Informationssicherheit für Gesundheitsdienstleister in der D-A-CH Region Europas

Einführung und Betrieb eines Information Security Management System (ISMS)


Masterarbeit, 2019

206 Seiten, Note: 1


Leseprobe

Inhalt

1. Einleitung
1.1 Problemstellung
1.1.1 IT-Sicherheitsvorfälle aus der Presse
1.1.1.1 Conficker in Kärnten: Nach der Landesregierung nun die Spitäler
1.1.1.2 Klinik Fürstenfeldbruck tagelang durch Schadsoftware lahmgelegt
1.1.1.3 Österreich: Datenleck im letzten Bundespräsidentschaftswahlkampf
1.1.1.4 Deutschland: die 10 größten Sicherheitsmängel in Krankenhäusern
1.2 Fragestellungen der Arbeit
1.3 Ziele der Arbeit
1.4 Aufbau der Arbeit

2. Grundlagen IT-Sicherheit und Betriebsfähigkeit
2.1 Definitionen IT-Sicherheit
2.1.1 IT-Sicherheit
2.2 Schutzziele der unterschiedlichen Normen
2.2.1 Schutzziele laut ISO/IEC 27000
2.2.2 Schutzziele laut ISO/IEC 22301
2.2.3 Schutzziele laut ISO/IEC 27005
2.2.4 Schutzziele laut ISO/IEC 80001
2.3 Bedeutung der IT-Sicherheit
2.4 IT-Sicherheit im Gesundheitswesen
2.5 Bedrohungen, Schwachstellen, Gefährdungen
2.6 Maßnahmen zur IT-Sicherheit
2.6.1 Technische Maßnahmen
2.6.2 Organisatorische Maßnahmen
2.6.3 Personelle Maßnahmen
2.7 Sensibilisierung der Mitarbeiterinnen und Mitarbeiter
2.8 Aufrechterhaltung der Betriebsfähigkeit
2.9 IT-Sicherheit, Compliance und Datenschutz
2.9.1 Schutzziele des Datenschutzes

3. Managementsysteme
3.1 Managementprinzipien
3.1.1 Informationssicherheitsmanagementsystem (ISMS)
3.1.1.1 ISMS-Prozessmodell
3.1.1.2 Elemente des Informationssicherheits-Managements
3.1.2 Risikomanagementsystem (RMS)
3.1.3 Business Continuity Management System (BCMS)

4. Rechtliche Vorschriften in der EU, A, D und CH
4.1 Tatbestände laut Strafgesetzbuch
4.1.1 Abfangen bzw. Ausspähen von Daten
4.1.2 Unbefugter Zugriff auf ein IT-System
4.1.3 Missbräuchliche betrügerische Verwendung von Daten
4.1.4 Beschädigung von Daten
4.1.5 Störung des IT-Systems
4.2 Netz- und Informationssicherheit
4.2.1 Gesetzliche Regelungen zur IT-Sicherheit
4.2.2 EU: NIS - Richtlinie 2016/1148
4.2.2.1 Gründe für die Richtlinie
4.2.2.2 Begriffsbestimmungen
4.2.2.3 Ermittlung der Betreiber wesentlicher Dienste
4.2.2.4 Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen
4.2.2.5 Normung
4.2.3 A: Netz- und Informationssystemsicherheitsgesetz – NISG
4.2.3.1 Ermittlung der Betreiber wesentlicher Dienste
4.2.3.2 Sicherheitsvorkehrungen für Betreiber wesentlicher Dienste
4.2.3.3 Meldepflicht für Betreiber wesentlicher Dienste
4.2.4 D: IT-Sicherheitsgesetz und das Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148
4.2.5 D: BSI-Gesetz
4.2.5.1 Begriffsbestimmungen
4.2.5.2 Aufgaben des Bundesamtes
4.2.5.3 Verpflichtung Betreiber Kritischer Infrastrukturen
4.2.5.4 Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen
4.2.6 CH: Bundesgesetz über die Informationssicherheit beim Bund
4.2.6.1 Allgemeine Bestimmungen
4.2.6.2 Begriffe
4.2.6.3 Informationssicherheit
4.2.6.4 Informationssystem zur Unterstützung von kritischen Infrastrukturen
4.2.7 CH: Nationale Strategie zum Schutz vor Cyber-Risiken 2018–2022
4.3 Betreiber kritischer Infrastrukturen
4.3.1 EU: Durchführungsverordnung 2018/151 der EU-Kommission
4.3.1.1 Sicherheitselemente
4.3.2 Wesentliche Dienste im Sektor Gesundheitswesen
4.3.2.1 Österreich
4.3.2.2 Deutschland
4.4 Verpflichtungen aus dem Datenschutz
4.4.1 EU: Datenschutzgrundverordnung DSGVO
4.4.1.1 Gründe für diese Verordnung
4.4.1.2 Begriffsbestimmungen
4.4.1.3 Grundsätze für die Verarbeitung personenbezogener Daten
4.4.1.4 Sicherheit der Verarbeitung
4.4.2 A: Datenschutzgesetz
4.4.2.1 Datensicherheitsmaßnahmen
4.4.2.2 Protokollierung
4.4.3 D: Bundesdatenschutzgesetz
4.4.3.1 Datenschutz durch Technikgestaltung
4.4.4 CH: Datenschutzgesetz
4.4.4.1 Begriffe
4.4.4.2 Datensicherheit
4.4.4.3 Datenbearbeitung durch Dritte
4.5 Verpflichtungen als Medizinprodukte-Betreiber
4.5.1 A: Medizinproduktegesetz
4.5.1.1 Allgemeine Anforderungen
4.5.2 D: Medizinproduktegesetz
4.5.2.1 Verweis auf Medizinproduktebetreiberverordnung
4.5.3 D: Medizinprodukte-Betreiberverordnung
4.5.3.1 Betrieb von Medizinprodukten

5. Normen, Leitlinien und Leitfäden
5.1 Umsetzung der IT-Sicherheit
5.1.1 (Sach)Ziele
5.1.2 (Grund)Funktionen
5.1.3 Mechanismen
5.2 BSI IT-Grundschutz
5.3 ISO/IEC 2700x
5.3.1 Die ISMS-Normenfamilie
5.3.2 Identifizierung von Informationssicherheitsanforderungen
5.3.3 Beurteilung von Informationssicherheitsrisiken
5.3.4 Behandlung von Informationssicherheitsrisiken
5.3.5 Auswahl und Umsetzung von Maßnahmen
5.3.6 Überwachung, Aufrechterhaltung und Verbesserung der Wirksamkeit des ISMS
5.3.7 Fortlaufende Verbesserung
5.4 ISO/IEC 27001 (ISMS - Anforderungen)
5.4.1 Führung und Verpflichtung
5.4.2 Politik
5.4.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
5.4.4 Informationssicherheitsrisikobeurteilung
5.4.5 Informationssicherheitsrisikobehandlung
5.4.6 Informationssicherheitsziele und Planung zu deren Erreichung
5.4.7 Ressourcen
5.4.8 Kompetenz
5.4.9 Überwachung, Messung, Analyse und Bewertung
5.4.10 Internes Audit
5.4.11 Managementbewertung
5.4.12 Nichtkonformität und Korrekturmaßnahmen
5.4.13 Fortlaufende Verbesserung
5.5 ISO/IEC 27002 und ISO/IEC 27799 (ISMS - Leitfaden für Maßnahmen)
5.5.1 Zu schützende Gesundheitsinformationen
5.5.2 Anforderungen an Informationssicherheit
5.5.3 Auswahl von Maßnahmen
5.5.4 Entwicklung eigener Leitfäden
5.5.5 Berücksichtigung von Lebenszyklen
5.5.6 Informationssicherheitsrichtlinien
5.5.7 Informationssicherheitsrollen und -verantwortlichkeiten
5.5.8 Aufrechterhalten der Informationssicherheit
5.6 ISO/IEC 27005
5.6.1 Überblick über den Risikomanagement­Prozess
5.6.1.1 Festlegung des Kontexts
5.6.1.2 Risiko·Assessment
5.6.1.3 Risikoidentifikation
5.6.1.4 Identifikation von Bedrohungen
5.6.1.5 Identifikation bereits umgesetzter Maßnahmen
5.6.1.6 Identifikation von Schwachstellen
5.6.1.7 Identifikation von Schadensauswirkungen
5.6.1.8 Risikoanalyse
5.6.1.9 Assessment der Auswirkungen
5.6.1.10 Assessment der Wahrscheinlichkeiten
5.6.1.11 Assessment des Risiko-Levels
5.6.1.12 Risikobewertung / Priorisierung
5.6.1.13 Risikobehandlung
5.6.1.14 Risikomodifikation
5.6.1.15 Risikoübernahme
5.6.1.16 Risikovermeidung
5.6.1.17 Teilen von Risiken
5.6.1.18 Risikokommunikation und Beratung
5.7 EN.ISO 22301 (BCMS - Anforderungen) und ISO 22313 (BCMS - Leitlinien)
5.7.1 Das Planen-Durchführen-Prüfen-Handeln-Modell (PDCA-Modell)
5.7.2 Verwendete Verbformen:
5.7.3 Wichtige Begriffe:
5.7.4 Verstehen der Organisation und ihres Kontextes
5.7.5 Rechtliche und behördliche Anforderungen
5.7.6 Anwendungsbereich des BCMS
5.7.7 Führung und Verpflichtung
5.7.8 Leitlinien
5.7.9 Funktionen, Verantwortlichkeiten und Befugnisse innerhalb der Organisation
5.7.10 Ressourcen
5.7.11 Kompetenz
5.7.12 Bewusstseinsbildung
5.7.13 Kommunikation
5.7.14 Ablaufplanung und Kontrolle
5.7.15 Business Impact Analyse
5.7.16 Risikobewertung
5.7.17 Festlegung und Auswahl der Strategien und Lösungen
5.7.18 Ressourcenbedarf
5.7.19 Reaktionsstruktur
5.7.20 Pläne zur Aufrechterhaltung der Betriebsfähigkeit
5.7.21 Übungsprogramm
5.7.22 Leistungsüberprüfung
5.7.23 Internes Audit
5.7.24 Managementüberprüfung
5.7.25 Nichtkonformität und Korrekturmaßnahmen
5.7.26 Ständige Verbesserung
5.8 IEC 60601-4-5: Die Norm zur IT-Sicherheit auch für standalone Software?
5.8.1 Safety versus Security
5.8.2 Priorisierungen
5.8.3 Security Levels – Das zentrale Konzept der IEC 60601-4-5
5.8.4 Festlegung des SL-T
5.8.5 Nutzen und Verwendung der Security Levels
5.9 IEC 80001: Risikomanagement bei vernetzter Medizintechnik
5.9.1 Begriffe der Norm:
5.9.2 Verantwortung der obersten Leitung
5.9.3 Beschreibung der Risiko-relevanten Elemente
5.9.4 Risikomanagement-Plan für das medizinische IT-Netzwerk
5.9.5 Risikoanalyse
5.9.6 Risikobewertung
5.9.7 Risikobeherrschung
5.9.7.1 Analyse der Wahlmöglichkeiten der Risikobeherrschung
5.9.7.2 Maßnahmen der Risikobeherrschung
5.9.7.3 Umsetzung von Maßnahmen der Risikobeherrschung
5.9.7.4 Verifizierung von Maßnahmen der Risikobeherrschung
5.9.7.5 Neue Risiken, die von Maßnahmen der Risikobeherrschung herrühren
5.9.8 Risikomanagement im Echtbetrieb
5.9.8.1 Überwachung
5.10 ISIS 12
5.11 VdS 10000

6. Einführung und Betrieb eines ISMS im Krankenhaus
6.1 Einführung und Betrieb eines ISMS
6.1.1 Sicherheitsorganisation
6.1.1.1 Vorbereitende Maßnahmen
6.1.2 Vorgehensmodell zur Einführung eines ISMS
6.1.3 Vorgehensmodell zum Betrieb eines ISMS
6.1.4 Vorgehensmodell zur Einführung eines BCMS
6.1.5 Vorgehensmodell zum Betrieb eines BCMS
6.1.6 Vorgehensmodell zur Einführung eines RMS
6.1.6.1 Erstellung einer Risikomatrix
6.2 Rechtliche Bedingungen beim Betrieb eines ISMS
6.2.1.1 Informationsaustausch zwischen Behörden und Betreibern kritischer Infrastrukturen
6.2.1.2 Wer muss Vorfälle melden?
6.2.1.3 Müssen IT-Störungen gemeldet werden?
6.2.1.4 Wann und wohin muss gemeldet werden:
6.2.1.5 Gewöhnliche Sicherheitsvorfälle (nicht meldepflichtig)
6.2.1.6 Außergewöhnliche IT-Störungen (meldepflichtig)
6.2.1.7 Beeinträchtigung oder Ausfall der Funktionsfähigkeit (meldepflichtig)

