Informationssicherheit – viel Input beim GUTcert Innovationstag Zertifizierung
Viele spannende Informationen bot die Vortragsreihe rund um die Informationssicherheit: Fokus in diesem Jahr auf dem Bereich Gesundheitswesen und Medizintechnik
Beim Innovationstag Zertifizierung 2020 (ehem. GUTcert Neujahrstagung) lag einer der Schwerpunkte erneut bei der Informationssicherheit, insbesondere bei der Informationssicherheit im Gesundheitswesen und dem branchenübergreifenden Bereich der kritischen Infrastrukturen (KRITIS-Unternehmen).
Auftakt: Cyberreservisten in der Bundeswehr
Herr Oberstleutnant Dutschke von der Bundeswehr stellte sehr anschaulich das neue Vorgehen der Bundeswehr im Bereich Cybersecurity vor. Besonderes Augenmerk richtete er auf die neue Reserveeinheit der Bundeswehr, die für den Ernstfall auch auf zivile IT-Spezialisten zurückgreifen will. Diese „Cyberreservisten“ werden nach Kernkompetenzen eingestuft und in regelmäßigen Übungen geschult. Tritt ein Ernstfall ein, den die eigenen Ressourcen der Bundeswehr nicht abdecken können, werden sie zur Unterstützung der Bundeswehr einberufen.
Kernaussage von Oberstleutnant Dutschke: „Die neuen Herausforderungen können wir nur gemeinschaftlich bewältigen“.
Medizinprodukte – mehr als nur Hardware
Medizinprodukte haben komplexe und strenge Auflagen, um auf den Markt zu kommen, und diese Anforderungen werden ständig aktualisiert. Eine große Änderung gab es nun in der Medizinprodukte-Verordnung (MDR, IVDR).
Herr Tettke von der Berlin Cert Prüf- und Zertifizierstelle für Medizinprodukte GmbH hat diese Neuerungen in der Medizinprodukte-Verordnung kurz angerissen. Eine umfassende Analyse der sehr umfassenden Änderungen war in der kurzen Zeit nicht möglich. Ziel der MDR ist es, die bisher aktuellen Medizinprodukte-Richtlinien (MDD, AIMD, IVD) abzulösen. Dadurch ergeben sich neue Vorgaben, z.B. die sog. Post-Market-Surveillance. Diese beinhalten einen Plan für die Zeit nach Inverkehrbringen der Produkte sowie Berichte zu deren Sicherheit.
Thematisch ergänzend sprach Herr Johner von der Johner Institut GmbH über Software im Bereich der Medizintechnik. Die früher größtenteils verwendete „Hardware“, wie etwa Skalpelle, wurden nach und nach immer mehr durch Elektronik ergänzt. Mittlerweile jedoch sind die meisten Medizingeräte kleine vernetzt Computer, auf denen eine eigene Software läuft. So gibt es Programme, die Fotos, MRTs, etc. auswerten können und dem Arzt Hilfestellung zum Sachverhalt liefern können oder sogar Behandlungen vorschlagen. Diese Software (ebenfalls ein Medizinprodukt) muss gut bedienbar sein. Es darf keine Bugs geben, die Alarme „verschwinden“ lassen und Fehlinterpretation müssen ausgeschlossen werden. Da sich Software i.d.R. aber schneller ändert als die Regelwerke, führt das zu großen Herausforderungen. Nach Johner sollte vor allem mit Default-Einstellungen anders umgegangen werden, da 83% der Nutzer von Medizinsoftware nicht mit den Default-Werten arbeitet: Die dahinterliegende Risikoanalyse, die die Default-Werte bestimmt hat, ist damit hinfällig und das Medizinprodukt kann schlimmstenfalls den Patienten gefährden.
KRITIS – und was es konkret für Krankenhäuser bedeutet
Herrn Werner von der Diakonie Klinikum Dietrich Bonhoeffer GmbH legte ausführlich dar, wie dort mit den Anforderungen aus dem Gesetz und dem sehr spät erschienenem branchenspezifischen Sicherheitsstandard (B3S) umgegangen wurde.
Mit Ihren 40.000 stationären Fällen im Jahr liegt das Klinikum deutlich über dem Schwellenwert (30.000). Alle Hauptverantwortlichen (Geschäftsführer, IT, Medizintechnik, Qualitätsmanager, Informationssicherheitsbeauftragter uvm.) berieten sich und einigten sich auf ein ISMS. Da zu dem Zeitpunkt noch kein B3S erarbeitet war, begannen sie, ohne die tatsächlichen Anforderungen zu kennen, die erst mit Erscheinen der Vorabversion B3S konkreter wurden. Kritische Systeme, Prozesse und Anwendungen wurden identifiziert und bewertet, kategorisiert in Schutzklassen eingeteilt und daraus Maßnahmen abgeleitet.
Eine umfangreiche Risikoanalyse ist das Herzstück des ISMS: Hieraus ergeben sich Prioritäten und Maßnahmen. Abschließend wurde das System erfolgreich durch Auditoren der GUTcert in einer KRITIS §8a Prüfung beurteilt.
Die Vortragsreihe beschloss Herr Schäfer von der Adiccon GmbH. Er gab nützliche Tipps für noch-nicht-KRITIS-Krankenhäuser, die noch unter dem aktuellen Schwellenwert liegen. Da dieser perspektivisch gesenkt werden wird, ist es notwendig, dass sie sich schon jetzt mit der Informationssicherheit vertraut machen. Was diese Krankenhäuser bereits jetzt tun schrittweise können ist:
- eine geeignete Organisationsstruktur einführen
- alle kritischen Patientenversorgungsprozesse identifizieren
- IT-Infrastruktur, Verfahren und Schnittstellen identifizieren und dokumentieren
- IT-Risikomanagement für kritische Prozesse einführen
- ein Business Continuity Management einführen
- ein passendes ISMS einführen
Je mehr von diesen Schritten bereits umgesetzt werden desto leichter ist es später, ein KRITIS-konformes ISMS zu betreiben: Dann braucht es nur noch eine Meldekette bzw. Meldeverfahren, um die wichtigsten Anforderungen abzudecken. Das Dokumentieren des bereits Vorhandenen ist erfahrungsgemäß sehr zeitintensiv und sollte daher so schnell wie möglich begonnen werden. Unabhängig von KRITIS hilft dies zudem allen Beteiligten etwa im Vertretungsfall oder beim Einarbeiten neuer Mitarbeiter.
Fazit der Vortragsreihe
Im Bereich Medizin aus ist aus Informationssicherheitssicht gerade viel im Wandel: Es herrscht zum Teil große Unsicherheit und die Vorträge haben erste erläuternde Einblicke gegeben. Wir hoffen auf weiteres Vertiefen einiger Themen – erste Gespräche zu weiterführenden Vorträgen bzw. Veröffentlichungen laufen bereits.
Wir danken allen Referenten und Zuhörern für diesen interessanten Tag!
Ansprechpartner
Haben Sie Fragen oder Hinweise zum Thema ISMS? Wenden Sie sich gerne an Marcel Däfler.