Das IT-Sicherheitsgesetz erweist sich in der Durchführung als Kuckucksei

Gut gewollt, aber schlecht gemacht. Der Schutz kritischer Infrastrukturen stellt Krankenhaus-Betreiber vor fast unlösbare Aufgaben.

Allein schon die Bereitstellung erforderlichen Budgets erfordert ein hohes Maß an Improvisation, weil Zeitvorgaben des Gesetzgebers und Haushaltsplanungen der Häuser in den seltensten Fällen in Einklang zu bringen sind. Abhilfe schafft der KRITISche Stammtisch Dresden, er bündelt Branchenexpertise und erarbeitet Lösungsvorschläge.

Wenn Infrastruktur wegen nicht oder falsch ergriffener Sicherheitsmaßnahmen zu Angriffszielen werden, können komplette Gesundheitssysteme landesweit lahmgelegt werden. Wie Ende März diesen Jahres das des National Health Service in Großbritannien. Darüber hinaus berichteten die am Stammtisch regelmäßig beteiligten LKA-Vertreter aus Mitteldeutschland von mehreren, aber anonymisierten Fällen erfolgter Angriffe und Attacken. 

Dabei ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) bereits seit Juli 2015 in Kraft. Es sieht vor, dass informationstechnische Systeme, die für die Funktionsfähigkeit von Kritischen Infrastrukturen maßgeblich sind, von den jeweiligen Betreibern durch die Umsetzung von Mindestsicherheitsstandards abzusichern und erhebliche IT-Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden sind.

Damit hiervon in der Krankenhaus-Praxis möglichst viel umgesetzt wird, tritt regelmäßig der KRITISche Stammtisch Dresden zusammen. In der Runde treffen sich Branchenexperten wie IT-Sicherheitsbeauftragte (ISB) lokaler Kliniken, Auditoren und IT-Experten zum Informations- und Erfahrungsaustausch. Der Veranstalter SHD Systemhaus Dresden hat es sich zur Aufgabe gemacht, die hierbei zu Tage gekommenen Erfahrungen, Problemstellungen und vor allem die erarbeiteten Lösungswege mit Interessierten zu teilen. 

Während die Uhr bezüglich Gesetzeslage und Umsetzungsdruck bereits auf fünf vor zwölf steht, verharrt sie in Sachen erfolgter Umsetzung grade mal auf drei 3 Uhr.  So sei der Sicherheitsstandard „B3S“ (BranchenSpezifischer SicherheitsStandard) derzeit in Arbeit und werde bei Eignung vom BSI anerkannt. Für den Bereich Krankenhäuser ist er nach Informationen von Matthias Lohmann, Geschäftsführer und Auditor bei der Jester Secure IT GmbH aus Bergisch Gladbach, in Arbeit, aber noch nicht fertig. Trotzdem sollte, so Lohmann, jetzt schon mit KRITISchen Projekten begonnen werden. Seine Empfehlung: „Auch wenn für das Health-Segment noch kein Branchenstandard definiert ist - fangen Sie jetzt an! Viele Indizien weisen darauf hin, dass sich Krankenhäuser an der ISO 27001-Norm orientieren sollen.“

Hierbei müsse ein pragmatischer und kreativer Ansatz Vorrang haben, viele kleine Schritte seien immer besser als große Konzepte. Am Anfang sollte der Fokus auf dem ordentlichen Erarbeiten von Zielen und Richtlinien stehen, dann könne man sich gut vorbereitet dem ganzen Rest widmen. Dabei habe der ISB die Vollständigkeit des Umstellungsprozesses zu gewährleisten und gleichzeitig auf die nötige Aufmerksamkeit für das Sicherheitsvorhaben bei Geschäftsführung und Mitarbeitern zu sorgen. Letzteres sei gut durch ein Fortbildungsprogramm mit Awareness-Schulungen oder Online-Learning-Tools zu erreichen. Idealerweise beginne man damit bereits vor Einführung des ISMS. All das zeigt Lohmann zufolge: „Die Aufgaben eines ISB sind nicht nebenbei zu erledigen, sondern ein Full-Time-Job!“

Nach den Worten von Mike Zimmermann, ISB der Uniklinik Carl Gustav Carus, Dresden, ist die Situation des Krankenhaus-ISB vor diesem Hintergrund alles andere als rosig: Die Ressourcen sind knapp für eine fachgerechte Bearbeitung der Anforderungen – in den Kliniken waren die Budgetplanungen Mitte 2017 bereits abgeschlossen. Und selbst wenn sie die Umstellung hätten angehen wollen, wäre ihnen das Budget nicht zuerteilt worden, weil die meist öffentlichen Träger ihrerseits bereits ausgeplant waren.

Um in dieser Situation voranzukommen, helfen Tools von Fachleuten für Fachleute, sagt Konrad Christoph, Teamleiter Gesundheitswesen bei der SHD Dresden: „Wir haben für die gesamte Thematik ein ISMS-Tool am Start, das dem ISB aus Insidersicht die Arbeit extrem erleichtert. Es bietet, wie in der ISO 27001 gefordert, einen dynamischen Prozessansatz. Daneben hat es nützliche Features wie Abbildung der Sicherheitsorganisation, voreingestellte Risikomanagement-Methoden, einfache Audit-Verfolgung, Prozess-Modulation oder voreingestellte ISO-Controls. Nicht zuletzt ersetzt es dezentrale Excel-Listen.“ In einem Onlineworkshop am 22.08.2018 können Interessenten einen ersten Blick auf diese digitale ISMS-Lösung werfen.

Bei der vierten Auflage des KRITISchen Stammtisches wird am 30.08. von 13:00 bis 17:30 Uhr unter anderem über die Cyberversicherung, den richtigen Weg zum Notfallhandbuch und eine für den Krankenhausbetrieb geeignete User-Awareness-Schulung diskutiert. Darüber hinaus wird Mike Zimmermann, ISB der Uniklinik Dresden, die aktuellen Erkenntnisse aus den bundesweiten KRITIS-Arbeitskreisen vorstellen. Mehr Infos hier.