7. Vorgehensweise bei der Umsetzung des Projektes
7.1 Ausgangsbasis
7.2 Starten des Projektes
7.2.1 Projektplan
7.2.2 Verfahren zur Lenkung von Dokumenten und Aufzeichnungen
7.2.2.1 Dokumente mit unterster Vertraulichkeitsstufe
7.2.2.2 Dokumente mit höherer Vertraulichkeitsstufe
7.2.2.3 Aktualisierung von Dokumenten
7.2.2.4 Lenkung von Aufzeichnungen
7.2.2.5 Dokumente externer Herkunft
7.3 Durchführen der Prozessanalyse
7.3.1 Identifikation der Anforderungen und interessierten Parteien
7.3.2 Überprüfung und Bewertung
7.3.3 Verantwortlichkeiten
7.4 Aufbauen des Risikomanagements
7.4.1 Ablauf der ISMS Risikoanalyse
7.4.1.1 Risikoeinschätzung
7.4.1.2 Werte, Schwachstellen und Bedrohungen
7.4.1.3 Festlegung der Risiko-Eigentümer
7.4.1.4 Auswirkungen und Wahrscheinlichkeiten
7.4.1.5 Risikobehandlung
7.4.2 Erstellung der Risikoanalyse
7.5 Definieren der Vorgaben
7.5.1 Verantwortlichkeiten der Leitung
7.5.2 Mobilgeräte
7.5.3 Telearbeit
7.5.4 Personalsicherheit: Sicherheitsüberprüfung
7.5.5 Klassifizierung von Information
7.5.6 Handhabung von Wechseldatenträgern
7.5.6.1 Entsorgung, Vernichtung und Weiterverwendung von Datenträgern
7.5.7 Zugangssteuerungsrichtlinie
7.5.7.1 Kennwortrichtlinie
7.5.8 Zugang zu Netzwerken und Netzwerkdiensten
7.5.9 Registrierung und Deregistrierung von Benutzern
7.5.10 Unbeaufsichtigte Benutzergeräte
7.5.11 Maßnahmen gegen Schadsoftware
7.5.12 Betriebliches Kontinuitätsmanagement
7.5.12.1 Geschäftsauswirkungsanalyse – Methodik
7.5.12.2 Strategie für betriebliches Kontinuitätsmanagement
7.5.12.3 Notfallantwortstruktur
7.6 Dokumentieren der Abläufe
7.7 Erstellen der Notfallpläne
7.8 Schulen der Mitarbeiter
7.8.1 Plan für Training und Awareness
7.9 Laufendes verbessern des ISMS
7.9.1 Internes Audit
7.9.1.1 Planung interner Audits
7.9.2 Korrekturen und Korrekturmaßnahmen
7.9.2.1 Nichtkonformitäten und Korrekturen
7.9.2.2 Korrekturmaßnahmen
7.10 Aufbau eines Security Operations Centre (SOC).
7.10.1 Erkennen
7.10.2 Reagieren
7.10.3 Auswerten

8. Zusammenfassung

9. Ausblick

Anhang A: Verwendete Dokumente für ISO 27001 und ISO 22301
Informationssicherheit
Kontinuitätsmanagement

Anhang B: Elementare Gefährdungen laut BSI-Grundschutz

Anhang C: Rechtsquellen

Anhang D: Gesetzestexte
Abfangen bzw. Ausspähen von Daten
A: § 119a StGB - Missbräuchliches Abfangen von Daten
D: § 202a StGB - Ausspähen von Daten
D: § 202b StGB - Abfangen von Daten
D: § 202c StGB - Vorbereiten des Ausspähens / Abfangens von Daten
D: § 149 StGB - Vorbereitung der Fälschung von Geld und Wertzeichen
CH: Art. 143 StGB - Unbefugte Datenbeschaffung
Beschädigung von Daten
A: § 148a StGB - Betrügerischer Datenverarbeitungsmißbrauch
D: § 303a StGB - Datenveränderung
D: § 269 StGB - Fälschung beweiserheblicher Daten
D: § 267 StGB - Urkundenfälschung
CH: Art. 144 StGB - Datenbeschädigung
CH: Art. 147 StGB - Betrügerischer Missbrauch einer Datenverarbeitungsanlage
Störung des IT-Systems
A: § 126b StGB - Störung der Funktionsfähigkeit eines Computersystems
D: § 303b StGB - Computersabotage
Unbefugter Zugriff auf ein IT-System
A: § 118a StGB - Widerrechtlicher Zugriff auf ein Computersystem
CH: Art. 143 StGB - Unbefugtes Eindringen in ein Datenverarbeitungssystem
Netz- und Informationssicherheit
EU: NIS - Richtlinie 2016/1148
Begriffsbestimmungen
Gründe für die Richtlinie
Ermittlung der Betreiber wesentlicher Dienste
Erhebliche Störung
Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen
Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen
Normung
A: Netz- und Informationssystemsicherheitsgesetz – NISG
Ermittlung der Betreiber wesentlicher Dienste
Sicherheitsvorkehrungen für Betreiber wesentlicher Dienste
Meldepflicht für Betreiber wesentlicher Dienste
Freiwillige Meldungen
D: IT-Sicherheitsgesetz und das Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148
D: BSI-Gesetz
Begriffsbestimmungen
Aufgaben des Bundesamtes
Wiederherstellung der Sicherheit oder Funktionsfähigkeit in herausgehobenen Fällen
Verpflichtung Betreiber Kritischer Infrastrukturen
Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen
CH: Bundesgesetz über die Informationssicherheit beim Bund (n. i. Kraft)
Allgemeine Bestimmungen
Begriffe
Informationssicherheit
Aufgaben des Bundes
Informationssystem zur Unterstützung von kritischen Infrastrukturen
CH: Nationale Strategie zum Schutz vor Cyber-Risiken 2018–2022
Betreiber kritischer Infrastrukturen
EU: Durchführungsverordnung 2018/151 der EU-Kommission
Sicherheitselemente
A: Netz- und Informationssystemsicherheitsverordnung – NISV
Sektor Gesundheitswesen
Sicherheitsvorkehrungen
Sicherheitsmaßnahmen
D: BSI-Kritis-Verordnung
Begriffsbestimmungen
Sektor Gesundheit
Anlagenkategorien im Sektor Gesundheit
Schwellenwerte im Sektor Gesundheit
Verpflichtungen aus dem Datenschutz
EU: Datenschutzgrundverordnung
Begriffsbestimmungen
Gründe für diese Verordnung
Grundsätze für die Verarbeitung personenbezogener Daten
Verantwortung des für die Verarbeitung Verantwortlichen
Sicherheit der Verarbeitung
A: Datenschutzgesetz
Pflichten des Verantwortlichen
Verzeichnis von Verarbeitungstätigkeiten
Protokollierung
Datensicherheitsmaßnahmen
D: Bundesdatenschutzgesetz
Anforderungen an die Sicherheit der Datenverarbeitung
Datenschutz durch Technikgestaltung
CH: Datenschutzgesetz
Begriffe
Datensicherheit
Datenbearbeitung durch Dritte
Verpflichtungen als Medizinprodukte-Betreiber
A: Medizinproduktegesetz
Allgemeine Anforderungen
D: Medizinproduktegesetz
Verweis auf Medizinproduktebetreiberverordnung
D: Medizinprodukte-Betreiberverordnung
Betrieb von Medizinprodukten

Anhang E: ISIS 12 Vorgangsweise
9.1.1 Schritt 1: Leitlinie erstellen
9.1.2 Schritt 2: Mitarbeiter sensibilisieren
9.1.3 Schritt 3: Informationssicherheitsteam aufbauen
9.1.4 Schritt 4: IT-Dokumentationsstruktur festlegen
9.1.5 Schritt 5: IT-Servicemanagement-Prozess einführen
9.1.6 Schritt 6: Kritische Applikationen identifizieren
9.1.7 Schritt 7: IT-Struktur analysieren
9.1.8 Schritt 8: Sicherheitsmaßnahmen modellieren
9.1.9 Schritt 9: Ist-Soll vergleichen
9.1.10 Schritt 10: Umsetzung planen
9.1.11 Schritt 11: Umsetzen
9.1.12 Schritt 12: Revision
9.1.13 Zertifizierung von ISIS12

Anhang F: VdS 10000 Quick-Check
9.2 VdS Quick-Check
9.2.1 Organisation
9.2.2 Technik
9.2.3 Prävention
9.2.4 Management
9.2.5 Zusammenfassung
9.3 VdS Quick-Audit für Informationssicherheit

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

Literatur

Einführung

Die Versorgung der Bevölkerung mit Gesundheitsdienstleistungen ist auch in Krisensituationen zu gewährleisten. Die Einrichtungen des Gesundheitswesens, wie z.B. Krankenhäuser, sind nur in begrenztem Maße auf Extremsituationen eingestellt, obwohl sie gerade in diesen Situationen gefordert sein können, besonders hohe Leistung erbringen zu müssen. Wenn Einrichtungen des Gesundheitswesens keine ausreichenden Schutzvorkehrungen aufweisen, kann sich dies unmittelbar auf die Versorgung auswirken und Menschenleben gefährden.

Informationssicherheit und Datenschutz kann heutzutage nicht mehr ignoriert werden. Vor allem im Gesundheits- und Sozialwesen hat der Schutz der sensiblen Patientendaten einen hohen Stellenwert.

Daher müssen, um ein ausreichendes Niveau an Informationssicherheit gewährleisten zu können – besonders im Gesundheits- und Sozialwesen – Sicherheitsmechanismen ergriffen werden, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten entsprechend sicherzustellen. Eine Möglichkeit, dies zu erreichen, ist, ein Informationssicherheitsmanagementsystem (ISMS) nach der international anerkannten Norm ISO/IEC 27001 einzuführen und zu betreiben.

Mit der NIS-Richtlinie – der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informations-systemen in der Union – hat sich die Europäische Kommission zum Ziel gesetzt, die Netzwerk- und Informationssicherheit in der EU zu verbessern. Diese Richtlinie ist inzwischen in Österreich und Deutschland in nationales Recht übernommen worden, die Schweiz bereitet ebenfalls entsprechende Gesetze vor.

Diese Arbeit soll die rechtlichen und normativen Rahmenbedingungen für Gesundheitsdienstleister als kritische Infrastruktur im D-A-CH-Raum beleuchten und ein Konzept für die Einführung und den Betrieb eines ISMS erstellen.

Durch die EU NIS-Richtlinie wurde ein Bewusstsein für die Sicherheit kritischer Infrastrukturen geschaffen. Diese fordert nicht nur eine Beschäftigung mit den Belangen der reinen IT-Sicherheit, sondern fordert auch Konzepte zur Betriebsfähigkeit.

In der vorliegenden Arbeit wird aufgezeigt, dass IT-Sicherheit kein Thema der IT-Abteilung allein ist. Es ist ein Thema, das sich durch die gesamte Organisation zieht, von der obersten Leitung bis zu Ärztinnen, Ärzten, Pflegekräften und Verwaltungspersonal.

Im Bewusstsein der handelnden Personen ist allerdings viel stärker die EU Datenschutzgrundverordnung verankert. War vor einiger Zeit das Thema Datenschutz bei den Mitarbeiterinnen und Mitarbeitern von Gesundheitseinrichtungen noch nicht wirklich vorhanden, ist das durch die mediale Aufarbeitung jetzt viel stärker im Fokus.

Die vorliegende Arbeit zeigt aber auch auf, dass es nicht nur Richtlinien und Gesetze gibt, die eine Beschäftigung mit IT-Sicherheit fordern, sondern auch strafrechtliche Sanktionen zu beachten sind.

1. Einleitung

1.1 Problemstellung

1.1.1 IT-Sicherheitsvorfälle aus der Presse

1.1.1.1 Conficker in Kärnten: Nach der Landesregierung nun die Spitäler

Im Jahre 2009 gab es folgenden Zwischenfall, wie Heise.de berichtete 1:

Im Jahr 2009 wurden in Kärnten rund 3000 Krankenhaus-PCs vom Computerwurm „Conficker“ befallen und mussten komplett neu installiert werden.

