FOKUS IT-SICHERHEIT Informationssicherheit im Krankenhaus: Fangen Sie jetzt damit an! Aufwand, Vorgehensweise, Nutzen Zunehmend stellen Verantwortliche aus dem Gesundheitswesen die Datensicherheit ins Zentrum ihrer Aufmerksamkeit. Aktuell sind zwar keine Datendiebstähle oder -verluste im Umfeld der Gesundheitsversorgung bekannt, aber es ist nur eine Frage der Zeit, bis Hacker und Cyberkriminelle Daten und Unterlagen von Patienten als lohnenswerte Ziele einstufen und gezielt angreifen. Von Sascha Luithardt, EMDS AG, und Reiner Schroeppel, Human Internet CONSULT AG Die Deloitte-Studie „The time is now – 2009 Life Sciences & Health Care Security Study“ analysiert den Branchen-Status quo in punkto IT-Sicherheit bei Institutionen aus dem Life Science- und Gesundheitssegment. Danach stellen mehr und mehr von ihnen Datensicherheit ins Zentrum ihrer Bemühungen. Auch laut dem 30 Ausgabe 5/2009 Schutz Kritischer Infrastrukturen in Deutschland hat das Bundeskabinett mit dem Nationalen Plan zum Schutz der Informationsinfrastrukturen (NPSI) im Jahr 2005 die deutsche Dachstrategie für den Schutz der Informationsinfrastrukturen beschlossen. Zu den „kritischen Infrastrukturen“ zählen dabei auch die Bereiche aus dem Gesundheitswesen. Unternehmen, die zu den „kritischen Infrastrukturen“ gezählt werden, wird empfohlen, entsprechende Vorkehrungen zum Schutz ihrer Informationen und ITK-Infrastruktur zu treffen. Doch wie nähert man sich diesem komplexen Thema, welcher Aufwand ist vertretbar und wie fängt man am Besten an? Das wichtigste vorneweg: Fangen Sie jetzt damit an! Bringen Sie das Thema in den Vorstand (bzw. die Klinikleitung), sensibilisieren Sie dafür und suchen Sie sich Verbündete (z.B. den Datenschutzbeauftragten). Stimmen Sie auf dieser Ebene ab, was angestrebt wird und dokumentieren Sie diese Abstimmung. Ziel sollte ein konzernweites „IT-Sicherheitskonzept“ sein, das sich aus einer globalen Informations-Sicherheitsstrategie ableitet. Ob ein IT-Grundschutz-Zertifikat nach BSI und/oder eine Zertifizierung nach ISO27001 angestrebt werden, muss am Anfang noch nicht feststehen. Denn auch wenn keine Zertifizierung erreicht werden soll, muss die Vorgehensweise strukturiert sein und dokumentiert werden. Ausgehend von und aufbauend auf dem BSI-Standard 100-1 „Managementsysteme für Informationssicherheit (ISMS)“, ergibt sich aus den Zielen und den Rahmenbedingungen die unternehmensweite Informations-Sicherheitsstrategie. Das IT-Sicherheitskonzept und die dazugehörige IT-Sicherheitsorganisation sind Werkzeuge des Managements zur Umsetzung der geplanten Informations-Sicherheitsstrategie. Aus der Informations-Si- BSI-Bericht zur „Lage der IT-Sicherheit in Deutschland 2009“ nimmt das Sicherheitsbewusstsein in Verwaltung, Wirtschaft und Gesellschaft zu. Dies trifft sicher auch auf die Krankenhäuser in Deutschland zu und ist neben den vielfältigen gesetzlichen Forderungen und Vorschriften (z. B. Bundesdatenschutzgesetz, Abgabenordnung) auch einer „weiterAbbildung 1: Ganzheitlicher Unternehmensansatz hin unverändert ernst zu nehmenden Bedrohungslage (BSI-Bericht zur „Lage der IT-Sicherheit in Deutschland 2009“) geschuldet. Im Rahmen des KRITIS-Projektes des Bundes zum trachtung, unabhängig davon, welchem Schutzbedarf die Umgebung erfordert. Im Gesundheitswesen wird vermutlich eine ergänzende Risikobetrachtung notwendig werden, da die zu schützenden