ISMS/ B3S GAP Analyse

Die Digitalisierung in Krankenhäusern wird regelmäßig mit Schlagworten wie E-Health, Krankenhaus 4.0, KI und Automatisierung in Verbindung gebracht. Dies zeigt, dass die Transformation von Kliniken mithilfe von digitalen Systemen mehr als eine Zukunftsvision ist.

Die Vorteile von digital begleiteten Prozessen und softwaregestützten Geräten sind entlang des gesamten Betriebs von Kliniken sichtbar, indem bereits große Effizienzsteigerungen bei der Betreuung und Behandlung von Patienten inklusive der administrativen Verwaltung realisiert werden konnten.

Mit der steigenden Vernetzung und dem erhöhten Digitalisierungsgrad rückt zunehmend das Themenfeld der Informations- und IT-Sicherheit in den Fokus der öffentlichen Berichterstattung. Fälle von unerlaubten, gesetzwidrigen Zugriffen auf die Netzwerke und Daten - einschließlich Patientendaten - von Krankenhäusern in Deutschland zeigen dabei die Risiken für die Sicherheit der Betriebsprozesse, der Patienten und des Personals auf.

Der Handlungsbedarf für die Cybersecurity in Krankenhäusern wurde nicht nur von Betreibern und Trägern erkannt. Auch seitens der Gesetzgebung für kritische Infrastrukturen, zu der Kliniken gehören, wurde das Thema IT- und Informationssicherheit als integraler Bestandteil der Verfügbarkeitssicherung der gesundheitlichen Grundversorgung festgelegt. Dabei wird der Begriff der sogenannten „kritischen Infrastrukturen“ oder „nahen kritischen Infrastrukturen“ nunmehr sehr weit gefasst und erstreckt sich spätestens mit der Einführung des neuen §75c SGB V auf alle Krankenhäuser in Deutschland, welche nicht ohnehin schon als kritische Infrastruktur i.S.d. der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) angesehen werden.

Gemäß Sozialgesetzbuch (SGB) Fünftes Buch (V) sind Krankenhäuser ab dem 1. Januar 2022 verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind (§75c SGB 5).

Die Umsetzung und Ausgestaltung zur Erfüllung dieser gesetzlichen Anforderung kann durch die Krankenhäuser insbesondere durch die Anwendung eines branchenspezifischen „Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus“ erreicht werden (vgl. §75c Abs.2 SGB V). Ein geeigneter Sicherheitsstandard wird dabei per Feststellung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgegeben (vgl. § 8a Abs.2 BSIG).

TÜV Rheinland bietet Ihnen eine vorbereitende Analyse des derzeitigen Umsetzungsstandes zur Erfüllung der gesetzlichen Auflagen auf Grundlage des zur Verfügung stehenden und durch das BSI geprüften „Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus“ der Deutschen Krankenhausgesellschaft e.V. (DKG) an.

Die Analyse umfasst die wichtigen krankenhaustypischen technischen IT-Einrichtungen, die führenden Software-Anwendungen sowie die grundlegenden organisatorischen Prozesse, Verfahren und Maßnahmen zur Erfassung und Steuerung der Informations- und IT-Sicherheit im Krankenhaus.

Mit unserer GAP-Analyse erhalten Sie mehr Sicherheit und Transparenz über Ihre informationstechnischen Systeme. Ihr persönlicher Maßnahmenplan zeigt die nächsten Schritte auf. Wir beraten und begleiten Sie von der Analyse über die Strategie- und Konzeptentwicklung bis hin zur Umsetzung.

IT Sicherheit beginnt bei einem umfassenden ISMS (Informationssicherheits-Managementsystem). Die empfohlenen Schritte des B3S beginnen mit dem Aufbau eines ISMS-Systems innerhalb der klinischen Einrichtung. Das ISMS verfolgt die Erreichung der folgenden im B3S definierten Schutzziele:

VEFÜGBARKEIT
von Dienstleistungen, Funktionen eines Informationssystems, IT-Systemen, IT-Netzinfrastruktur oder auch von Informationen ist dann gegeben, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

INTEGRITÄT
bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen.

AUTHENTIZITÄT
der Informationen ist sichergestellt, wenn sie von der angegebenen Quelle erstellt wurden.

VERTRAULICHKEIT
stellt den Schutz vor unbefugter Preisgabe von Informationen sicher. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in zulässiger Weise zugänglich sein.

PATIENTENSICHERHEIT
als die Freiheit von unvertretbaren Risiken einer physischen Verletzung oder eines Schadens an der Gesundheit von Menschen. Dies schließt auch die Vermeidung einer nachhaltigen psychischen Belastung ein.

