benedict Gross, Senior Manager bei PwC Deutschland

Jedes Krankenhaus hat eine individuell gewachsene IT-Struktur

Der B3S der Deutschen Krankenhausgesellschaft spiegelt wieder, wie heterogen und verflochten, aber auch wie individuell die Systemlandschaften in den einzelnen Einrichtungen gestalten. Wo in Krankenhäusern IT-Strukturen über Jahrzehnte gewachsen sind, sind die Spezialisten vollkommen damit ausgelastet, das Tagesgeschäft aufrechtzuerhalten. Zwischen dringlichen Anforderungen, personellen und finanziellen Grenzen bleibt kaum Zeit für eine langfristige strategische Planung. Für diese Häuser kann der neue Sicherheitsstandard im Zuge des BSI-Gesetzes den Anstoß zu größeren Veränderungen geben.

Doch auch Kliniken, die bereits nach bestem Wissen auf dem aktuellen Stand der Technik operieren, müssen überprüfen, ob und inwieweit sie dem B3S-Standard entsprechen:

  • Im ersten Schritt sollten sie den Status Quo von Organisation und Technik analysieren und in Bezug zur kritischen Dienstleistung „medizinische Versorgung“ stellen.
  • Durch den Vergleich dieser Status-Quo-Analyse mit den Anforderungen des B3S können im zweiten Schritt der Handlungsbedarf und die nötigen Investitionen ermittelt werden.
  • Auf dieser Basis können Krankenhausmanagement und Betreiber eine kurz-, mittel- und langfristige Planung zur Umsetzung der B3S-Anforderungen entwickeln, die Gesamtkosten kalkulieren und belastbare Entscheidungen für Projekte treffen.
B3S Schutzziele Perspektiven

Wie kann PwC Sie dabei unterstützen

  • Erhebung, Analyse und Beurteilung des Status Quo von Organisation und Technik sowie der vergleichenden Einschätzung hinsichtlich der Anforderungen des B3S
  • Erstellung einer belastbaren Aufwandschätzung der nötigen Maßnahmen
  • Entwicklung einer kurz-, mittel- und langfristigen Planung für die Umsetzung
  • Ausgestaltung und operativen Einführung eines Informationssicherheitsmanagement-Systems (ISMS)
  • Befähigung und Schulung des Informationssicherheitsbeauftragten
  • Gestaltung und Einführung eines Business-Continuity-Management-Systems (BCM), einschließlich Notfallkonzeptionen, Wiederanlaufplänen sowie Tests und Übungen
  • Beratung bei der Einwerbung von Fördermitteln für die Realisierung von Maßnahmen zur Umsetzung des B3S
  • Auditierung Ihrer Organisation nach den Maßgaben des BSI-Gesetzes und des B3S

Contact us

Benedict Gross

Business Continuity und Krisenmanagement, PwC Germany

Tel.: +49 89 5790-5575

Hendrik Gollnisch

Kritische Infrastruktur und Sicherheitsmanagement, PwC Germany

Tel.: +49 30 2636-1500

Follow us