Daten, Anwendungen und Systeme durchaus als sehr sensibel einzustufen sind. Hinter all diesen – teils sehr formalen – Tätigkeiten stehen ein enormer Aufwand und eine Zeitspanne von oft mehreren Jahren. Von diesem Berg an Arbeit darf man sich aber nicht abschrecken lassen. Nachdem sich die Krankenhaus-Leitung zur Umsetzung einer InformationsSicherheitsstrategie bekannt hat, sollten zuerst die vorhandenen Prozesse, Anwendungen und Systeme identifiziert und erfasst werden (BSI: Strukturanalyse). Dazu identifizieren Sie (ggf. mit externer Unterstützung) besonders sicherheitsrelevante Bereiche (IT-Verbünde lt. BSI), Organisationseinheiten (z. B. Ambulanz, OP). Systeme (z. B. KIS, PACS) oder bekannte Schwachstellen (z. B. Serverraum, Virenschutz). Hierzu ist es hilfreich, sich an den BSI-Gefährdungs- & Maßnahmenkatalogen zu orientieren. Beginnen Sie dabei in diesen besonders sensiblen Bereichen. Wichtig ist dabei, die Vorgehensweise klar festzulegen und sich auch daran zu halten. DaAbbildung 2: Erstellung und Realisierung eines IT-Sicherheitskonzepts mit können die einzelnen Bereiche problemlos zusammengeführt und gegebenenfalls auch zur Zertifizierung verwendet werden. So schafft man es, durch organisatorische, personelle, infrastrukturelle und technische Standard-Sichercherheitsstrategie, die von zentraler Bedeutung ist, da sie das Bekenntnis der Leitungsebene in Bezug auf die Informationssicherheit innerhalb des Krankenhauses enthält und dokumentiert, leiten sich dann die meist öffentlichen Informations-Sicherheitsleitlinien sowie einzelne und zielgerichtete IT-Sicherheitsrichtlinien ab. Die einzelnen Sicherheitsrichtlinien können sowohl organisatorischer Natur wie auch technischer oder konzeptioneller Natur sein. Dieses Vorgehen schafft die Basis für ein effektives ISMS (Information Security Management System). In Anlehnung an den BSI-Standard 100-2 „IT-Grundschutz-Vorgehensweise“, die in Abbildung 2 dargestellt ist, folgt im Anschluss an die Festschreibung des Sicherheitsprozesses die Sicherheitskonzeption. Im Gegensatz zur ISO 27001 erfolgt bei den BSI-GK keine dedizierte Risikobetrachtung, wenn zuvor festgestellt wurde, dass der Schutzbedarf der zu betrachtenden Umgebung (IT-Verbund) als „normal“ eingestuft wurde. Erst wenn die zu betrachtende Umgebung einem signifikant höheren Schutzbedarf unterliegt, muss eine ergänzende Risikoanalyse stattfinden. Die ISO 27001 geht hier einen anderen Weg und fordert grundsätzlich eine Risikobe- Sascha Luithardt, MSc, EMDS AG: „Bringen Sie das Thema in den Vorstand oder Klinikleitung, sensibilisieren Sie dafür und suchen Sie sich Verbündete wie den Datenschutzbeauftragten.“ Reiner Schroeppel, Dipl.-Inform. (FH), Human Internet CONSULT AG: „Ziel sollte ein konzernweites „IT-Sicherheitskonzept“ sein, das sich aus einer globalen Informations-Sicherheitsstrategie ableitet.“ Literatur-Hinweise Deloitte-Studie: The time is now 2009 Life Sciences & Health Care Security Study A global perspective on cyber security, privacy and data protection in the life sciences and health care industry www.deloitte.com BSI-Bericht zur „Lage der IT-Sicherheit in Deutschland 2009“ www.bsi.bund.de heitsmaßnahmen ein Standard-Sicherheitsniveau aufzubauen, das ausbaufähig und zukunftssicher ist. Der erste Schritt zu mehr Informations-Sicherheit ist damit getan. www.bsi.bund.de www.emds-ag.de 31 Ausgabe 5/2009