BEHANDLUNGSEFFEKTIVITÄT
stellt die wirksame Behandlung des Patienten unter Benutzung von Informationen und wirksamen Therapiemaßnahmen, ggf. auf Basis eines Informationsaustausches zwischen unterschiedlichen verantwortlichen Organisationseinheiten, sicher.

Zur Erreichung eines hohen Cybersecurityniveaus in Kliniken und Krankenhäusern bieten wir Ihnen ein breites Portfolio zur Erfüllung von Branchenspezifischen Anforderungen und kontinuierlicher Verbesserung Ihrer Cybersecurity:

Informationssicherheits-Management

TÜV Rheinland unterstützt Sie bei dem Aufbau eines ISMS mit expliziter Berücksichtigung der im B3S definierten Schutzziele, Methoden und Verfahren. Darüber hinaus bieten wie Ihnen eine kontinuierliche Systemüberwachung an. (Intrusion Detection Systeme/ Intrusion Prevention Systeme)

IT-Risiko- und Compliance- Management

Mit einer wirkungsvollen IT Compliance ermöglichen Sie Ihrer Klinik, sich schnell und flexibel an neue digitale Herausforderungen anzupassen.
Sie vermeiden durch den Aufbau einer regelkonformen und effizienten IT-Infrastruktur gesetzliche Verstöße und Schwachstellen in der Daten- und Informationssicherheit und schaffen so Regelkonformität.

Datenschutz

Unser interdisziplinäres Team aus Volljuristen, Wirtschaftsjuristen, Informatikern und Informationssicherheitsexperten unterstützt Sie dabei, die für Ihr Unternehmen individuell beste Lösung zu entwickeln und umzusetzen, während Sie sich auf Ihr Kerngeschäft konzentrieren können. Somit verringern Sie den Ressourceneinsatz für Ihren Datenschutz deutlich und stellen stets die Konformität zu Datenschutzrichtlinien sicher.
Die TÜV Rheinland Experten beraten Sie zum Datenschutz nach EU DSGVO und nationaler Gesetzgebung, unterstützen Sie beim Aufbau eines professionellen Whistleblowing Systems und identifizieren für Sie die individuellen Synergien zwischen den Managementsystemen ISO/IEC 27001 & ISO/IEC 27701 zur Einhaltung beider Standards in Ihrer Klinik.

BCM, Business Continuity Management

Mit einem betrieblichen Kontinuitätsmanagement sind Sie bestens auf mögliche Krisenzeiten vorbereitet und schaffen so präventiv Handlungsfreiräume. Stellen Sie durch eine effektive Notfallplanung sicher, dass in Ihrem Unternehmen im Schadensfall alle Beteiligten nach Plan handeln. Unsere pragmatischen Notfallkonzepte und Wiederanlaufpläne ermöglichen es Ihnen, dass Sie im Falle einer Beeinträchtigung oder eines Ausfalls Ihrer Geschäftsprozesse, Dienste, IT-Services oder -Systeme schnellstmöglich wieder produktiv arbeiten können.
In Kliniken liegt der Fokus auf der Umsetzung der Anforderungen aus der KRITIS Verordnung und der IT-Nofallvorsorge.

Penetrationstests

Mithilfe des Penetrationstests, kurz Pentests, überprüfen wir unter anderem Ihre bestehende IT-Infrastruktur (Netzwerke und IT-Systeme) wie z.B. das Gäste-WLAN auf potenzielle Schwachstellen, die Kriminellen eine Angriffsfläche für Cyberattacken bieten könnten. Die Testung kann sowohl außerhalb (extern) oder innerhalb (intern) Ihrer IT-Infrastruktur erfolgen. In Kliniken bieten sich insbesondere risikoklassifizierte Penetrationstests an, um ein möglichst umfassendes Bild über die Verwundbarkeit Ihrer Systeme zu erhalten.

IAM = Identity and Access-Management

In komplexen IT-Landschaften mit Cloud Services und mobilen Endgeräten hilft Ihnen ein leistungsstarkes Identity and Access Management dabei, Identitäten, Rollen und Berechtigungen übersichtlich und dynamisch zu verwalten. Wir unterstützen Sie dabei, aus der Vielzahl an Systemen am Markt das passende Identity and Access Management für Ihr Unternehmen auszuwählen. Gleichzeitig stellen wir die Implementierung gemäß den gesetzlichen Compliance Anforderungen sicher.