„Unbestätigten Informationen zufolge soll Conficker über einen Laptop in das KABEG-Netzwerk eingesickert sein.

Von dem Laptop aus soll er sich auf tausende gemeinsam genutzte Verzeichnisse verteilt haben, die nicht mit Passwörtern gesichert sind. Der Grund für die mangelhafte Absicherung soll darin liegen, dass die Krankenhäuser verschiedene medizinische Geräte einsetzen, die Daten übermitteln, aber nicht mit Passwörtern für die Verzeichnisse umgehen können.

Um den reibungslosen Betrieb zu ermöglichen, wurde daher auf die Einrichtung eines Kennwortschutzes verzichtet, was sich nun als teurer Fehler erwiesen hat. Andere Quellen sprechen von einem USB-Stick als Ausgangspunkt der Infektion. Bisweilen sollen Patienten ihre Befunde auf solchen Speichermedien mitbringen.“

Inzwischen hat sich aber wenig geändert, wie folgender Vorfall zeigt:

1.1.1.2 Klinik Fürstenfeldbruck tagelang durch Schadsoftware lahmgelegt

Wie die Ärztezeitung 2 berichtet, wurde die Klinik im bayrischen Fürstenfeldbruck im November 2018 Opfer einer groß angelegten Cyber-Attacke, die hauptsächlich auf dem Trojaner "Emotet" aufbaute:

"Die Leitung im Klinikum Fürstenfeldbruck lässt Fragen nach verantwortungsbewusstem Umgang mit Patientendaten derzeit unbeantwortet. Diese muss sich das Krankenhaus gefallen lassen, nachdem seine Computer am 8. November einem Verschlüsselungstrojaner zum Opfer gefallen sein sollen. Die Folge: „Nicht ein einziger Computer funktionierte“, schrieb der „Münchner Merkur“.

1.1.1.3 Österreich: Datenleck im letzten Bundespräsidentschaftswahlkampf

Ein Datenleck während des letzten österreichischen Präsidentschaftswahlkampfs führte dazu, dass der Antrag des Kandidaten Norbert Hofer für eine Berufsunfähigkeitspension an Medien gelangte.

Die Tageszeitung "KURIER" 3 berichtete in der heißen Phase des Wahlkampfs über dieses sensible persönliche Thema eines Kandidaten.

1.1.1.4 Deutschland: die 10 größten Sicherheitsmängel in Krankenhäusern

Im Gegensatz zur Finanzbranche, in der die nationalen Aufsichtsbehörden sich schon lange mit den Sicherheitsvorkehrungen von Banken und Versicherungen befassten, gibt es bisher im Gesundheitsbereich keine verpflichtenden Handlungsanweisungen, kritisiert der deutsche Sicherheitsexperte Ronny Frankenstein 4:

„Es fehlt einfach das verbindende Element. Bisher haben verschiedene Organisationen und Arbeitsgruppen in der Gesundheitsbranche nur hier und da Empfehlungen im Sinne von Konformität oder gar Standards verbreitet. Im Einzelfall wurden spezielle Themen weiter mit punktuellen Handlungsempfehlungen konkretisiert. Von einer systematischen Herangehensweise kann jedoch keine Rede sein.“

Er veröffentlichte in der Zeitschrift iX 1/2019 ein negatives Ranking der zehn größten Gefahren, die er in Krankenhäusern sieht:

- 89 % keine oder zu komplettierende Leitlinie, Sicherheitsrichtlinien und Sicherheitskonzepte
- 86 % keine systematische technische Detektion von Sicherheitsvorfällen
- 84 % keine Konzeption und Durchführung regelmäßiger Tests und Audits
- 84 % keine Richtlinien, Verfahren oder kein Prozess zur Sicherheitsvorfallbehandlung
- 81 % keine oder unstrukturierte Ursachenanalyse von Sicherheitsvorfällen
- 78 % keine Mechanismen zur Angriffserkennung durch die Auswertung von Logdaten
- 70 % keine technischen Sicherheitsscans zur Ermittlung der vergebenen Rechte und Rollen
- 68 % keine oder zu erweiternde Krisenpläne für Cyberkrisen/Anforderungen an einen sicheren IT-Betrieb
- 65 % keine oder keine gelebte Verschlüsselung mobiler Geräte
- 60 % keine Durch-/Fortführung von Risikoanalysen (Planung geeigneter Schutzmaßnahmen)

1.2 Fragestellungen der Arbeit

- Was wird unter kritischer Infrastruktur in der EU bzw. den einzelnen Ländern verstanden?
- Unterschied in den einzelnen Ländern der D-A-CH – Region (Deutschland, Österreich, Schweiz) im Hinblick auf:

- Umsetzung der entsprechenden EU-Richtlinien und Verordnungen
- Formulierung der nationalen Gesetze zu IT-Sicherheit bzw. Cyber-Security, Netz-Infrastruktur, …
- Nationale Verordnungen
- Aufgaben der einzelnen Behörden bzw. staatlichen Stellen zu diesen Themen

- Vorbereitung von Gesundheitseinrichtungen auf die Anforderungen

- Was ist konkret für eine Gesundheitseinrichtung zu tun?
- Welche Vorbereitungen sind zu treffen?
- Welche Gesundheitseinrichtungen (in DE, AT, CH) umfassen die oben erwähnten Regelungen?
- Wie sollen sich Gesundheitseinrichtungen verhalten, die noch nicht unter die Kriterien für kritische Infrastrukturen fallen?

- Welche internationalen Normen bieten sich an?
- Zusammenspiel bzw. Abhängigkeit zw. der EU-DSGVO (inkl. nationalen Besonderheiten in der Gesetzgebung)
- Auswirkungen auf die Patientensicherheit

1.3 Ziele der Arbeit

Das Ziel dieser Arbeit ist ein Überblick über die Normen im Bereich IT-Sicherheit sowie ein Überblick über die rechtlichen Rahmenbedingungen in den einzelnen Ländern der D-A-CH Region. Dies umfasst sowohl EU-weite Richtlinien und Verordnungen als auch die nationale (manchmal auch regionale) Umsetzung in den einzelnen Ländern.

Aus diesem Überblick wird ein Konzept für die Einführung eines ISMS für Krankenanstalten in unterschiedlichen Größenordnungen und Organisationsformen entstehen.

Dieses Konzept wird Vorschläge für die unterschiedlichen Aspekte der Einführung und Umsetzung eines ISMS umfassen.

Einen Ansatz (speziell für kleine Krankenanstalten) stellen auch die 12 Schritte nach ISIS12 dar 5. ISMS nach ISO/IEC 27001 oder den IT-Grundschutz-Katalogen des BSI stellen aus verschiedenen Gründen oft große Hürden für Unternehmen des Mittelstands (KMU, aber auch kleinere Krankenhäuser) dar. Schwierigkeiten bestehen erfahrungsgemäß unter anderem darin, ausreichend ausgebildetes Personal in den meist kleinen IT-Abteilungen abstellen zu können. Weiterhin stellt die in dem ISO/IEC 27001-Standard geforderte Risikoanalyse sowie das Auswählen von konkreten Maßnahmen viele Unternehmen in der Realität vor unlösbare Aufgaben. Das sogenannte „Netz für Informationssicherheit im Mittelstand (NIM)“ (Mitglieder u. a. Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg) entwickelte daher – aus IT-Grundschutz und ISO/IEC 27001 abgeleitet – ein wissenschaftlich abgestütztes Modell zur Einführung eines ISMS in 12 konkreten Schritten. Wesentliches Augenmerk wurde darauf gelegt nicht jedes Bedrohungsszenario abzudecken, sondern den Unternehmen eine klare Handlungsanweisung in begrenztem Umfang, mit integriertem Einführungskonzept und in verständlicher Sprache an die Hand gegeben wird.

Eine andere Quelle für Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen ist die Richtlinie „VdS 10000“ 6. Sie sind speziell für KMU sowie für kleinere und mittlere Institutionen und Behörden ausgelegt. Ziel der „VdS 10000“ ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, das mit möglichst geringem Aufwand umgesetzt werden kann. Da viele Krankenhäuser eher kleinen bis mittleren Unternehmen entsprechen wird dieses Konzept als Einstiegsmöglichkeit für diese Institutionen in Betracht gezogen.

1.4 Aufbau der Arbeit

Die folgende Arbeit setzt sich mit der Einführung eines Informationssicherheitsmanagementsystems und damit auch eines Risikomanagementsystems auseinander. Da die Informationssicherheit aber auch die Betriebsfähigkeit fordert, wird auch auf die Einführung und den Betrieb eines Business Continuity Management System eingegangen.

Kapitel 2 definiert die Begriffe IT-Sicherheit, Risiko und Betriebsfähigkeit.

Im Kapitel 3 wird gezeigt wie ein Managementsystem grundsätzlich funktioniert.

Kapitel 4 klärt die Frage, warum ein ISMS überhaupt notwendig ist. Es behandelt die rechtlichen Bedingungen, die erfüllt werden müssen. Das umfasst Bestimmungen aus den Strafgesetzbüchern der 3 Länder, da in jedem Land die Begünstigung von strafbaren Handlungen eine Mitschuld bedeutet. Die EU NIS-Richtlinie und entsprechende nationale Gesetze und Verordnungen regeln in Österreich und Deutschland gemeinsame Mindeststandards und Kooperation im Bereich der IT-Sicherheit. Das Nicht-EU-Mitglied Schweiz hat bis heute kein entsprechendes Gesetz verabschiedet, obwohl es eine Gesetzesvorlage des Bundesrates gibt. Aber auch der immer wichtiger werdende Datenschutz fordert entsprechende Maßnahmen zur IT-Sicherheit.

Kapitel 5 behandelt was zu tun ist damit ein ISMS die IT-Sicherheit gewährleistet. Dazu werden die entsprechenden internationalen Normen ISO 27000, 22301 bzw. 80000-1. Da die Einführung und die Zertifizierung nach diesen Normen aber gerade Gesundheitsdienstleister gerade auch personell überfordern kann, werden auch Leitlinien verschiedener Institutionen behandelt.

Im Kapitel 6 wird gezeigt wie die Einführung und der Betrieb eines ISMS, BCMS und RMS durchgeführt werden kann. Dazu werden entsprechende Vorgehensmodelle gezeigt.

Im Kapitel 7 wird das Projekt zur Einführung und den Betrieb eines ISMS in einem österreichischen Krankenhaus vorgestellt. Der ärztliche Leiter hat allerdings die Nennung des Names und aller Daten, die während des Projektes angefallen sind, verboten. Daher wird nur die Vorgehensweise gezeigt. Daher sind alle personenbezogenen Informationen anonymisiert worden.

2. Grundlagen IT-Sicherheit und Betriebsfähigkeit

2.1 Definitionen IT-Sicherheit

Die vorliegende Arbeit orientiert sich maßgeblich an den Begriffen und Definitionen der Normen Familien IEC 27000 (Informationstechnik), 80001 () und 22300 (Business Continuity). Im Folgenden werden die wichtigsten Definitionen erläutert.

2.1.1 IT-Sicherheit

Für den Begriff IT-Sicherheit werden unterschiedliche Definitionen verwendet.

Witt versteht etwa die „Abwesenheit von Gefahren bei systematisch verbundenen IT-Komponenten “ 7 S.1 Laut einer weiteren Definition umschreibt Thies IT-Sicherheit als „wissenschaftliche, technologische und ingenieurmäßige Behandlung von Sicherheitsaspekten in der Informationstechnologie“ 8 S.129.

Sicherheit in der Informationstechnik im Sinne des BSI-Gesetzes 9 §2(2) bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen

- in informationstechnischen Systemen, Komponenten oder Prozessen oder
- bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.

Ein Standard für das Risikomanagement im Krankenhaus ist die IEC 80001. Diese Norm hat aber den Fokus auf Risiken durch mangelnde IT-Sicherheit 10 :

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Risiken im Krankenhaus

2.2 Schutzziele der unterschiedlichen Normen

2.2.1 Schutzziele laut ISO/IEC 27000

Laut Punkt 2.33 der ISO/IEC Norm 27000 ist das Ziel der Informationssicherheit die Aufrechterhaltung der

- Vertraulichkeit (2.12),
- Integrität (2.40) und
- Verfügbarkeit (2.9) von Information.

Zusätzlich können auch andere Eigenschaften wie

- Authentizität (2.8),
- Zurechenbarkeit,
- Nichtabstreitbarkeit (2.54) und
- Verlässlichkeit (2.62) einbezogen werden.

