Das IT-Sicherheitsgesetz des Bundes sowie die BSI-KRITIS-Verordnung fordern den Schutz „kritischer Infra­strukturen“ zur Aufrechterhaltung wichtiger gesellschaftlicher Funktionen. Im Gesundheitswesen haben Krankenhäuser mit über 30.000 stationären Fällen pro Jahr diese Vorgaben zu erfüllen. Auch kleinere Häuser sollten sich zur Sicherstellung ihres Betriebs an den Branchenstandard B3S halten.

Im September fand im City-Center Dresden erneut der KRITISche Stammtisch statt. Zu dieser stark nachgefragten Veranstaltungsreihe kamen Teilnehmer von Kliniken aus sechs Bundesländern. Die Vertreter aus den Kliniken und aus Ministerien sowie Auditoren und ISMS-Berater diskutierten aktuelle Schwerpunkte der Informationssicherheit in Kliniken. Im Mittelpunkt der Veranstaltung stand die Auswertung der Audits in den KRITIS-Kliniken. Die Audits wurden durchgeführt und die Unterlagen eingereicht, doch diese konnten von der zuständigen Behörde vorerst nur auf Vollständigkeit und nicht auf Inhalt geprüft werden. Einig waren sich die Teilnehmer darüber, dass ein Lagebericht zur Gesamtsituation der Informationssicherheit in der Branche durch solche Audits wünschenswert ist.

Die Frage stellt sich weiterhin, wie die “Behebung der Sicherheitsmängel“ laut den Audits konkret finanziert werden soll. Per Telefonkonferenz stand Markus Holzbrecher-Morys, stellvertretender Geschäftsführer der Deutschen Krankenhausgesellschaft e. V., für Fragen zur Finanzierung und der Erhöhung des Stellenwertes der Informationssicherheit zur Verfügung.

Der KRITISche Stammtisch, eine Initiative mit Ursprung in Dresden, existiert seit 2017. Die darin diskutierten und gewonnenen Erkenntnisse wurden von den Kliniken erfolgreich zur Vorbereitung der Audits integriert und als positiv von dem Fachgremium beurteilt. Die Initiatoren – das Universitätsklinikum Carl Gustav Carus Dresden und SHD System-Haus-Dresden GmbH – freuen sich über diese positive Resonanz.

Neuigkeiten aus dem UP KRITIS Branchenarbeitskreis (BAK) Medizinische Versorgung stellte Mike Zimmermann vor, Sicherheitsbeauftragter am Universitätsklinikum Carl Gustav Carus Dresden. Er gab unter anderem bekannt, dass die Expertise der prüfenden Stellen starken Schwankungen unterlag, besonders im Bezug zu den Klinikbesonderheiten.

Sebastian Junge, Heinrich-Braun-Klinikum gemeinnützige GmbH, berichtete von den Erfahrungen aus dem Audit in seinem Haus. Junge fasste am Ende zusammen:
„Die erfolgreiche Zertifizierung der ISO/IEC 27001 im Heinrich-Braun-Klinikum ist das Ergebnis der sehr guten Zusammenarbeit im gemeinsamen Projekt zwischen HBK und SHD. Insbesondere das seitens SHD eingebrachte fachliche Wissen und die praktischen Erfahrungen über den Aufbau eines ISMS (Informationssicherheitsmanagementsystem, Grundbestandteil einer KRITIS-Strategie), haben wesentlich zum Projekterfolg beigetragen.“

Konrad Christoph, Teamleiter Gesundheitswesen bei SHD, hielt einen Fachvortrag zum Notfallmanagement. Er stellte unter anderem eine Lösung von Intellior in Kooperation mit SHD vor. Mit dieser Lösung ist es zukünftig möglich, ein komplettes Notfallmanagement in den Krankenhäusern aufzubauen. Christoph betonte in diesem Zusammenhang:
„Für die Vertreter in den Kliniken bedeutet das viel Arbeit, doch ein Informationssicherheitsmanagementsystem kommt ohne ein Notfallmanagement nicht aus.“

Dieses Tool wurde speziell zum Notfallmanagement entwickelt und dient als Ergänzung der bereits vorhandenen Produktfamilie, wie z. B. Tools für ISMS, DSGVO, QM und Auditmanagement. Damit steigt die Effektivität der Plattform u. a. durch die gemeinsame Nutzung der Daten. Christoph wies zum Schluss darauf hin: „Die nächsten Kontroll-Audits stehen bereits in zwei Jahren an, deshalb sollten die Kliniken zügig mit der Umsetzung der Maßnahmen beginnen“.

Der Termin für den achten KRITISchen Stammtisch ist für Anfang 2020 in Planung. Diskutiert wird dann der Umgang mit sensiblen Patientendaten in der Cloud und es werden praktische Umsetzungskonzepte von Sicherheitsmaßnahmen dargestellt. Alle Kliniken sind zum Dialog eingeladen!