Das IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen (KRITIS) dazu, für informationstechnische Systeme einen angemessenen Schutz „gemäß dem aktuellen Stand der Technik“ zu implementieren. Betroffen davon sind aktuell zwischen 5 und 10 % der deutschen Krankenhausbetreiber. Diese Betreiber kritischer Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen.
Bis zum 30. Juni 2019 mussten die Betreiber erstmals Prüfungsnachweise beim Bundesamt für Sicherheit in der Informationstechnik (BSI) einreichen. Entsprechende Prüfungen sind in den Folgejahren alle zwei Jahre durchzuführen. In den überwiegenden Fällen wurde seitens der Betreiber der „Branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ (B3S) in der Version 1.0 vom 2. April 2019 als Prüfungsgrundlage gewählt. In einigen wenigen Fällen hatten sich die Betreiber bei der Vorbereitung auf die entsprechende Prüfung sowohl an der internationalen Norm ISO/IEC 27001 als auch am B3S orientiert. Die Prüfungen zeigten, dass insbesondere die nicht-technischen Maßnahmen – vor allem die Dokumentation – noch angepasst bzw. entwickelt werden mussten.
Die Informationstechnik sowie zu ergreifende Sicherheitsmaßnahmen (Firewall, Antivirenlösungen etc.) entsprachen hingegen vielfach den Anforderungen. Eine Herausforderung für die IT-Sicherheit in Krankenhäusern stellt oftmals das interdisziplinäre Zusammenwirken der verschiedenen Berufsgruppen von der IT über die Medizintechnik bis hin zu Pflege und Ärzteschaft dar. Dies hat zur Folge, dass insbesondere die den Geltungsbereich „stationäre medizinische Versorgung“ betreffenden kritischen Systeme nicht in allen Fällen durch Notfallpläne für geplante und ungeplante Ausfälle abgesichert sind. In den Schnittstellen zwischen der IT und den jeweiligen Fachbereichen offenbarten sich die häufigsten Mängel und Kommunikationsprobleme. Im Rahmen von Prüfungen zeigte sich, dass insbesondere diejenigen Betreiber, die den aktuellen Umsetzungsstand der Maßnahmen des B3S mittels eines Reifegradmodells abgebildet haben, im Hinblick auf die Dokumentationsanforderungen die besten Ergebnisse erzielten.
Der Autor ist Certified Information Systems Auditor (CISA), IT-Auditor IDW
und Mitglied des KompetenzTeam IT-Revision von Solidaris, einem Unternehmen in der Prüfung und Beratung gemeinnütziger Träger und Einrichtungen des Gesundheits- und Sozialwesens sowie der freien Wohlfahrtspflege.