Vertraulichkeit bedeutet in diesem Zusammenhang, dass Information unbefugten Personen, Entitäten oder Prozessen nicht verfügbar gemacht oder offengelegt wird. Integrität bedeutet die Richtigkeit und Vollständigkeit der Informationen, während die Verfügbarkeit sicherstellt, dass die Informationen zugänglich und nutzbar sind, wenn eine befugte Entität Bedarf hat.

Authentizität bedeutet, dass eine Entität das ist, was sie vorgibt zu sein. Nichtabstreitbarkeit ist hingegen die Fähigkeit, das Eintreten eines behaupteten Ereignisses oder einer behaupteten Handlung samt ihren ursächlichen Entitäten nachweisen zu können. Durch die Verlässlichkeit wird die Übereinstimmung zwischen beabsichtigtem Verhalten und den Ergebnissen gezeigt.

2.2.2 Schutzziele laut ISO/IEC 22301

Business Continuity Management (BCM) soll durch den systematischen Managementansatz verhindern, dass es zu einer Betriebsunterbrechung bzw. Unterbrechung der Lieferfähigkeit einer Organisation kommt. Falls dieses Worst-Case-Szenario doch eintreten sollte, soll das BCM helfen, den Verlauf des Zwischenfalls zu verbessern und rasch wie-der systematisch die Betriebsfähigkeit bzw. Lieferfähigkeit zu erlangen. Organisationen mit einem zertifizierten Business Continuity Management System sind in der Lage, im Fall des Falles die unterbrochenen bzw. beeinträchtigten Prozesse deutlich schneller wieder aufzunehmen als Firmen ohne BCMS

Ziel des Business Continuity Managementsystems ist es,

- sich gegen Zwischenfälle mit Betriebsunterbrechung zu schützen,
- die Wahrscheinlichkeit ihres Auftretens zu vermindern,
- sich auf diese vorzubereiten,
- auf diese systematisch zu reagieren und sich rasch von diesen zu erholen, wann immer sie auftreten.

Das Kernstück des Standards sind die BIA (Business Impact Analyse), das Erarbeiten und das Üben von Plänen zur Aufrechterhaltung der Betriebsfähigkeit (Zwischenfall, Störung, Notfall, Krise).

Die BIA kann verstanden werden als Prozess der Analyse der Tätigkeiten und des Einflusses, den die Störung des Betriebes auf diesen haben kann. Im weitesten Sinn ist die Kenntnis über die Wechselwirkung der Prozesse und der risikobasierte Ansatz im Kontext der Organisation die Basis dafür 11.

2.2.3 Schutzziele laut ISO/IEC 27005

Risikomanagement und IT Risikoanalyse, wie in der IEC 27005 beschrieben, begründen sich auf den in der ISO IEC 27001 verankerten Forderungen nach 12:

- einer klaren Vorgehensweise zur Einschätzung von Risiken inkl. der Festlegung von Akzeptanzkriterien
- der Identifikation von Risiken (insbesondere bedrohte Werte), direkte/indirekte Bedrohungen und Schwachstellen
- der Analyse der Risikoauswirkungen sowie der Abschätzung der Risikowahrscheinlichkeit und des Risikoniveaus
- Optionen zur Risikobehandlung
- Identifikation und Evaluation von passenden Risikomanagementmaßnahmen

Dabei verlangt die ISO 27001 eine systematische, reproduzierbare und dokumentierte Vorgehensweise.

Bei der Risikoanalyse im Bereich Informationssicherheits- Management wird eine Aussage über Eintrittswahrscheinlichkeit und Schadenshöhe möglicher Risiken getroffen. Die Risikoanalyse ist ein systematisches Verfahren, welches Risiken bewertet und Zusammenhänge transparent macht. So können Probleme und eventuelle Schäden frühzeitig entdeckt werden und es entstehen weniger Schäden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: ISMS Risikoanalyse 68

2.2.4 Schutzziele laut ISO/IEC 80001

Die IEC 80001 ist eine Norm, die das Risikomanagement beim Betrieb von IT-Systemen im Gesundheitswesen beschreibt. Die Daten- und Systemsicherheit (IT-Security) ist eines der drei expliziten Schutzziele. Relevant in diesem Kontext ist insbesondere die IEC 80001-2-8. 10

Die IEC 80001 nennt drei Schutzziele 13 :

- Die Sicherheit (Safety),
- Die Effektivität und
- Die Daten- und Systemsicherheit (Security).

Allerdings sind diese Schutzziele nicht unabhängig voneinander 13:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Schutzziele laut IEC 80001 13

Die Norm nennt Schutzziele, die voneinander abhängen und sogar in einer Ursachen-Wirkungsbeziehung zu einander stehen.

Laut Christian Johner 13 können die Schutzziele gemäß IEC 80001 auch so formuliert werden:

- Die Sicherheit der Patienten
- Den Datenschutz
- Das Erreichen von Geschäftszielen, zu denen auch ökonomische Ziele zählen.

Die IEC 80001 fordert v.a. ein Risikomanagement im Gesundheitswesen. Das schließt eine Nutzen-Risikobewertung zwingend mit ein. Der Nutzen entspricht dabei den o.g. Schutzzielen, die Schäden entsprechen dem Nichterreichen dieser Ziele.

Laut IEC 80001 2.16 ist ein medizinisches IT-Netzwerk ein IT-Netzwerk, das mindestens ein Medizinprodukt enthält. Das Netzwerk selbst wird dadurch aber nicht zum Medizinprodukt.

2.3 Bedeutung der IT-Sicherheit

Die Versorgung der Bevölkerung mit Gesundheitsdienstleistungen ist auch in Krisensituationen zu gewährleisten. Die Einrichtungen des Gesundheitswesens, wie z.B. Krankenhäuser, sind nur in begrenztem Maße auf Extremsituationen eingestellt, obwohl sie gerade in diesen Situationen gefordert sein können, besonders hohe Leistung erbringen zu müssen. Wenn Einrichtungen des Gesundheitswesens keine ausreichenden Schutzvorkehrungen aufweisen, kann sich dies unmittelbar auf die Versorgung auswirken und Menschenleben gefährden 14.

Informationssicherheit und Datenschutz ist heutzutage nicht mehr wegzudenken. Vor allem im Gesundheits- und Sozialwesen hat der Schutz der sensiblen Patientendaten einen hohen Stellenwert.

Der Begriff Informationssicherheit in der deutschen Sprache umfasst 2 Aspekte aus dem englischen Sprachraum:

- Security Sicherheit vor dem Missbrauch von Daten
- Safety Sicherheit der Daten vor Verlust bzw. Zerstörung

Daher müssen, um ein ausreichendes Niveau an Informationssicherheit gewährleisten zu können – besonders im Gesundheits- und Sozialwesen – Sicherheitsmechanismen ergriffen werden, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten entsprechend sicherzustellen. Eine Möglichkeit, dies zu erreichen, ist, ein Informationssicherheitsmanagementsystem (ISMS) nach der international anerkannten Norm ISO/IEC 27001 einzuführen und zu betreiben.

2.4 IT-Sicherheit im Gesundheitswesen

Laut Christian Johner ist gerade im Gesundheitswesen IT-Sicherheit von großer Bedeutung. 10:

Die Bedrohung der IT-Sicherheit beschränkt sich nicht auf das Gesundheitswesen. Dennoch gibt es einige Besonderheiten zu beachten:

Menschenleben werden bedroht

Im Gegensatz zu Angriffen auf die Infrastrukturen von Privatpersonen oder vielen Unternehmen stellen Angriffe auf IT-Infrastrukturen im Gesundheitswesen (z.B. in Kliniken) eine Bedrohung von Menschen, konkret von Patienten dar. Wenn, wie jetzt geschehen, die IT einer Klinik ausfällt, kann sie keine Patienten mehr aufnehmen und muss OPs verschieben. Wenn der Angriff die Beatmungsgeräte einer Intensivstation trifft, können Patienten innerhalb von Minuten versterben.

Spezifische Regularien sind einzuhalten

Die Bedrohung der IT-Sicherheit im Gesundheitswesen ist auch eine Bedrohung des Schutzes höchst vertraulicher Gesundheitsdaten. Auch deshalb, aber nicht nur deshalb, gibt es spezifische Regularien für die Betreiber von Gesundheitseinrichtungen und Hersteller von Medizinprodukten, die Sie im folgenden Abschnitt finden.

Viele Kliniken agieren amateurhaft

In nur wenigen Branchen wird so wenig Geld für die IT investiert. Gemäß dem Motto „you get what you pay for“ arbeitet in vielen Kliniken zu wenig und zu schlecht ausgebildetes Personal in der IT. Zudem schwächen abenteuerliche IT-Infrastrukturen und ein hohes Maß an teilweise unkoordiniertem Outsourcing an verschiedenste Akteure (Dienstleister für Drucker, Firewalls, PCs und Hotline, Hersteller von IT-Systemen und Medizingeräten) die IT-Sicherheit.

2.5 Bedrohungen, Schwachstellen, Gefährdungen

Eine Bedrohung ist ganz allgemein ein Umstand oder Ereignis, durch den oder das ein Schaden entstehen kann. Trifft eine Bedrohung auf eine Schwachstelle (insbesondere technische oder organisatorische Mängel), so entsteht eine Gefährdung 15.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) beschäftigt sich mit dem Thema Informationssicherheit und dem primären Ziel von sicherem Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft.

Sehr viele Arbeitsprozesse werden im Gesundheitswesen durch integrierte Informationssysteme unterstützt. Der einwandfreie Betrieb dieser Systeme, insbesondere in Kombination mit der Medizintechnik, ist von essenzieller Bedeutung für den Krankenhausbetrieb.

Das BSI unterteilt die möglichen Gefährdungen in folgende Themenbereiche:

- Höhere Gewalt
- Organisatorische Mängel
- Menschliche Fehlhandlungen
- Technisches Versagen
- Vorsätzliche Handlungen

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Einteilung der Gefährdungsfaktoren

Anhang B zeigt einige der wichtigsten elementaren Gefährdungen laut BSI-Grundschutz-Kompendium 15.

Manche davon sind durch die Strafgesetze in den 3 Ländern auch als Straftatbestände sanktioniert 16, 17, 18.

2.6 Maßnahmen zur IT-Sicherheit

Die Sicherheit der IT kann nur durch entsprechende Maßnahmen gewährleistet werden. In der Regel führen diese Maßnahmen aber selten zu mehr Umsatz und besseren Ergebnissen. Sie dienen allerdings der Reduzierung von Risiken bzw. der Vermeidung von Gefahren die Umsatzeinbußen oder Imageschäden nach sich zieht. Es müssen daher eine Reihe von Maßnahmen eingeleitet werden 19 S.5.

Gerade im Gesundheitswesen ist die Verhinderung von Imageschäden ein sehr wichtiger Aspekt da dort das Vertrauen der Patientinnen und Patienten von entscheidender Bedeutung ist. Vor allem durch die 2018 in Kraft getretene EU – Datenschutzgrundverordnung drohen sehr hohe Strafen. Maßnahmen der IT-Sicherheit können auch in diesem Zusammenhang für eine bedeutende Verbesserung des Schutzes der personenbezogenen Daten sorgen.

IT-Sicherheitsmaßnahmen können in 3 Arten unterteilt werden:

- Technische Maßnahmen
- Organisatorische Maßnahmen
- Personelle Maßnahmen

2.6.1 Technische Maßnahmen

Um IT-Sicherheit in Unternehmen zu sicherzustellen, sind verschiedene Maßnahmen notwendig. Basis ist natürlich eine technische Grundlage zu schaffen. Allein der Schutz der IT durch Firewalls ist bei weitem nicht ausreichend 20.

Wichtig und auch bei den meisten Unternehmen bereits Realität ist die Verschlüsselung der Netzwerkverbindungen, um eine sichere und standortunabhängige Kommunikation zu gewährleisten 21 S.13. Im Hinblick auf die Verschlüsselung von Datenträgern oder der Einrichtung elektronischer Kontrollen beim Zugang Fremder zu ihren IT-Anlagen, besteht Nachholbedarf, hier setzt lediglich etwa die Hälfte der Unternehmen auf diese technischen Maßnahmen. Noch weniger Unternehmen nutzen erweiterte Authentifizierungsverfahren, die über eine Eingabe von Passwörtern zur Identifikation hinausgehen (43 %) 21 S.14.

