Informationssicherheit für Gesundheitsdienstleister in der D-A-CH Region Europas

Inhaltsverzeichnis

1. Einleitung

1.1 Problemstellung

1.1.1 IT-Sicherheitsvorfälle aus der Presse

1.1.1.1 Conficker in Kärnten: Nach der Landesregierung nun die Spitäler

1.1.1.2 Klinik Fürstenfeldbruck tagelang durch Schadsoftware lahmgelegt

1.1.1.3 Österreich: Datenleck im letzten Bundespräsidentschaftswahlkampf

1.1.1.4 Deutschland: die 10 größten Sicherheitsmängel in Krankenhäusern

1.2 Fragestellungen der Arbeit

1.3 Ziele der Arbeit

1.4 Aufbau der Arbeit

2. Grundlagen IT-Sicherheit und Betriebsfähigkeit

2.1 Definitionen IT-Sicherheit

2.1.1 IT-Sicherheit

2.2 Schutzziele der unterschiedlichen Normen

2.2.1 Schutzziele laut ISO/IEC 27000

2.2.2 Schutzziele laut ISO/IEC 22301

2.2.3 Schutzziele laut ISO/IEC 27005

2.2.4 Schutzziele laut ISO/IEC 80001

2.3 Bedeutung der IT-Sicherheit

2.4 IT-Sicherheit im Gesundheitswesen

2.5 Bedrohungen, Schwachstellen, Gefährdungen

2.6 Maßnahmen zur IT-Sicherheit

2.6.1 Technische Maßnahmen

2.6.2 Organisatorische Maßnahmen

2.6.3 Personelle Maßnahmen

2.7 Sensibilisierung der Mitarbeiterinnen und Mitarbeiter

2.8 Aufrechterhaltung der Betriebsfähigkeit

2.9 IT-Sicherheit, Compliance und Datenschutz

2.9.1 Schutzziele des Datenschutzes

3. Managementsysteme

3.1 Managementprinzipien

3.1.1 Informationssicherheitsmanagementsystem (ISMS)

3.1.1.1 ISMS-Prozessmodell

3.1.1.2 Elemente des Informationssicherheits-Managements

3.1.2 Risikomanagementsystem (RMS)

3.1.3 Business Continuity Management System (BCMS)

4. Rechtliche Vorschriften in der EU, A, D und CH

4.1 Tatbestände laut Strafgesetzbuch

4.1.1 Abfangen bzw. Ausspähen von Daten

4.1.2 Unbefugter Zugriff auf ein IT-System

4.1.3 Missbräuchliche betrügerische Verwendung von Daten

4.1.4 Beschädigung von Daten

4.1.5 Störung des IT-Systems

4.2 Netz- und Informationssicherheit

4.2.1 Gesetzliche Regelungen zur IT-Sicherheit

4.2.2 EU: NIS - Richtlinie 2016/1148

4.2.2.1 Gründe für die Richtlinie

4.2.2.2 Begriffsbestimmungen

4.2.2.3 Ermittlung der Betreiber wesentlicher Dienste

4.2.2.4 Sicherheitsanforderungen und Meldung von Sicherheitsvorfällen

4.2.2.5 Normung

4.2.3 A: Netz- und Informationssystemsicherheitsgesetz – NISG

4.2.3.1 Ermittlung der Betreiber wesentlicher Dienste

4.2.3.2 Sicherheitsvorkehrungen für Betreiber wesentlicher Dienste

4.2.3.3 Meldepflicht für Betreiber wesentlicher Dienste

4.2.4 D: IT-Sicherheitsgesetz und das Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148

4.2.5 D: BSI-Gesetz

4.2.5.1 Begriffsbestimmungen

4.2.5.2 Aufgaben des Bundesamtes

4.2.5.3 Verpflichtung Betreiber Kritischer Infrastrukturen

4.2.5.4 Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

4.2.6 CH: Bundesgesetz über die Informationssicherheit beim Bund

4.2.6.1 Allgemeine Bestimmungen

4.2.6.2 Begriffe

4.2.6.3 Informationssicherheit

4.2.6.4 Informationssystem zur Unterstützung von kritischen Infrastrukturen

4.2.7 CH: Nationale Strategie zum Schutz vor Cyber-Risiken 2018–2022

4.3 Betreiber kritischer Infrastrukturen

4.3.1 EU: Durchführungsverordnung 2018/151 der EU-Kommission

4.3.1.1 Sicherheitselemente

4.3.2 Wesentliche Dienste im Sektor Gesundheitswesen

4.3.2.1 Österreich

4.3.2.2 Deutschland

4.4 Verpflichtungen aus dem Datenschutz

4.4.1 EU: Datenschutzgrundverordnung DSGVO

4.4.1.1 Gründe für diese Verordnung

4.4.1.2 Begriffsbestimmungen

4.4.1.3 Grundsätze für die Verarbeitung personenbezogener Daten

4.4.1.4 Sicherheit der Verarbeitung

4.4.2 A: Datenschutzgesetz

4.4.2.1 Datensicherheitsmaßnahmen

4.4.2.2 Protokollierung

4.4.3 D: Bundesdatenschutzgesetz

4.4.3.1 Datenschutz durch Technikgestaltung

4.4.4 CH: Datenschutzgesetz

4.4.4.1 Begriffe

4.4.4.2 Datensicherheit

4.4.4.3 Datenbearbeitung durch Dritte

4.5 Verpflichtungen als Medizinprodukte-Betreiber

4.5.1 A: Medizinproduktegesetz

4.5.1.1 Allgemeine Anforderungen

4.5.2 D: Medizinproduktegesetz

4.5.2.1 Verweis auf Medizinproduktebetreiberverordnung

4.5.3 D: Medizinprodukte-Betreiberverordnung

4.5.3.1 Betrieb von Medizinprodukten

5. Normen, Leitlinien und Leitfäden

5.1 Umsetzung der IT-Sicherheit

5.1.1 (Sach)Ziele

5.1.2 (Grund)Funktionen

5.1.3 Mechanismen

5.2 BSI IT-Grundschutz

5.3 ISO/IEC 2700x

5.3.1 Die ISMS-Normenfamilie

5.3.2 Identifizierung von Informationssicherheitsanforderungen

5.3.3 Beurteilung von Informationssicherheitsrisiken

5.3.4 Behandlung von Informationssicherheitsrisiken

5.3.5 Auswahl und Umsetzung von Maßnahmen

5.3.6 Überwachung, Aufrechterhaltung und Verbesserung der Wirksamkeit des ISMS

5.3.7 Fortlaufende Verbesserung

5.4 ISO/IEC 27001 (ISMS - Anforderungen)

5.4.1 Führung und Verpflichtung

5.4.2 Politik

5.4.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

5.4.4 Informationssicherheitsrisikobeurteilung

5.4.5 Informationssicherheitsrisikobehandlung

5.4.6 Informationssicherheitsziele und Planung zu deren Erreichung

5.4.7 Ressourcen

5.4.8 Kompetenz

5.4.9 Überwachung, Messung, Analyse und Bewertung

5.4.10 Internes Audit

5.4.11 Managementbewertung

5.4.12 Nichtkonformität und Korrekturmaßnahmen

5.4.13 Fortlaufende Verbesserung

5.5 ISO/IEC 27002 und ISO/IEC 27799 (ISMS - Leitfaden für Maßnahmen)

5.5.1 Zu schützende Gesundheitsinformationen

5.5.2 Anforderungen an Informationssicherheit

5.5.3 Auswahl von Maßnahmen

5.5.4 Entwicklung eigener Leitfäden

5.5.5 Berücksichtigung von Lebenszyklen

5.5.6 Informationssicherheitsrichtlinien

5.5.7 Informationssicherheitsrollen und -verantwortlichkeiten

5.5.8 Aufrechterhalten der Informationssicherheit

5.6 ISO/IEC 27005

5.6.1 Überblick über den Risikomanagement-Prozess

5.6.1.1 Festlegung des Kontexts

5.6.1.2 Risiko-Assessment

5.6.1.3 Risikoidentifikation

5.6.1.4 Identifikation von Bedrohungen

5.6.1.5 Identifikation bereits umgesetzter Maßnahmen

5.6.1.6 Identifikation von Schwachstellen

5.6.1.7 Identifikation von Schadensauswirkungen

5.6.1.8 Risikoanalyse

5.6.1.9 Assessment der Auswirkungen

5.6.1.10 Assessment der Wahrscheinlichkeiten

5.6.1.11 Assessment des Risiko-Levels

5.6.1.12 Risikobewertung / Priorisierung

5.6.1.13 Risikobehandlung

5.6.1.14 Risikomodifikation

5.6.1.15 Risikoübernahme

5.6.1.16 Risikovermeidung

5.6.1.17 Teilen von Risiken

5.6.1.18 Risikokommunikation und Beratung

5.7 EN.ISO 22301 (BCMS - Anforderungen) und ISO 22313 (BCMS - Leitlinien)

5.7.1 Das Planen-Durchführen-Prüfen-Handeln-Modell (PDCA-Modell)

5.7.2 Verwendete Verbformen:

5.7.3 Wichtige Begriffe:

5.7.4 Verstehen der Organisation und ihres Kontextes

5.7.5 Rechtliche und behördliche Anforderungen

5.7.6 Anwendungsbereich des BCMS

5.7.7 Führung und Verpflichtung

5.7.8 Leitlinien

5.7.9 Funktionen, Verantwortlichkeiten und Befugnisse innerhalb der Organisation

5.7.10 Ressourcen

5.7.11 Kompetenz

5.7.12 Bewusstseinsbildung

5.7.13 Kommunikation

5.7.14 Ablaufplanung und Kontrolle

5.7.15 Business Impact Analyse

5.7.16 Risikobewertung

5.7.17 Festlegung und Auswahl der Strategien und Lösungen

5.7.18 Ressourcenbedarf

5.7.19 Reaktionsstruktur

5.7.20 Pläne zur Aufrechterhaltung der Betriebsfähigkeit

5.7.21 Übungsprogramm

5.7.22 Leistungsüberprüfung

5.7.23 Internes Audit

5.7.24 Managementüberprüfung

5.7.25 Nichtkonformität und Korrekturmaßnahmen

5.7.26 Ständige Verbesserung

5.8 IEC 60601-4-5: Die Norm zur IT-Sicherheit auch für standalone Software?

5.8.1 Safety versus Security

5.8.2 Priorisierungen

5.8.3 Security Levels – Das zentrale Konzept der IEC 60601-4-5

5.8.4 Festlegung des SL-T

5.8.5 Nutzen und Verwendung der Security Levels

5.9 IEC 80001: Risikomanagement bei vernetzter Medizintechnik

5.9.1 Begriffe der Norm:

5.9.2 Verantwortung der obersten Leitung

5.9.3 Beschreibung der Risiko-relevanten Elemente

5.9.4 Risikomanagement-Plan für das medizinische IT-Netzwerk

5.9.5 Risikoanalyse

5.9.6 Risikobewertung

5.9.7 Risikobeherrschung

5.9.7.1 Analyse der Wahlmöglichkeiten der Risikobeherrschung

5.9.7.2 Maßnahmen der Risikobeherrschung

5.9.7.3 Umsetzung von Maßnahmen der Risikobeherrschung

5.9.7.4 Verifizierung von Maßnahmen der Risikobeherrschung

5.9.7.5 Neue Risiken, die von Maßnahmen der Risikobeherrschung herrühren

5.9.8 Risikomanagement im Echtbetrieb

5.9.8.1 Überwachung

5.10 ISIS 12

5.11 VdS 10000

6. Einführung und Betrieb eines ISMS im Krankenhaus

6.1 Einführung und Betrieb eines ISMS

6.1.1 Sicherheitsorganisation

6.1.1.1 Vorbereitende Maßnahmen

6.1.2 Vorgehensmodell zur Einführung eines ISMS

6.1.3 Vorgehensmodell zum Betrieb eines ISMS

6.1.4 Vorgehensmodell zur Einführung eines BCMS

6.1.5 Vorgehensmodell zum Betrieb eines BCMS

6.1.6 Vorgehensmodell zur Einführung eines RMS

6.1.6.1 Erstellung einer Risikomatrix

6.2 Rechtliche Bedingungen beim Betrieb eines ISMS

6.2.1.1 Informationsaustausch zwischen Behörden und Betreibern kritischer Infrastrukturen

6.2.1.2 Wer muss Vorfälle melden?

6.2.1.3 Müssen IT-Störungen gemeldet werden?

6.2.1.4 Wann und wohin muss gemeldet werden:

6.2.1.5 Gewöhnliche Sicherheitsvorfälle (nicht meldepflichtig)

6.2.1.6 Außergewöhnliche IT-Störungen (meldepflichtig)

6.2.1.7 Beeinträchtigung oder Ausfall der Funktionsfähigkeit (meldepflichtig)

7. Vorgehensweise bei der Umsetzung des Projektes

7.1 Ausgangsbasis

7.2 Starten des Projektes

7.2.1 Projektplan

7.2.2 Verfahren zur Lenkung von Dokumenten und Aufzeichnungen

7.2.2.1 Dokumente mit unterster Vertraulichkeitsstufe

7.2.2.2 Dokumente mit höherer Vertraulichkeitsstufe

7.2.2.3 Aktualisierung von Dokumenten

7.2.2.4 Lenkung von Aufzeichnungen

7.2.2.5 Dokumente externer Herkunft

7.3 Durchführen der Prozessanalyse

7.3.1 Identifikation der Anforderungen und interessierten Parteien

7.3.2 Überprüfung und Bewertung

7.3.3 Verantwortlichkeiten

7.4 Aufbauen des Risikomanagements

7.4.1 Ablauf der ISMS Risikoanalyse

7.4.1.1 Risikoeinschätzung

7.4.1.2 Werte, Schwachstellen und Bedrohungen

7.4.1.3 Festlegung der Risiko-Eigentümer

7.4.1.4 Auswirkungen und Wahrscheinlichkeiten

7.4.1.5 Risikobehandlung

7.4.2 Erstellung der Risikoanalyse

7.5 Definieren der Vorgaben

7.5.1 Verantwortlichkeiten der Leitung

7.5.2 Mobilgeräte

7.5.3 Telearbeit

7.5.4 Personalsicherheit: Sicherheitsüberprüfung

7.5.5 Klassifizierung von Information

7.5.6 Handhabung von Wechseldatenträgern

7.5.6.1 Entsorgung, Vernichtung und Weiterverwendung von Datenträgern

7.5.7 Zugangssteuerungsrichtlinie

7.5.7.1 Kennwortrichtlinie

7.5.8 Zugang zu Netzwerken und Netzwerkdiensten

7.5.9 Registrierung und Deregistrierung von Benutzern

7.5.10 Unbeaufsichtigte Benutzergeräte

7.5.11 Maßnahmen gegen Schadsoftware

7.5.12 Betriebliches Kontinuitätsmanagement

7.5.12.1 Geschäftsauswirkungsanalyse – Methodik

7.5.12.2 Strategie für betriebliches Kontinuitätsmanagement

7.5.12.3 Notfallantwortstruktur

7.6 Dokumentieren der Abläufe

7.7 Erstellen der Notfallpläne

7.8 Schulen der Mitarbeiter

7.8.1 Plan für Training und Awareness

7.9 Laufendes verbessern des ISMS

7.9.1 Internes Audit

7.9.1.1 Planung interner Audits

7.9.2 Korrekturen und Korrekturmaßnahmen

7.9.2.1 Nichtkonformitäten und Korrekturen

7.9.2.2 Korrekturmaßnahmen

7.10 Aufbau eines Security Operations Centre (SOC).

7.10.1 Erkennen

7.10.2 Reagieren

7.10.3 Auswerten

8. Zusammenfassung

9. Ausblick

Zielsetzung und Thematische Schwerpunkte

Die vorliegende Arbeit zielt darauf ab, einen umfassenden Überblick über die normativen Anforderungen und rechtlichen Rahmenbedingungen für die Informationssicherheit bei Gesundheitsdienstleistern in der D-A-CH-Region zu geben und daraus ein praktisches Konzept für die Implementierung und den Betrieb eines Informationssicherheitsmanagementsystems (ISMS) zu entwickeln.

• Rechtliche Rahmenbedingungen für IT-Sicherheit und Datenschutz in Deutschland, Österreich und der Schweiz.
• Implementierung von ISMS-Strukturen unter besonderer Berücksichtigung kleiner und mittlerer Gesundheitseinrichtungen.
• Integration von Risikomanagementsystemen (RMS) und Business Continuity Management (BCM).
• Methodische Ansätze für die Projektdurchführung in einem Krankenhausumfeld.
• Analyse von IT-Sicherheitsrisiken und Ableitung angemessener Schutzmaßnahmen.

Auszug aus dem Buch

Zusammenfassung der Kapitel

1. EINLEITUNG: Dieses Kapitel erläutert die Problemstellung anhand aktueller Sicherheitsvorfälle und definiert die Ziele sowie den Aufbau der Arbeit.

2. GRUNDLAGEN IT-SICHERHEIT UND BETRIEBSFÄHIGKEIT: Hier werden zentrale Begriffe der IT-Sicherheit definiert und verschiedene Schutzziele sowie Gefährdungskategorien im Krankenhauskontext erläutert.

3. MANAGEMENTSYSTEME: Dieses Kapitel beschreibt die Funktionsweise von Managementsystemen, insbesondere ISMS, RMS und BCMS, als strategische Basis für Informationssicherheit.

4. RECHTLICHE VORSCHRIFTEN IN DER EU, A, D UND CH: Der Abschnitt behandelt die rechtlichen Rahmenbedingungen, strafrechtliche Aspekte und spezifische Anforderungen an kritische Infrastrukturen sowie den Datenschutz in den drei Ländern.

5. NORMEN, LEITLINIEN UND LEITFÄDEN: Dieses Kapitel bietet eine tiefgehende Analyse einschlägiger Normen wie ISO 27001, 27002, 27005, 22301 sowie BSI-Grundschutz und IEC 60601-4-5.

6. EINFÜHRUNG UND BETRIEB EINES ISMS IM KRANKENHAUS: Hier werden praktische Vorgehensmodelle für die Sicherheitsorganisation und den Betrieb eines ISMS in Gesundheitseinrichtungen dargestellt.

7. VORGEHENSWEISE BEI DER UMSETZUNG DES PROJEKTES: Dieses Kapitel dokumentiert die praktische Implementierung der ISMS- und BCMS-Konzepte in einem konkreten Krankenhausprojekt inklusive Dokumentations- und Prozessanalyse.

8. ZUSAMMENFASSUNG: Eine reflektierende Zusammenfassung der Kernthemen und der Erkenntnisse aus der praktischen Umsetzung.

9. AUSBLICK: Dieser Abschnitt bietet einen Ausblick auf die zukünftigen Herausforderungen bei der Sicherung kritischer Infrastrukturen im Gesundheitssektor.

Schlüsselwörter

Informationssicherheit, ISMS, ISO 27001, Gesundheitswesen, Krankenhäuser, Risikomanagement, Datenschutz, DSGVO, Kritische Infrastruktur, NIS-Richtlinie, Business Continuity Management, IT-Sicherheit, Medizintechnik, Compliance, Cybersecurity

Häufig gestellte Fragen

Worum geht es in der Arbeit grundsätzlich?

Die Arbeit befasst sich mit der Implementierung von Informationssicherheitsmanagementsystemen (ISMS) und Betriebskontinuitätsmanagement (BCMS) bei Gesundheitsdienstleistern in der D-A-CH-Region unter Berücksichtigung rechtlicher und normativer Anforderungen.

Was sind die zentralen Themenfelder?

Die Schwerpunkte liegen auf der rechtlichen Compliance, dem Risikomanagement nach internationalen Standards (wie ISO 27001, IEC 80001) und der praktischen Umsetzung in Krankenhäusern, einschließlich der Sicherheitsorganisation und der Sensibilisierung von Mitarbeitern.

Was ist das primäre Ziel der Arbeit?

Das Ziel ist es, einen Überblick über Normen und rechtliche Rahmenbedingungen zu bieten und ein praxisnahes Konzept für die Einführung eines ISMS für Krankenhäuser unterschiedlicher Größe zu entwickeln.

Welche wissenschaftlichen Methoden werden verwendet?

Es erfolgt eine umfassende Analyse aktueller Normen, Richtlinien und Gesetze im D-A-CH-Raum, ergänzt durch die Dokumentation eines konkreten Implementierungsprojektes in einem österreichischen Krankenhaus.

Was wird im Hauptteil behandelt?

Der Hauptteil analysiert theoretische Grundlagen der IT-Sicherheit, Managementsysteme, die rechtliche Situation (EU-NIS, nationale Strafgesetze), die relevanten ISO/IEC-Normen sowie konkrete Vorgehensmodelle zur Einführung und zum Betrieb von ISMS und BCMS.

Welche Schlüsselwörter charakterisieren die Arbeit?

Informationssicherheit, ISMS, ISO 27001, Gesundheitswesen, Risikomanagement, Datenschutz, DSGVO, Kritische Infrastruktur und Business Continuity Management.

Wie wird das Spannungsfeld zwischen "Safety" und "Security" bei Medizinprodukten gelöst?

Die Arbeit thematisiert dieses Konfliktpotential, insbesondere bei vernetzter Medizintechnik (IEC 60601-4-5, IEC 80001), und zeigt auf, wie durch systematisches Risikomanagement beide Schutzziele in Einklang gebracht werden können.

Welche Rolle spielt die "Risikomatrix" bei der Umsetzung?

Die Risikomatrix dient als zentrales Instrument für die Bewertung und Priorisierung von Risiken, wobei die Arbeit auch die Grenzen und Kritikpunkte der Matrix-Methodik beleuchtet.

Warum ist die Einbindung des Managements in ein ISMS-Projekt entscheidend?

Ohne die aktive Unterstützung der obersten Leitung können die notwendigen Ressourcen nicht bereitgestellt und die Sicherheitskultur nicht als unternehmensweites, sondern nur als isoliertes IT-Thema verankert werden, was den Erfolg gefährdet.