Marabu / Magazin

Wissen, Aktuelles und Hintergründe
rund um ECM im Gesundheitsmarkt.

Miriam-Mirza

Neuer Leitfaden zur IT-Sicherheit

Jüngsten Meldungen zufolge will die Bundesregierung künftig ihre Definition von kritischer Infrastruktur erweitern und auch kleinere Krankenhäuser in die Pflicht nehmen, die IT-Sicherheitsstandards des BSI zu erfüllen. Hilfestellung bei der Umsetzung bietet der „Leitfaden für die Erstellung von IT-Sicherheitskonzepten im Gesundheitswesen“.

Jüngsten Meldungen zufolge will die Bundesregierung künftig ihre Definition von kritischer Infrastruktur erweitern und auch kleinere Krankenhäuser in die Pflicht nehmen, die IT-Sicherheitsstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu erfüllen. Ein Grund mehr, sich mit den gestiegenen Anforderungen an die IT-Sicherheit zu beschäftigen. Hilfestellung bei der Umsetzung bietet der "Leitfaden für die Erstellung von IT-Sicherheitskonzepten im Gesundheitswesen", den die ZTG Zentrum für Telematik und Telemedizin GmbH (ZTG) gemeinsam mit der Arbeitsgruppe „Datenschutz und IT Sicherheit“ des Bundesverbandes Gesundheits-IT e.V. (bvitg) und der Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS) erstellt hat.

Welche Schwerpunkte der Leitfaden setzt und wie IT-Verantwortliche die Erstellung von IT-Sicherheitskonzepten am besten angehen sollten, berichtet Eric Wichterich, Leiter für Telematikdienste, Datenschutz und IT-Sicherheit bei der ZTG GmbH, im Interview.

Wie kann der Leitfaden IT-Verantwortlichen helfen, die IT-Sicherheit in ihren Häusern zu verbessern?

Der Leitfaden bietet einen Einstieg in ein Vorgehen, die IT-Sicherheit der eigenen Einrichtung systematisch aufzubauen. Der Leitfaden beantwortet Fragen wie: „Was soll ein IT-Sicherheitskonzept bewirken? Was gehört in ein IT-Sicherheitskonzept? Wie kann die IT-Sicherheit auf die eigene Einrichtung passend zugeschnitten werden? Wie und nach welchen Kriterien sollen wesentliche technische und organisatorische Maßnahmen gruppiert und beschrieben werden?“

Es gibt zum Thema IT-Sicherheit inzwischen zahlreiche Literatur, aber uns fehlte noch ein Hilfsmittel, das anhand einer Musterstruktur veranschaulicht, wie so ein IT-Sicherheitskonzept aufgebaut werden kann und mit weiteren Hinweisen hilft, das Thema anzugehen. Dadurch, dass die Verfasser des Leitfadens alle im Gesundheitswesen tätig sind, ist der praktische Blick auf die Erfordernisse mit in den Leitfaden eingeflossen.

Zusammenfassend lässt sich sagen, dass das IT-Sicherheitskonzept die grundsätzliche Motivation erarbeitet, welche schutzwürdigen Daten und Datenverarbeitungen der Einrichtung mit welcher Priorität zu schützen sind. Für die Umsetzung im Detail und für Vertiefungen existiert dann weitere Literatur, z. B. Unterlagen zum IT-Grundschutz des BSI oder ISO/IEC 27001ff., auf die der Leitfaden verweist.

Weshalb sahen Sie die Notwendigkeit, einen zweiten Leitfaden als Ergänzung zum 2016 veröffentlichten "Leitfaden für die Erstellung von Datenschutzkonzepten" zu erstellen?

Der Leitfaden für die Erstellung von IT-Sicherheitskonzepten hat einen anderen Fokus als der Leitfaden für Datenschutzkonzepte. Beim Datenschutzkonzept wird ausschließlich der Schutz der informationellen Selbstbestimmung der Menschen, deren Daten verarbeitet werden, behandelt. Das ist gerade in Hinblick auf die sensiblen Gesundheitsdaten von Patientinnen und Patienten sehr wichtig.

Beim IT-Sicherheitskonzept steht dagegen der Schutz sämtlicher Daten, die für die eigene Einrichtung wichtig sind, im Vordergrund. Diese können personenbezogene Patientendaten, aber auch weitere Daten und IT-Funktionen beinhalten, die keinen Personenbezug haben, aber für den Betrieb der Einrichtung wichtig sind und geschützt werden müssen. Beispiele wären etwa Daten zu den Lagerbeständen der Apotheke oder Buchhaltungsdaten und die Gewährleistung wichtiger IT-Funktionen (z.B. Systeme für elektronische Patientenakten oder Radiologiesysteme), die die Arbeitsfähigkeit der Einrichtung sicherstellen.

In der Regel werden beide Konzepte erstellt, wobei das Datenschutzkonzept dann als Teil des umfassenden IT-Sicherheitskonzepts berücksichtigt wird.

An wen richtet sich das Dokument?

Der Leitfaden richtet sich insbesondere an diejenigen, die neu im Thema sind oder erstmals für Einrichtungen des Gesundheitswesens den Schutz der IT systematisch angehen und aufbauen möchten.

Warum sollten sich Einrichtungen und Institutionen im Gesundheitswesen um ein Sicherheitskonzept bemühen?

Ein IT-Sicherheitskonzept ist schon allein aufgrund der Abhängigkeit der Einrichtungen von einer funktionierenden IT notwendig. Sind keine Maßnahmen ergriffen worden, ist es nur eine Frage der Zeit, bis aufgrund böswilliger Angriffe, technischen Versagens oder auch bloß fehlerhaften Umgangs einzelner Anwender wichtige IT-Systeme ihren Dienst einstellen und der Betriebsablauf nicht mehr aufrechterhalten werden kann.

Mir persönlich ist hier besonders der Erpressungstrojaner lebhaft in Erinnerung geblieben, der im letzten Jahr für unschöne Schlagzeilen gesorgt hat, weil Krankenhäuser in ihrem Betrieb empfindlich eingeschränkt wurden.

Letztlich ergeben sich durch eine mangelhafte IT-Sicherheit eine Reihe von haftungsrechtlichen Aspekten, die insbesondere die Geschäftsleitungen verantworten müssen. Das kann durchaus ein erhebliches Risiko darstellen.

Was kann ein solches Sicherheitskonzept bewirken?

Das IT-Sicherheitskonzept bietet einen Überblick, was wie und mit welcher Priorität in der eigenen Einrichtung zu schützen ist. Davon ausgehend können einzelne Maßnahmen, beispielsweise im Zusammenhang mit einem Informationssicherheitsmanagement, ergriffen werden, die von den individuellen Begebenheiten der jeweiligen Einrichtung abhängen.

Unser Ziel ist es, mit dem Leitfaden für die Erstellung von IT-Sicherheitskonzepten auf ein hohes Niveau der technischen und organisatorischen Absicherung im Gesundheitswesen hinzuwirken. Dafür stehen wir als ZTG gerne zur Verfügung, wenn es Fragen zu den Leitfäden gibt. Wir freuen uns aber auch zu hören, wie die Arbeit mit dem Leitfaden geklappt hat und wo es weitere Entwicklungsmöglichkeiten gibt.

Miriam Mirza

Über den Autor

Die Journalistin Miriam Mirza hat Germanistik und Anglistik studiert und arbeitet als Fachredakteurin für das Magazin E-HEALTH-COM.

Eric Wichterich, ZTG GmbH
Eric Wichterich, ZTG GmbH

Zurück