2.6.2 Organisatorische Maßnahmen

Neben den technischen Maßnahmen, die die IT-Sicherheit effektiv gewährleisten können, sind auch unternehmensinterne, also organisatorische Maßnahmen notwendig. Ein durchdachtes Berechtigungs- und Zugriffskonzepts auf bestimmte Daten gewährleistet, dass nur jene Mitarbeiter Zugriff erhalten, die diesen auch für ihre Aufgabenerfüllung benötigen. Dieser Bereich ist bei den Unternehmen, besonders auch in Krankenhäusern, am häufigsten realisiert. In vielen Unternehmen ist der Zugriff auf bestimmte Informationen klar geregelt, ähnlich häufig gibt es Regeln im Umgang mit schützenswerten Informationen. Ebenso ist der physische Zugang zu geschützten Unternehmensbereichen wie bspw. Serverräumen bereits auf Basis eines Zutrittskonzeptes umgesetzt 21 S.16 .

Externe IT-Sicherheits-Zertifizierungen – etwa nach der internationalen Norm ISO 27001 oder dem BSI-Grundschutz-Standard – nimmt nicht einmal jedes zweite Unternehmen (45 Prozent) in Anspruch.

Noch seltener ist die Etablierung eines Managementsystems für Informationssicherheit (ISMS): Weniger als drei von zehn Unternehmen haben bisher ein solches standardisiertes System für die umfassende und dauerhafte Gewährleistung von IT-Sicherheit eingeführt.

Digitale Signaturen sind schließlich von allen genannten Sicherheitsmaßnahmen noch am wenigsten verbreitet: Nur in jedem sechsten Unternehmen existieren die Voraussetzungen für das digitale Unterschreiben.

Anders als bei den technischen IT-Sicherheitsmaßnahmen gibt es bei den organisatorischen Maßnahmen gegenüber der Vergleichsbefragung von 2016 leider keine signifikanten Verbesserungen 21 S.17.

2.6.3 Personelle Maßnahmen

Schlecht geschulte Mitarbeiterinnen und Mitarbeiter, die sorglos E-Mail-Anhänge öffnen oder fremde USB-Sticks an ihren Firmen-Laptop anschließen, sind ein ernstes Sicherheitsrisiko für jedes Unternehmen. Umso beunruhigender ist der Befund, dass nicht einmal die Hälfte der befragten Unternehmen (46 Prozent) regelmäßige Schulungen ihrer Mitarbeiter zu Themen der IT-Sicherheit durchführt 21 S.18.

2.7 Sensibilisierung der Mitarbeiterinnen und Mitarbeiter

Technische Sicherheitsmaßnahmen bezüglich IT-Sicherheit sind allerdings für einen guten Schutz nicht ausreichend 22 S.184. Der Umgang mit nicht gesicherten mobilen Geräten wie Smartphones, Tablets oder Notebooks bzw. unverschlüsselte USB-Sticks stellen eine große Gefahr dar. Spätestens seit in Kraft treten der EU – DSGVO sollte das nicht mehr vorkommen.

Vielen Mitarbeiterinnen und Mitarbeitern mangelt es an Verständnis und Akzeptanz gegenüber den Maßnahmen für IT-Sicherheit. Die beste Motivation für die Beschäftigten ist die gelebte Sicherheitskultur im Unternehmen, die auch von den Führungsebenen aus getragen wird 23 S.205.

In erster Linie muss Sicherheit daher im Unternehmen etabliert werden. Das gelingt nur, wenn Mitarbeiterinnen und Mitarbeiter aktiv einbezogen werden und aus dem Risikofaktor Mensch, der Sicherheitsfaktor Mensch wird 24. Die Unternehmensbelegschaft muss also geschult und für dieses Thema sensibilisiert werden. Nur wenn die Mitarbeiterinnen und Mitarbeiter wissen, wie sie agieren muss, können sie entsprechend handeln.

Bei Schulungen bezüglich der IT-Sicherheitsmaßnahmen wird allerdings oft der Fokus auf neue Mitarbeiterinnen und Mitarbeiter gelegt 22 S.184. Dabei werden oftmals bereits längere Zeit Beschäftigte vergessen. Denn wenn diese Neulinge von ihrer Einschulung in die Abteilungen zurückkehren, zeigt sich oft ein eigenartiges Phänomen. Sie haben ganz offiziell Dinge erfahren, die nie an die alten Hasen herangetragen wurden. Oft zeigte man ihnen zeitgemäßere Systeme als jene, mit denen die Kollegen arbeiten. Viele Alteingesessene erfahren auf diese Weise, dass eine Software nicht über das ganze Haus ausgerollt wurde. Oder die Neuen lernten Tools kennen, die die Langjährigen nie zu Gesicht bekamen. Oder ein Programmpaket wurde den Neuen strukturiert beigebracht, den Alteingesessenen aber nach der Friss-oder-Stirb-Methode über Nacht installiert 25.

2.8 Aufrechterhaltung der Betriebsfähigkeit

Gerade im Krankenhaus gilt es nicht nur die IT-Prozesse sicherzustellen und die Daten der Patientinnen und Patienten zu schützen, sondern eine durchgehende Betriebsfähigkeit aufrecht zu erhalten, Diese ist in zunehmendem Maße von der Unterstützung durch die IT-Systeme abhängig. Dies ist sowohl in rechtlicher als auch technischer und organisatorischer Hinsicht zu gewährleisten. Dafür bedarf es in den IT-Abteilungen der Krankenhäuser umfangreicher fachlicher Kenntnisse und methodischer Kompetenzen, um die IT-Sicherheit aktuell und auch künftig aufrecht zu erhalten.

Die Aufrechterhaltung der Betriebsfähigkeit bzw. deren rasche Wiedererlangung soll durch einen systematischen Managementansatz verhindern, dass es zu einer Betriebsunterbrechung einer Organisation kommt. Falls eine Unterbrechung doch eintreten sollte, soll das BCM helfen, den Verlauf des Zwischenfalls zu verbessern und rasch wieder systematisch die Betriebsfähigkeit zu erlangen.

Das BCM fördert daher die Identifikation und Analyse der kritischen Unternehmensprozesse. Auf Basis dieser Analyse und der darauffolgenden Priorisierung der entsprechenden Prozesse werden diese so gestaltet, dass das Eintreten von ungeplanten Betriebsunterbrechungen im Vorfeld verhindert wird bzw. dass Unterbrechungen so rasch als möglich überwunden werden können.

Der Fokus der internationalen Norm ISO 22301 26 liegt darauf, Organisationen auf systematischem Weg so zu entwickeln, dass Betriebsunterbrechungen vermieden werden können und wenn dies nicht möglich ist, eine rasche Wiederherstellung der Betriebsfähigkeit zu gewährleisten. Dabei wird unter Aufrechterhaltung der Betriebsfähigkeit verstanden 26 3.3:

Fähigkeit einer Organisation 26 3.31, die Belieferung mit Produkten und Dienstleistungen 26 3.41 innerhalb akzeptabler Zeiträume mit zuvor festgelegter Kapazität im Zusammenhang mit einer Störung 26 3.12 fortzusetzen

Organisation wir dort definiert 26 3.31 als Einzelperson oder Gruppe von Menschen mit eigenen Aufgabenbereichen verbunden mit Verantwortlichkeiten, Befugnissen und Beziehungen, um eigene Zielsetzungen 26 3.30 zu erreichen.

2.9 IT-Sicherheit, Compliance und Datenschutz

IT-Sicherheit oder Informationssicherheit hat den Schutz von Informationen als Ziel. Die Schutzziele und Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit.

Compliance bedeutet in Einklang mit den geltenden Gesetzen zu sein und die internen Regeln zu befolgen. Wenn Informationen, Geschäftsprozesse und IT-Systeme unzureichend abgesichert sind (beispielsweise durch ein unzureichendes Sicherheitsmanagement), kann dies zu Verstößen gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern führen 15 S.29.

Datenschutz soll den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Mit Datenschutz wird daher der Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte bezeichnet (nicht zu verwechseln mit Datensicherheit).

2.9.1 Schutzziele des Datenschutzes

Das BSI-Grundschutz-Kompendium zählt die Schutzziele des Datenschutzes wie folgt auf, die sich teilweise mit den Schutzzielen der IT-Sicherheit deckt 15 S.48:

- Vertraulichkeit (zum Beispiel Verschlüsselung)
- Integrität, Authentizität (Back-up, digitale Signatur)
- Verfügbarkeit (ausfallsichere Stromversorgung, Datenmanagement)
- Intervenierbarkeit (Löschen, Sperren, Auskunftserteilung)
- Unverknüpfbarkeit (Abschottung, Datensparsamkeit)
- Transparenz, Revisionsfähigkeit (Protokollierung, Kontrolle der SysAdmin, Dokumentation,
- Anwenderhandbücher, Information bei Erhebung, Benachrichtigung bei Bearbeitung)

3. Managementsysteme

Managementsysteme stellen aufeinander und miteinander verbundene und abgestimmte Elemente (Aufgaben, Pflichten usw.) als System dar, um systematisch die Ziele einer formalen Organisation zu erreichen. In der Regel stellen heutige Managementsysteme ein Minimalsystem als Standard zur Unternehmensführung bereit. Einzelne Managementsysteme lassen sich einzeln, in Teilen oder in Verbindung mit anderen Managementsystemen in Unternehmen bzw. Organisationen implementieren. Die Einführung und der Aufbau von Managementsystemen obliegen zumeist der Unternehmensführung. Um die inhaltliche Wirksamkeit von Managementsystemen beurteilen zu können, bieten sich Audits an. Bei dem Wort „Managementsystem“ handelt es sich um ein Kofferwort aus „Management“ und „System“ und sollte im Deutschen eher als „System der Unternehmensführung“ verstanden bzw. interpretiert werden.

Jedes Unternehmen hat ein Managementsystem in irgendeiner Form. Sonst würde das Unternehmen nicht funktionieren können. Viele dieser Systeme erfüllen jedoch in der Praxis die an ein Managementsystem gestellten umfassenden Anforderungen nicht, daher wurden mehrere themenspezifische Normen für Managementsysteme entwickelt. Ein Managementsystem ist z. B. das Qualitätsmanagementsystem nach ISO 9001.

Management schließt Tätigkeiten zur Führung, Kontrolle und fortlaufenden Verbesserung der Organisation innerhalb von geeigneten Strukturen ein. Managementaufgaben umfassen den Vorgang, sowie die Art und Weise oder Methode, Ressourcen zu organisieren, zu handhaben, zu führen, zu überwachen und zu kontrollieren. Managementstrukturen reichen von einer einzelnen Person in einer kleinen Organisation bis hin zu Managementhierarchien in großen Organisationen, die sich aus vielen Individuen zusammensetzen 27 3.2.4.

Ein Managementsystem nutzt ein Rahmenwerk von Ressourcen, um die Ziele einer Organisation zu erreichen. Das Managementsystem umfasst Organisationsstrukturen, Richtlinien, Planungstätigkeiten, Zuständigkeiten, Methoden, Verfahren, Prozesse und Ressourcen 27 3.2.5.

3.1 Managementprinzipien

3.1.1 Informationssicherheitsmanagementsystem (ISMS)

Organisationen jeder Art und Größe 27 3.1:

- sammeln, verarbeiten, speichern und übermitteln Informationen;
- betrachten Informationen und zugehörige Prozesse, Systeme, Netzwerke und Personen als wichtige Werte, die für das Erreichen der Organisationsziele notwendig sind;
- sind mit einer Reihe von Risiken konfrontiert, die die Funktionsfähigkeit von Werten beeinträchtigen können; und
- begegnen ihrem bekannten Gefährdungspotential mit der Einführung von Informationssicherheitsmaßnahmen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Bestandteile eines Managementsystems für Informationssicherheit (ISMS) 30

Sämtliche Informationen, die von einer Organisation gehalten und verarbeitet werden, unterliegen der Bedrohung durch Angriffe, Fehler, Naturereignisse (z. B. Überschwemmung oder Feuer) usw., sowie Schwachstellen, die ihre Nutzung grundsätzlich mit sich bringt. Der Begriff Informationssicherheit basiert im Allgemeinen darauf, dass Informationen als Wert angesehen werden, der angemessenen Schutz erfordert, z. B. gegen den Verlust von Verfügbarkeit, Vertraulichkeit und Integrität. Die Ermöglichung, berechtigten Bedarfsträgern korrekte und vollständige Informationen in angemessener Zeit zur Verfügung zu stellen, ist ein Katalysator für betriebliche Wirtschaftlichkeit.

Informationswerte durch Definition, Erlangung, Pflege und Verbesserung von Informationssicherheit wirksam zu schützen, ist erforderlich, um eine Organisation in die Lage zu versetzen, ihre Ziele zu erreichen und die Einhaltung von gesetzlichen Regelungen sowie ihr Image aufrecht zu halten und zu verbessern. Diese koordinierten Tätigkeiten, die die Umsetzung geeigneter Maßnahmen und die Behandlung von unakzeptablen Informationssicherheitsrisiken steuern, werden allgemein als Bestandteile des Informationssicherheitsmanagements bezeichnet.

Ein Informationssicherheitsmanagementsystem (ISMS) umfasst Politik, Verfahren, Richtlinien und damit verbundene Ressourcen und Tätigkeiten, die von einer Organisation gesteuert werden, um ihre Informationswerte zu schützen. Ein ISMS ist ein systematisches Modell für die Einführung, die Umsetzung, den Betrieb, die Überwachung, die Überprüfung, die Pflege und die Verbesserung der Informationssicherheit der Organisation, um Geschäftsziele zu erreichen. Es basiert auf einer Risikobeurteilung und dem Risikoakzeptanzniveau der Organisation und dient dazu, die Risiken wirksam zu behandeln und zu handhaben. Eine Anforderungsanalyse für den Schutz von Informationswerten und die Anwendung angemessener Maßnahmen, um den Schutz dieser Informationswerte bedarfsgerecht sicherzustellen, trägt zu der erfolgreichen Umsetzung eines ISMS bei 27 3.2.1.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Strategie zur Informationssicherheit als zentrale Komponente des ISMS 28

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Umsetzung der Sicherheitsstrategie 28

Die folgenden elementaren Grundsätze tragen ebenfalls zur erfolgreichen Umsetzung eines ISMS bei:

- Bewusstsein für die Notwendigkeit von Informationssicherheit;
- Übertragung von Verantwortung für Informationssicherheit;
- Einbeziehung der Verpflichtung der Geschäftsführung und der Interessen der Stakeholder;
- Förderung sozialer Werte;
- Risikobeurteilung zum Bestimmen angemessener Maßnahmen, um ein akzeptables Risikoniveau zu erreichen;
- Aufnahme von Sicherheit als grundlegenden Bestandteil von Informationsnetzwerken und -systemen;
- aktive Prävention gegen und Erkennung von Informationssicherheitsvorfälle(n);
- Sicherstellung einer ganzheitlichen Herangehensweise an das Management von Informationssicherheit und
- fortlaufende Neubeurteilung von Informationssicherheit und Vornahme geeigneter Änderungen.

Organisationen müssen viele Tätigkeiten identifizieren und lenken, um wirksam und wirtschaftlich zu funktionieren. Jede Tätigkeit, die Ressourcen nutzt, muss gesteuert werden, um Eingaben mittels einer Reihe von zusammenhängenden oder zusammenwirkenden Tätigkeiten in Ergebnisse zu überführen — auch als „Prozess“ bekannt. Die Ergebnisse eines Prozesses können direkt die Eingaben für einen anderen Prozess bilden; im Allgemeinen erfolgt diese Transformation unter geplanten und kontrollierten Bedingungen. Die Anwendung eines Systems von Prozessen innerhalb einer Organisation zusammen mit der Identifikation und Interaktion dieser Prozesse und ihrer Steuerung kann als „prozessorientierter Ansatz“ bezeichnet werden 27 3.3.

Risiken, die mit den Informationswerten der Organisation verbunden sind, müssen betrachtet werden. Das Erreichen von Informationssicherheit erfordert ein Risikomanagement und umfasst Risiken aufgrund von materiellen, menschlichen und technischen Bedrohungen, die mit allen Formen von Informationen, die die Organisation hat oder nutzt, verbunden sind 27 3.4.

Die Einführung eines ISMS soll eine strategische Entscheidung für eine Organisation sein, und es ist erforderlich, dass diese Entscheidung nahtlos integriert und in Übereinstimmung mit den Anforderungen der Organisation skaliert und aktualisiert wird 27 3.4.

Die erfolgreiche Einführung eines ISMS ist wichtig, um Informationswerte zu schützen, die es einer Organisation ermöglichen 27 3.4:

- größere Gewissheit zu erlangen, dass ihre Informationswerte angemessen und beständig gegen Bedrohungen geschützt sind;
- ein strukturiertes und umfassendes Rahmenwerk zur Identifizierung und Einschätzung von Informationssicherheitsrisiken, zur Auswahl und Anwendung geeigneter Maßnahmen, sowie zur Messung und Verbesserung der Wirksamkeit dieser Maßnahmen zu unterhalten;
- fortlaufend ihre Maßnahmenumgebung zu verbessern; und
- effektiv die Einhaltung gesetzlicher und behördlicher Regelungen zu erreichen.

Informationen und die sie verarbeitenden Prozesse, Systeme und Netzwerke sind wichtige Werte jeder Organisation, sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft. Die Informationssicherheit soll hierbei die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen und der sie verarbeitenden Systeme gewährleisten.

Ein Informationssicherheits-Managementsystem (ISMS) umfasst

- die erforderliche Aufbauorganisation (Rollen und Gremien) und die Ablauforganisation (Sicherheitsprozesse) sowie
- die erforderlichen Richtlinien (Verfahren und Regeln) zur fortlaufenden Definition, Steuerung, Kontrolle, Aufrechterhaltung und Verbesserung der Informationssicherheit in der Organisation auf Basis eines Risikomanagementansatzes.

3.1.1.1 ISMS-Prozessmodell

Das Informationssicherheits-Management ist ein kontinuierlicher Prozess, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind.

Das Österreichische Informationssicherheitshandbuch beschreibt das ISMS-Prozessmodell auf Basis des PDCA-Life-Cycle-Modells folgendermaßen:

- PLAN

Festlegen des ISMS; also relevante Sicherheitsziele und -strategien ermitteln, eine organisationsspezifische Informationssicherheits-Politik erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen

- DO

Umsetzen und Betreiben des ISMS, also Sicherheitsmaßnahmen realisieren, für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen gewährleisten

- CHECK

Überwachen und Überprüfen des ISMS auf seine Wirksamkeit, das bedeutet Vorhandensein, Sinnhaftigkeit, Einhaltung der Sicherheitsmaßnahmen zu überprüfen, aber auch Kenntnis über Vorfälle sowie übliche Good Practices zu erlangen.

- ACT

Instandhalten und Verbessern des ISMS, das bedeutet auf erkannte Fehler, Schwachstellen und veränderte Umfeldbedingungen zu reagieren und die Ursachen für Gefährdungen zu beseitigen. Dies bedingt erneutes Planen, womit sich der Kreislauf schließt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8: Lebenszyklus nach Deming (PDCA-Zyklus) 28

3.1.1.2 Elemente des Informationssicherheits-Managements

Ein ISMS verbindet die wesentlichen Elemente des Informationssicherheits-Managements zu einem geschlossenen Gesamtprozess.

Dazu zählen:

- Richtlinienmanagement

Festlegung der innerorganisatorischen Vorschriften in Bezug auf die Informationssicherheit unter Berücksichtigung bestehender rechtlicher und regulativer Vorgaben

- Awareness- und Schulungsprogramm

Durchführung von Sensibilisierungs- und Schulungsmaßnahmen

- Risikomanagement

Identifikation, Bewertung und Behandlung bestehender Sicherheitsrisiken mittels geeigneter organisatorischer und technischer Sicherheitsmaßnahmen

- Auditprogramm

Planung und Durchführung von System-, Prozess- und Produktaudits sowie von Sicherheitsanalysen (Penetrationstests)

- Kennzahlenmanagement

Überwachung der Maßnahmenumsetzung sowie Messung der Wirksamkeit von Sicherheitsmaßnahmen und des Reifegrads von Sicherheitsprozessen

- Sicherheitsvorfallmanagement

Prüfung und Behandlung von Sicherheitsvorfällen und kritischen Sicherheitsschwachstellen

- IT-Notfall- und Krisenmanagement

Festlegung und Umsetzung der Notfallvorsorge und Notfallbewältigung, Notfallübungen und Notfallpläne

3.1.2 Risikomanagementsystem (RMS)

Der Begriff „Risiko“ tauchte im 14. Jahrhundert das erste Mal in den norditalienischen Stadtstaaten auf. Der aufblühende Seehandel führte gleichzeitig zur Entstehung des Seeversicherungswesens. „Risiko“ bezeichnete die, damals wie heute existierende, Gefahr, dass ein Schiff sinken könne, etwa weil es an einer Klippe zerschellt. Das „Risiko“ quantifiziert das Ausmaß einer Unsicherheit und ermöglicht dessen kontrollierten Umgang [29, 30].

Risiken sind potenzielle Ereignisse oder Bedingungen, die einen möglichen Effekt auf die Erreichung von Unternehmenszielen bewirken. Es handelt sich um Abweichungen von geplanten Zielwerten, die aus der Unvorhersehbarkeit der Zukunft resultieren. Risiken können daher auch als „Streuung um einen Erwartungs- oder Zielwert“ definiert werden. Risiken sind immer in direktem Zusammenhang mit der Planung eines Unternehmens zu interpretieren. Mögliche Abweichungen von den geplanten Zielen stellen Risiken dar – und zwar sowohl negative („Gefahren“, sogenannte „Down-Side-Risiken“) als auch positive Abweichungen („Chancen“, sogenannte „Up-Side-Risiken“) 31.

Ein Risikomanagement-Standard (RMS) ist ein auf die formalen Abläufe und Strukturen zur Risikohandhabung in Organisationen ausgerichteter Standard. Es existieren ca. 100 nationale und internationale Standards von Normungsinstituten sowie Regeln von Gremien und Standesorganisationen zu Risikomanagement 31 S.18.

Die Planung umfasst die Verpflichtung und den Einsatz der obersten Leitung, insbesondere auch das „ Was “ und „ Wie “ im Umgang mit Risiken, die dazu erforderlichen Ressourcen und Fähigkeiten, die Rollen, Verantwortlichkeiten und Kompetenzen sowie die Integration und die Kommunikation im Risikomanagement 31 S.21.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 9: Der PDCA-Zyklus (Planen / Plan) 32 S.114

Bei der „Umsetzung“ stehen die verschiedenen Anwendungen des Risikomanagement-Prozesses im Mittelpunkt. Auch die Frage, wie er im Managementsystem eingebettet werden soll (alleinstehend oder integriert), ist zu klären. Schließlich gehören die umfangreichen Dispositionen des Notfall-, Krisen- und Kontinuitätsmanagements, die in vielen Organisationen eingeführt sind, auch zum Risikomanagement 31 S.21.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 10: Der PDCA-Zyklus (Umsetzen / Do) 32 S.114

Die „Bewertung“ zielt darauf ab, festzustellen, ob das Risikomanagement wirksam ist und die erhofften Verbesserungen von Unternehmensstrategie und operativen Tätigkeiten auch tatsächlich eintreten. Qualitative und quantitative Leistungsbewertungen sind dabei ebenso möglich wie ein Audit des Risikomanagements in einer Organisation. Das Ergebnis der Bewertung ist die Gegenüberstellung der Anforderungen mit der Umsetzung des Risikomanagements. Daraus entstehen Lücken die Anlass zu „Verbesserungsmaßnahmen“ geben 31 S.22.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 11: Der PDCA-Zyklus (Leistungsbewertung / Check) 32 S.115

Risikomanagement soll ein integrativer und strategischer Prozess sein, der in alle Prozesse eines Unternehmens beziehungsweise Projekts einfließt. Um möglichst viele Synergien zwischen dem Risikomanagement und bereits bestehenden Führungsinstrumenten zu schaffen und zu nutzen, sollte der Risikomanagement-Prozess als Führungsprozess verbindlich dargestellt und organisatorisch so eingebettet werden, dass er übergreifend wirk-sam sein und auf die möglichen Anwendungsgebiete direkt Bezug nehmen kann 33.

Das strategische Risikomanagement bildet die integrative Klammer und das Fundament des gesamten Risikomanagement-Prozesses. Es beinhaltet vor allem die Formulierung von Risikomanagement-Zielen in Form einer Risikostrategie. Bevor das Risikomanagement als kontinuierlicher Prozess eingeführt und gelebt werden kann, müssen zunächst die Grundlagen bezüglich der Rahmenbedingungen (etwa „Risk-Policy-Statement“ bzw. Risikostrategie) sowie Organisation (etwa Funktionen, Verantwortlichkeiten und Informationsfluss) und die eigentlichen Prozessphasen definiert werden 31 S.26.

3.1.3 Business Continuity Management System (BCMS)

Eine Organisation sollte ein Maß an Betriebsfähigkeit entwickeln, das der Größe und Art der Auswirkungen angemessen ist, die nach einer Störung akzeptiert werden dürfen oder nicht. Die Ergebnisse der Aufrechterhaltung eines BCMS werden durch rechtliche, behördliche, organisationstechnische und industrielle Anforderungen geprägt sowie durch Produkte und gebotene Dienstleistungen, eingesetzte Prozesse, Größe und Aufbau der Organisation und die Anforderungen ihrer interessierten Parteien 26 0.1.

Ein BCMS betont die Bedeutung:

- des Verstehens der Bedürfnisse der Organisation sowie der Notwendigkeit der Einführung von Leitlinien
- und Zielsetzungen zur Aufrechterhaltung der Betriebsfähigkeit;
- des Betreibens und Pflegens von Prozessen, Fähigkeiten und Reaktionsstrukturen, um sicherzustellen, dass
- die Organisation Störungen übersteht;
- des Überwachens und Überprüfens der Leistung und der Effektivität des BCMS;
- einer ständigen Verbesserung auf Grundlage qualitativer und quantitativer Messungen.

Ein BCMS enthält, wie jedes andere Managementsystem, die folgenden Bestandteile:

- Leitlinien;
- kompetente Personen mit festgelegten Verantwortlichkeiten;
- Managementprozess in Bezug auf:

- Leitlinien;
- Planung;
- Umsetzung und Betrieb;
- Leistungsbewertung;
- Managementüberprüfung;
- ständige Verbesserung;

- dokumentierte Informationen, die die betriebliche Kontrolle unterstützen und eine Leistungsbewertung ermöglichen.

Das BCMS dient der Vorbereitung, Bereitstellung und Aufrechterhaltung von Kontrollen und Funktionen für die Verwaltung der allgemeinen Fähigkeit eines Unternehmens, den Betrieb während einer Störung fortzusetzen 26 0.2.

Um dies zu erreichen, muss die Organisation:

- aus geschäftlicher Sicht:

- seine strategischen Zielsetzungen unterstützen;
- einen Wettbewerbsvorteil bereitstellen;
- seinen Ruf und seine Glaubwürdigkeit schützen und verbessern;
- zur Belastbarkeit der Organisation beitragen;

- aus finanzieller Sicht:

- auf Geschäftspartner und deren Erfolg vertrauen;
- rechtliche und finanzielle Risiken verringern;
- direkte und indirekte Kosten von Störungen reduzieren;

- aus der Sicht der interessierten Parteien:

- das Leben, Eigentum und die Umwelt schützen;
- Erwartungen der interessierten Parteien berücksichtigen;

- aus Sicht der internen Prozesse:

- die Fähigkeit verbessern, auch während einer Störung betriebsfähig zu bleiben;
- proaktive Kontrolle der Risiken effektiv und effizient demonstrieren;
- betriebliche Schwachstellen erkennen.

Die entsprechende Norm ISO 22301 wendet das PDCA-Modell an (PDCA, en: Plan-Do-Check-Act), um das BCMS einer Organisation zu planen, einzuführen, umzusetzen, zu betreiben, zu überwachen, zu überprüfen, aufrechtzuerhalten und dessen Effektivität ständig zu verbessern 26 1.

Die erwähnte Norm gilt für sämtliche Arten und Größen von Organisationen, die:

- ein BCMS umsetzen, aufrechterhalten und verbessern wollen;
- eine Übereinstimmung mit den erklärten Leitlinien zur Aufrechterhaltung der Betriebsfähigkeit sicherstellen wollen;
- die Fähigkeit benötigen, die Belieferung mit Produkten und Dienstleistungen mit einer akzeptablen, zuvor festgelegten Kapazität während einer Störung fortzusetzen;
- versuchen, ihre Belastbarkeit durch die effektive Anwendung des BCMS zu verbessern.

4. Rechtliche Vorschriften in der EU, A, D und CH

4.1 Tatbestände laut Strafgesetzbuch

In allen drei Ländern gibt es Straftatbestände bezüglich Cyber-Crime und Computer-Kriminalität. Die Tatbestände sind allerding unterschiedlich sowohl bezüglich der Art der Vergehen als auch hinsichtlich der Höhe der angedrohten Strafen. Unternehmen und Institutionen sind verpflichtet Vorsorgen zu treffen diese Tatbestände zu verhindern oder zumindest nicht zu begünstigen 19 S.6ff. Die Einführung und der Betrieb eines ISMS schützt daher auch die entsprechenden verantwortlichen Personen vor eventuellen Konflikten mit dem Strafgesetz der jeweiligen Länder.

Die Strafgesetzbücher der 3 Staaten Österreich 16, Deutschland 17 und der Schweiz 34 umfassen in unterschiedlicher Art und Weise entsprechende Tatbestände:

4.1.1 Abfangen bzw. Ausspähen von Daten

Im Gegensatz zu Österreich oder der Schweiz gibt es in Deutschland den Tatbestand des Ausspähens von Daten, ohne der Absicht einen Vermögensschaden zu verursachen. Im § 202a StGB wird der Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung bestraft. Als Daten in diesem Zusammenhang sind solche genannt, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Der § 202b StGB das Abfangen von Daten unter Anwendung von technischen Mitteln aus einer nichtöffentlichen Datenübermittlung Anders als in Österreich oder der Schweiz wird im § 202c StGB das Vorbereiten des Ausspähens bzw. Abfangens von Daten bereits bestraft. Das kann durch Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder durch Computerprogramme, deren Zweck die Begehung einer solchen Tat ist erfolgen. Strafbar ist wer sich oder einem anderen Zugriff verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht.

Dieser Paragraph regelt auch die Straffreiheit analog § 149 Abs. 2 und 3. § 149 StGB regelt die Vorbereitung der Fälschung von Geld und Wertzeichen. Danach wird nicht bestraft, wer freiwillig die Ausführung der vorbereiteten Tat aufgibt und eine von ihm verursachte Gefahr, dass andere die Tat weiter vorbereiten oder sie ausführen, abwendet oder die Vollendung der Tat verhindert und die Fälschungsmittel, soweit sie noch vorhanden und zur Fälschung brauchbar sind, vernichtet, unbrauchbar macht, ihr Vorhandensein einer Behörde anzeigt oder sie dort abliefert. Wird ohne Zutun des Täters die Gefahr, dass andere die Tat weiter vorbereiten oder sie ausführen, abgewendet oder die Vollendung der Tat verhindert, so genügt an Stelle der Voraussetzungen des Absatzes 2 Nr. 1 das freiwillige und ernsthafte Bemühen des Täters, dieses Ziel zu erreichen.

4.1.2 Unbefugter Zugriff auf ein IT-System

§ 118a des österreichischen StGB behandelt den widerrechtlichen Zugriff auf ein Computersystem, um sich oder einem anderen Unbefugten Kenntnis von personenbezogenen Daten zu verschaffen, deren Kenntnis schutzwürdige Geheimhaltungsinteressen des Betroffenen verletzt, oder einem anderen einen Nachteil zuzufügen. Erschwerend ist es, wenn das betroffene Computersystem eines ist, das ein wesentlicher Bestandteil der kritischen Infrastruktur ist. Der Täter ist allerdings nur mit Ermächtigung des Verletzten zu verfolgen.

Der Art. 143 des schweizerischen StGB regelt das unbefugte Eindringen in ein Datenverarbeitungssystem, aber auch indirekt den Versuch dazu. D.h. wer Passwörter, Programme oder andere Daten, von denen er weiß oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäß Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird nach diesem Paragraphen bestraft.

4.1.3 Missbräuchliche betrügerische Verwendung von Daten

In Österreich setzt § 119a StGB beim missbräuchlichen Abfangen von Daten die Absicht voraus, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen. Auch die Verwendung einer Vorrichtung, die an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde ist eine Voraussetzung für das Bestehen eines Tatbestandes. Der Täter wird in Österreich nur mit Ermächtigung des Verletzten verfolgt.

Auch in der Schweiz setzt Art. 143 StGB für die Strafbarkeit der unbefugten Datenbeschaffung die Absicht, sich oder einen andern unrechtmäßig zu bereichern voraus. Auch hier sind nur die elektronisch oder in vergleichbarer Weise gespeicherten oder übermittelten Daten erwähnt.

4.1.4 Beschädigung von Daten

§ 148a des österreichischen StGB regelt den betrügerischer Datenverarbeitungsmißbrauch. Auch hier ist der Vorsatz, sich oder einen Dritten unrechtmäßig zu bereichern oder einen anderen am Vermögen zu schädigen im Mittelpunkt. Strafbar ist, wenn bei automationsunterstützter Datenverarbeitung durch Gestaltung des Programms, durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten oder sonst durch Einwirkung auf den Ablauf des Verarbeitungsvorgangs ein Vermögensvorteil erlangt wird. Als erschwerend gilt, wenn die Tat gewerbsmäßig begangen oder durch die Tat ein 3 000 Euro übersteigenden Schaden herbeigeführt wird.

Deutschland geht dabei einen entscheidenden Schritt weiter. § 303a StGB besagt, dass das rechtswidrige Verändern von Daten durch Löschen, Unterdrücken, unbrauchbar machen oder sonstiges Verändern bestraft wird. Hierbei sind bereits der Versuch bzw. die Vorbereitung strafbar.

In § 269 deutsches StGB behandelt die Fälschung beweiserheblicher Daten. Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird bestraft. Auch hier ist bereits der Versuch strafbar. Die Absätze 3 und 4 des § 267gelten entsprechend der dortigen Regelungen. Diese besagen, dass bei besonders schweren Fällen der Strafrahmen deutlich höher ist. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Betrug oder Urkundenfälschung verbunden hat, einen Vermögensverlust in großem Ausmaß herbeiführt, durch eine große Zahl von unechten oder verfälschten Urkunden die Sicherheit des Rechtsverkehrs erheblich gefährdet oder seine Befugnisse oder seine Stellung als Amtsträger oder Europäischer Amtsträger missbraucht.

In der Schweiz regelt Art. 144 StGB die reine Datenbeschädigung. Wer unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht, wird bestraft. Hier kommt nur ein großer Schaden als erschwerend hinzu.

Art. 147 schweizerischen StGB setzt bei betrügerischem Missbrauch einer Datenverarbeitungsanlage die Absicht, sich oder einen andern unrechtmäßig zu bereichern voraus. Hier wird auf ein elektronisches oder vergleichbares Datenverarbeitungs- oder Datenübermittlungssystem Bezug genommen. Handelt der Täter gewerbsmäßig, so wird das als erschwerend betrachtet. Wenn dieser Missbrauch allerdings zum Nachteil eines Angehörigen oder Familiengenossen getätigt, wird nur auf Antrag verfolgt.

4.1.5 Störung des IT-Systems

In Österreich ist im § 126b StGB die Störung der Funktionsfähigkeit eines Computersystems geregelt. Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurch schwer stört, dass er Daten eingibt oder übermittelt, ist strafbar. Erschwerend ist, wenn die Tat eine längere Zeit andauernde Störung der Funktionsfähigkeit herbeiführt. Als besonders schwere Fälle gelten solche die Tat einen 300 000 Euro übersteigenden Schaden herbeiführt oder gegen ein Computersystem verübt wird, das als ein wesentlicher Bestandteil der kritischen Infrastruktur gilt. Ebenso gilt die Tat als schwerwiegende Tat, wenn sie durch ein Mitglied einer kriminellen Vereinigung begangen wird.

Nach deutschem Recht begeht jemand Computersabotage nach § 303b StGB, wenn eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, erheblich stört. Das kann durch eine Tat nach § 303a Abs. 1 geschehen, aber auch dadurch, dass Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingegeben oder übermittelt werden oder eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar gemacht, beseitigt oder verändert wird. Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, gilt dies als erschwerender Tatbestand. Auch hier ist bereits der Versuch strafbar. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt, gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat oder durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt wird. Auch hier gilt für die Vorbereitung einer Straftat der Absatz 1 § 202c entsprechend.

4.2 Netz- und Informationssicherheit

4.2.1 Gesetzliche Regelungen zur IT-Sicherheit

Mit der NIS-Richtlinie – der Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union 35 – hat sich die Europäische Kommission zum Ziel gesetzt, die Netzwerk- und Informationssicherheit in der EU zu verbessern. Die NIS-Richtlinie fordert außerdem die Verwendung internationaler bzw. europäischer Normen laut EU Richtlinie 1025/2012, zählt aber keine spezifischen auf. Die vorliegende Arbeit konzentriert sich daher auf die Normen Familie ISO/IEC 27000 (Informationstechnik) bzw. der ISO/IEC 22301 (Business Continuity Management).

In Deutschland haben Betreiber „kritischer Infrastrukturen“, wozu Krankenhäuser zählen, ihre für die Versorgung der Bevölkerung kritischen Prozesse nach dem Stand der Technik abzusichern und diese gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachweisen müssen. Vor allem Krankenhäuser ab 30.000 stationären Fällen pro Jahr sind seit diesem Zeitpunkt besonders gefordert ihre Systeme zu durchleuchten und an die Richtlinie anzupassen, um sich abzusichern.

Im Zuge der „Nationalen Strategie zum Schutz kritischer Infrastrukturen“ (KRITIS-Strategie) wurde auch das IT-Sicherheitsgesetz in Kraft gesetzt, das das Gesundheitswesen explizit miteinschließt. 10

Deutschland hat mit 17.6.2017 ein entsprechendes Gesetz zur Umsetzung der NIS-Richtlinie beschlossen. Österreich war in dieser Hinsicht lange Zeit nachlässig, obwohl die Frist zur Umsetzung der EU-Richtlinie zur Cybersicherheit (NIS) bereits im Mai 2018 abgelaufen ist. Am 29.12.2018 wurde dann das entsprechende NIS-Gesetz vom österreichischen Nationalrat beschlossen. Die Schweiz hat noch kein Gesetz, das der NIS-Richtlinie entspricht, beschlossen, aber mit der nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) 2018-2022 ebenfalls bereits erste Akzente gesetzt.

4.2.2 EU: NIS - Richtlinie 2016/1148

4.2.2.1 Gründe für die Richtlinie

Netz- und Informationssysteme mit den zugehörigen Diensten spielen eine zentrale Rolle in der Gesellschaft. Für wirtschaftliche und gesellschaftliche Tätigkeiten und insbesondere für das Funktionieren des Binnenmarkts ist es von entscheidender Bedeutung, dass sie verlässlich und sicher sind 36 (1).

Die Tragweite, Häufigkeit und Auswirkungen von Sicherheitsvorfällen nehmen zu und stellen eine erhebliche Bedrohung für den störungsfreien Betrieb von Netz- und Informationssystemen dar. 36 (2).

Die Mitgliedstaaten sollten dafür zuständig sein, zu ermitteln, welche Einrichtungen die Kriterien der Definition des Begriffs „Betreiber wesentlicher Dienste“ erfüllen. Daher sollte die Definition des Begriffs „Betreiber wesentlicher Dienste“ in allen Mitgliedstaaten kohärent angewendet werden 36 (19).

Bietet eine Einrichtung einen wesentlichen Dienst in zwei oder mehr Mitgliedstaaten an, sollten diese Mitgliedstaaten zur Ermittlung des Betreibers untereinander bilaterale oder multilaterale Beratungen aufnehmen. 36 (24).

Sicherheitsvorfälle sollten den zuständigen Behörden oder den Computer-Notfallteams gemeldet werden 36 (32).

Die Mitgliedstaaten sollten über angemessene technische und organisatorische Fähigkeiten zur Prävention, Erkennung, Reaktion und Abschwächung von Sicherheitsvorfällen und Risiken bei Netz- und Informationssystemen verfügen. 36 (34).

Die Maßnahmen für das Risikomanagement umfassen Maßnahmen zur Ermittlung jeder Gefahr eines Vorfalls, zur Verhinderung, Aufdeckung und Bewältigung von Sicherheitsvorfällen sowie der Minderung ihrer Folgen. Die Sicherheit von Netz- und Informationssystemen umfasst die Sicherheit gespeicherter, übermittelter und verarbeiteter Daten 36 (46).

Häufig ist bei Sicherheitsvorfällen der Schutz personenbezogener Daten nicht mehr gewährleistet. Deshalb sollten die zuständigen Behörden und die Datenschutzbehörden zusammenarbeiten 36 (63).

Die Normung von Sicherheitsanforderungen ist ein vom Markt ausgehender Vorgang. Um die Sicherheitsstandards einander anzunähern, sollten die Mitgliedstaaten die Anwendung oder Einhaltung konkreter Normen fördern 36 (66).

4.2.2.2 Begriffsbestimmungen

Im Zusammenhang mit der Richtlinie bedeutet:

- „Netz- und Informationssystem“

- ein elektronisches Kommunikationsnetz
- eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die die automatische Verarbeitung digitaler Daten durchführen, oder
- digitale Daten, zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden;

- „Sicherheit von Netz- und Informationssystemen“ die Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder entsprechender Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen;
- „Betreiber wesentlicher Dienste“ eine öffentliche oder private Einrichtung einer in Anhang II genannten Art, die den Kriterien des Artikels 5 Absatz 2 entspricht;
- „Sicherheitsvorfall“ alle Ereignisse, die tatsächlich nachteilige Auswirkungen auf die Sicherheit von Netz- und Informationssystemen haben;
- „Bewältigung von Sicherheitsvorfällen“ alle Verfahren zur Unterstützung der Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen sowie die Reaktion darauf;
- „Risiko“ alle mit vernünftigem Aufwand feststellbaren Umstände oder Ereignisse, die potenziell nachteilige Auswirkungen auf die Sicherheit von Netz- und Informationssystemen haben;

4.2.2.3 Ermittlung der Betreiber wesentlicher Dienste

In 36 (Art. 5) wird geregelt, welche Einrichtungen als Betreiber wesentlicher Dienste gelten:

- Eine Einrichtung stellt einen Dienst bereit, der für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässlich ist
- die Bereitstellung dieses Dienstes ist abhängig von Netz- und Informationssystemen und
- ein Sicherheitsvorfall würde eine erhebliche Störung bei der Bereitstellung dieses Dienstes bewirken.

Die genauen Kriterien regeln die einzelnen Staaten mittels Verordnungen. In Österreich etwa durch die NIS-Verordnung NISV 37, Deutschland mit der BSI-Kritis-Verordnung 38.

4.2.2.4 Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen

Sicherheitsmaßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist, wobei Folgendem Rechnung getragen wird 36 (Art. 16(1)):

- Sicherheit der Systeme und Anlagen,
- Bewältigung von Sicherheitsvorfällen,
- Business continuity management,
- Überwachung, Überprüfung und Erprobung,
- Einhaltung der internationalen Normen.

Zur Feststellung, ob die Auswirkungen eines Sicherheitsvorfalls erheblich sind, werden insbesondere folgende Parameter berücksichtigt 36 (Art. 16(4)):

- die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, insbesondere der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen;
- Dauer des Sicherheitsvorfalls;
- geografische Ausbreitung in Bezug auf das von dem Sicherheitsvorfall betroffene Gebiet;
- Ausmaß der Unterbrechung der Bereitstellung des Dienstes;
- Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten.

4.2.2.5 Normung

Die Mitgliedstaaten haben ohne Auferlegung oder willkürliche Bevorzugung der Verwendung einer bestimmten Technologieart die Anwendung europäischer oder international anerkannter Normen und Spezifikationen für die Sicherheit von Netz- und Informationssystemen zu fördern 36 (Art. 19 (1)).

4.2.3 A: Netz- und Informationssystemsicherheitsgesetz – NISG

4.2.3.1 Ermittlung der Betreiber wesentlicher Dienste

Nach Befassung des Bundesministers für Inneres und des zuständigen Bundesministers ermittelt der Bundeskanzler jene Betreiber die einen wesentlichen Dienst erbringen 39 § 16 (1).

Betreiber wesentlicher Dienste haben dem Bundeskanzler innerhalb von zwei Wochen nach Zustellung des Bescheids eine Kontaktstelle für die Kommunikation mit dem Bundeskanzler, dem Bundesminister für Inneres oder den Computer-Notfallteams zu nennen. Der Betreiber wesentlicher Dienste hat sicherzustellen, dass er über diese Kontaktstelle jedenfalls in jenem Zeitraum erreichbar ist, in dem er einen wesentlichen Dienst zur Verfügung stellt. Er hat Änderungen der Kontaktstelle unverzüglich bekanntzugeben 39 § 16 (3).

4.2.3.2 Sicherheitsvorkehrungen für Betreiber wesentlicher Dienste

Die Betreiber wesentlicher Dienste haben mindestens alle drei Jahre nach Zustellung des Bescheides die Erfüllung der Anforderungen nachzuweisen. Zu diesem Zweck übermitteln sie eine Aufstellung der vorhandenen Sicherheitsvorkehrungen durch den Nachweis von Zertifizierungen oder durchgeführten Überprüfungen durch qualifizierte Stellen, einschließlich der dabei aufgedeckten Sicherheitsmängel 39 § 17 (3).

4.2.3.3 Meldepflicht für Betreiber wesentlicher Dienste

Betreiber wesentlicher Dienste haben einen Sicherheitsvorfall, der einen von ihnen bereitgestellten wesentlichen Dienst betrifft, unverzüglich an das für sie zuständige Computer-Notfallteam zu melden 39 § 19 (1).

4.2.4 D: IT-Sicherheitsgesetz und das Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148

Beide Gesetze sind sogenannte Artikelgesetze, die die Änderung von anderen Gesetzen beinhalten. Die entsprechenden Änderungen werden daher im Zuge der Besprechung der jeweils geänderten Gesetze behandelt.

4.2.5 D: BSI-Gesetz

4.2.5.1 Begriffsbestimmungen

Paragraf 2 definiert die Begriffe Informationstechnik bzw. kritische Infrastrukturen 40 §2:

- Die Informationstechnik im Sinne dieses Gesetzes umfasst alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen.
- Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter
- Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen,
- durch Sicherheitsvorkehrungen

- in informationstechnischen Systemen, Komponenten oder Prozessen oder
- bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen.

Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

- den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
- von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre
- Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
- Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.

4.2.5.2 Aufgaben des Bundesamtes

Die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik sind unter anderem 40 §3:

- Aufgaben als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen und digitaler Dienste;
- Unterstützung bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen nach § 5a.
- Das Bundesamt kann Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen oder auf qualifizierte Sicherheitsdienstleister verweisen.

4.2.5.3 Verpflichtung Betreiber Kritischer Infrastrukturen

Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

Die Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen auf geeignete Weise nachzuweisen. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen. Die Betreiber übermitteln dem Bundesamt die Ergebnisse der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel.

4.2.5.4 Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

Der Paragraf 8b bestimmt die Kontaktmöglichkeiten des BSI zum Betreiber der kritischen Infrastruktur 40 § 8b:

Die Betreiber Kritischer Infrastrukturen haben dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung eine Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen zu benennen. Die Betreiber haben sicherzustellen, dass sie hierüber jederzeit erreichbar sind.

Betreiber Kritischer Infrastrukturen haben die folgenden Störungen unverzüglich über die Kontaktstelle an das Bundesamt zu melden:

- Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen geführt haben,
- erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können.

4.2.6 CH: Bundesgesetz über die Informationssicherheit beim Bund

Zum Zeitpunkt der Erstellung dieser Arbeit war das genannte Gesetz noch nicht in Kraft.

4.2.6.1 Allgemeine Bestimmungen

Für Organisationen des öffentlichen und privaten Rechts, die kritische Infrastrukturen betreiben, die aber nicht unter die Absätze 1−3 fallen, gelten die Artikel 75–81 dieses Gesetzes. Die Spezialgesetzgebung kann weitere Teile dieses Gesetzes für anwendbar erklären 41 Art. 2.

[...]

Ende der Leseprobe aus 206 Seiten

Details

Titel
Informationssicherheit für Gesundheitsdienstleister in der D-A-CH Region Europas
Untertitel
Einführung und Betrieb eines Information Security Management System (ISMS)
Hochschule
Hochschule Wismar
Note
1
Autor
Jahr
2019
Seiten
206
Katalognummer
V535226
ISBN (eBook)
9783346192851
Sprache
Deutsch
Schlagworte
security, management, informationssicherheit, information, gesundheitsdienstleister, einführung, d-a-ch, system, Informationssicherheitsmanagementsystem, NIS-Richtlinie, DSGVO, Business Continuity Management System, isms, BCMS
Arbeit zitieren
Peter Anzenberger (Autor), 2019, Informationssicherheit für Gesundheitsdienstleister in der D-A-CH Region Europas, München, GRIN Verlag, https://www.grin.com/document/535226

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Informationssicherheit für Gesundheitsdienstleister in der D-A-CH Region Europas



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden