Krankenhäuser, die zur sogenannten Kritischen Infrastruktur (KRITIS) gehören, müssen regelmäßig nachweisen, dass sie über eine ausreichende Informationssicherheit verfügen. Dafür eignet sich insbesondere der Branchenspezifische Sicherheitsstandard (B3S) Medizinische Versorgung.
Doch wie ist der B3S für Krankenhäuser aufgebaut? Was müssen Krankenhäuser tun, um die Vorgaben des B3S zu erfüllen? Und warum ist der B3S Medizinische Versorgung nicht nur für KRITIS-Krankenhäuser relevant?
Was ist der B3S Medizinische Versorgung?
Krankenhäuser, die als KRITIS gelten, müssen seit Inkrafttreten des IT-Sicherheitsgesetzes (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) die Vorgaben des § 8a BSI-Gesetz (BSIG) erfüllen. Wie alle Betreiber von Kritischen Infrastrukturen müssen KRITIS-Krankenhäuser ihre Informationssicherheit dem Stand der Technik entsprechend gestalten und dies dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen.
Um einen entsprechenden Nachweis erbringen zu können, sollten KRITIS-Betreiber auf anerkannte Standards wie die Normen ISO 27001 und ISO 27002 zurückgreifen. Auch wäre ein Vorgehen nach ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) wäre möglich, aber sehr aufwendig.
Alternativ können für die verschiedenen Sektoren der Kritischen Infrastruktur sogenannte Branchenspezifische Sicherheitsstandards (B3S) entwickelt werden. Ebendies hat die Deutsche Krankenhausgesellschaft (DKG) mit dem Branchenspezifischen Sicherheitsstandard (B3S) Medizinische Versorgung getan. Aktuell liegt die Version 1.2 vom 8. Dezember 2022 vor (die aktuellste Version finden Sie online bei der DKG).
Das BSI hat diesen B3S Medizinische Versorgung zuletzt am 10. Januar 2023 als „geeignet zur Umsetzung der Anforderungen nach § 8a Abs. 1 BSI-Gesetz“ anerkannt. Können Krankenhäuser den Nachweis erbringen, die Vorgaben des B3S zu erfüllen, wird auch davon ausgegangen, dass sie alle gesetzlich vorgeschriebenen Maßnahmen erfüllen.
Was sind die Ziele des B3S Medizinische Versorgung?
Die gesetzlichen Anforderungen
Ziel des B3S Medizinische Versorgung ist es, die Umsetzung der gesetzlichen Vorgaben des § 8a Abs. 1 BSI-Gesetz nachzuweisen:
Betreiber Kritischer Infrastrukturen sind verpflichtet, […] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.
Schutzziele und spezifische Faktoren
Um dies zu erreichen, definiert der B3S Medizinische Versorgung die vier im Gesetzestext genannten Schutzziele Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit wie folgt:
- Verfügbarkeit von Dienstleistungen, Funktionen eines Informationssystems, IT-Systems, IT-Netzinfrastruktur oder auch von Informationen ist dann gegeben, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.
- Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen.
- Authentizität der Informationen ist sichergestellt, wenn sie von der angegebenen Quelle erstellt wurden.
- Vertraulichkeit stellt den Schutz vor unbefugter Preisgabe von Informationen sicher. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in zulässiger Weise zugänglich sein.
Die vier (für alle KRITIS-Betreiber gültigen) Schutzziele müssen im Rahmen des B3S Medizinische Versorgung allerdings immer in Verbindung mit den zwei Faktoren Patientensicherheit und Behandlungseffektivität betrachtet werden:
- Patientensicherheit als die Freiheit von unvertretbaren Risiken einer physischen Verletzung oder eines Schadens an der Gesundheit von Menschen. Dies schließt auch die Vermeidung einer nachhaltigen psychischen Belastung ein.
- Behandlungseffektivität stellt die wirksame Behandlung des Patienten unter Benutzung von Informationen und wirksamen Therapiemaßnahmen, ggf. auf Basis eines Informationsaustausches zwischen unterschiedlichen verantwortlichen Organisationseinheiten, sicher.
Angemessene TOM gemäß Stand der Technik
Um die vier Schutzziele zu erreichen, fordert der Gesetzgeber die KRITIS-Betreiber auf, angemessene technische und organisatorische Vorkehrungen bzw. Maßnahmen zu treffen, die dem Stand der Technik entsprechen.
Bei diesen technischen und organisatorischen Maßnahmen handelt es sich um einen Sammelbegriff. Er umfasst einerseits die Prozesse, die regeln, wie genau die einzelnen Anforderungen zu erfüllen sind – etwa eine IT-Nutzungsrichtlinie oder ein Berechtigungskonzept. Andererseits ist damit die tatsächliche und technische Umsetzung der Vorgaben gemeint – also etwa der Einsatz von Anti-Virensoftware oder Firewalls.
Beim Stand der Technik geht es darum, die Weiterentwicklung technischer Systeme zu berücksichtigen und ggf. Updates oder den Austausch veralteter Lösungen zu erzwingen. Für den B3S Medizinische Versorgung ist hierbei zu beachten, dass sich der Stand der Technik nicht auf Medizingeräte bezieht, sondern ausschließlich auf Informationen und informationsverarbeitende Systeme.
Wie ist der B3S Medizinische Versorgung aufgebaut?
Zur Erreichung der oben diskutierten Schutzziele fordert der B3S Medizinische Versorgung die Errichtung eines Informationssicherheits-Managementsystems (ISMS). Dafür orientiert sich der B3S an der Norm ISO 27001 in Verbindung mit den allgemeinen Umsetzungsempfehlungen der ISO 27002 und den spezifischen Umsetzungsempfehlungen für das Gesundheitswesen der ISO 27799. Aus allen drei Normen wurden die für Krankenhäuser relevanten Aspekte übernommen.
Hinsichtlich der Informationssicherheit von Medizingeräten, die in IT-Netzwerke eingebunden sind, kommt zusätzlich die DIN EN 80001-1 „Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten – Teil 1“ zum Tragen.
Zentraler Aspekt der Normen ist eine Gefährdungs- und Risikoanalyse. Dafür erfolgt ein Mapping von Bedrohungs-Szenarien mit entsprechenden Schwachstellen. Es ergeben sich verschiedene Gefährdungen, die nach den Kriterien der Eintrittswahrscheinlichkeit und Schadensauswirkung beurteilt werden. Hierfür gibt es festgesetzte Risikoklassen und in den Normen ISO 27002 bzw. 27799 entsprechende Vorschläge für Gegenmaßnahmen.
Bei der Risikoanalyse und den daraus resultierenden Maßnahmen unterscheidet der B3S Medizinische Versorgung zwischen drei in Großbuchstaben gekennzeichneten Stufen:
- MUSS: Die Einhaltung der Anforderung ist zwingend für die Umsetzung des B3S.
- SOLL: Die Einhaltung der Anforderung ist grundsätzlich erforderlich. Sofern durch die Nicht-Umsetzung die Informationssicherheit nicht gefährdet wird, kann auf die Umsetzung verzichtet werden. Die Nicht-Umsetzung ist nachvollziehbar zu begründen.
- KANN: Die Einhaltung der Anforderungen wird empfohlen, ist jedoch nicht zwingend für die Umsetzung des B3S.
Wie kann ein Nachweis der Umsetzung des B3S Medizinische Versorgung erfolgen?
Festlegung des B3S-Geltungsbereichs
Zunächst gilt es den jeweils individuellen B3S-Geltungsbereich abzugrenzen, also jene Strukturen, „die für die Erbringung der kritischen Dienstleistung (stationäre medizinische Versorgung) notwendig sind.“ Das können einzelne Betriebsstätten, Krankenhausstandorte oder mehrere Standorte zugleich sein. Der B3S-Geltungsbereich kann sich aber auch innerhalb eines Standorts auf zentrale Strukturen beschränken.
Soweit in einem Krankenhaus vorhanden, gehören zum B3S-Geltungsbereich folgende Werte:
- Apothekensystem
- Bettenterminals
- Bettenterminals (PDMS Terminals)
- Blut- und Transfusionsprodukteverwaltung
- Diensttelefonie/Festnetz
- Diensttelefonie/Mobil
- Dokumenten-Management-System / Enterprise-Content-Management
- Energieversorgung (IT-gesteuert, IT-benötigt)
- Fax-Betrieb
- Gase (IT-gesteuert)
- Gebäudeleittechnik/Gebäudeautomationstechnik (IT-gesteuert)
- Heil- und Hilfsmittelversorgungssysteme
- IT-basierte Diagnose und Therapie-Systeme (allgemein)
- Klima/Kühlung (IT-gesteuert, IT-benötigt)
- Krankenhausinformationssystem (KIS)
- Laborinformationssystem (LIS)
- Lichttechnik (IT-gesteuert, IT-benötigt)
- Liegenschaftsverwaltungssystem
- Mobile Devices im Behandlungsprozess
- Netzgebundene Alarmierungssysteme (allgemein)
- Netzgebundene medizintechnische Systeme (allgemein)
- OP-Planungssystem
- Patientenmanagementsystem (PDMS/Intensivdatenverwaltung)
- Picture Archive and Communication System (PACS)
- Radiologieinformationssystem (RIS)
- Rohrpostsysteme
- Rufsysteme
- Telemedizinsysteme
- Telemetriesysteme
- Teleradiologiesysteme
- Transportanlagen/Aufzüge (IT-gesteuert/IT-zugangsberechtigt)
- Transportlogistik (Patienten-, Proben-, Speisen- und Arzneimitteltransporte)
- Versorungs- und Entsorgungstechnik (IT-gesteuert)
- Videoüberwachung (IT-gesteuert)
- Wärme/Heizungssysteme (IT-gesteuert)
- Wasserversorgung (IT-gesteuert, IT-benötigt)
- Wechselsprechtechnik
- Zugangs- und Schließsysteme (IT-gesteuert)
Eine besondere Herausforderung besteht dabei in der häufig in Krankenhäusern anzutreffenden Doppelstruktur von Informationstechnischen Anlagen und Systemen der Medizintechnik. Letztere sind meist als geschlossene Systeme konzipiert und dürfen nur unter bestimmten Voraussetzungen mit IT-Systemen gekoppelt werden. Die gesetzlichen Vorgaben führen zudem regelmäßig zu folgender Problematik:
Medizintechnik-Anlagen entsprechen mit Blick auf Informationssicherheit häufig noch nicht dem aktuellen Stand der Technik aus IT-Sicht. Regulatorische Anforderungen aus dem Bereich der Medizinprodukte sind vielfach nicht mit der gelebten Praxis aus den Bereichen der Informationstechnik in Einklang zu bringen, (z. B. Freigabe von Software-Updates durch den Hersteller eines Medizinproduktes). Häufig kommen eingebettete Betriebssysteme („embedded systems“) zur Anwendung, die weitgehend gekapselt betrieben werden. Antiviren-Programme gehören i.d.R. nicht zum Standard medizintechnischer Anlagen.
Zusätzlich erschwerend wirkt die in vielen Krankenhäusern anzutreffende getrennte personelle Zuständigkeit für Informationstechnische und Medizintechnik-Systeme. Hier gilt es unter Einbindung der Leitungsebene von Anfang an alle Entscheidungsträger in die Prozesse einzubinden.
Erhebung, Dokumentation und Steuerung
Innerhalb des B3S-Geltungsbereichs gilt es nun, den Ist-Zustand zu ermitteln. Dafür sind alle für das ISMS relevanten Systeme, Strukturen und Prozesse sowie deren jeweiliger Status festzustellen. So entsteht eine Dokumentation zur Planung, Steuerung und Kontrolle des ISMS. Im Abgleich mit den Vorgaben des B3S als Soll-Zustand ergeben sich die notwendigen Aufgaben.
So ist vor allem eine geeignete Informationssicherheitsstruktur aufzubauen. In Richtlinien, Konzepten und Verfahrensbeschreibungen wird die Ausgestaltung der Informationssicherheit schriftlich fixiert. Diese Dokumente sind den betroffenen Mitarbeitern zur Verfügung zu stellen. Auch die Schulung von Mitarbeitern ist zwingend vorgesehen.
Weil es sich um ein Managementsystem handelt, ist regelmäßig zu prüfen, welche Fortschritte es gibt und wie gut die Vorgaben greifen. Die erstellten Richtlinien, Konzepte und Vorgaben selbst sind in festgesetzten Abständen zu prüfen und ggfs. zu aktualisieren.
Praktische Umsetzung im Krankenhaus
Um die beschriebenen Prozesse entsprechend zu steuern, ist die Bestellung eines (internen oder externen) Informationssicherheitsbeauftragten zwingend vorgesehen. Er ist für Organisation, Durchführung und Überwachung des ISMS zuständig.
In den wenigsten Krankenhäusern werden alle Vorgaben des B3S Medizinische Versorgung auf einmal umsetzbar sein. Ein ISMS beruht jedoch explizit auf dem Prinzip kontinuierlicher Verbesserung. Dafür bedarf es einer sinnvollen Priorisierung und permanenten Erfolgsmessung der Maßnahmen.
Prüfung durch unabhängige Dritte
KRITIS-Krankenhäuser müssen die Umsetzung der gesetzlichen Vorgaben spätestens alle zwei Jahre dem BSI proaktiv nachweisen. Die Prüfung der Umsetzung des B3S Medizinische Versorgung erfolgt durch einen vom BSI zugelassenen Auditor bzw. Wirtschaftsprüfer. Aufwand und Umfang einer solchen Prüfung entsprechen in etwa einem Audit nach ISO 27001.
Wenn sich Krankenhäuser, die nicht zur KRITIS gehören, für ein ISMS gemäß B3S Medizinische Versorgung entscheiden (siehe unten), gibt es keine Pflicht zum regelmäßigen aktiven Nachweis gegenüber dem BSI. Es ist aber dringend empfohlen, die Umsetzung durch einen unabhängigen kompetenten Auditor jährlich zu prüfen zu lassen.
Für welche Krankenhäuser gilt der B3S?
Wie eingangs erwähnt, ist der B3S Medizinische Versorgung nicht vorgeschrieben, um die Erfüllung der Vorgaben des § 8a Abs. 1 BSI-Gesetz nachzuweisen. Der Gesetzgeber sieht dafür „Sicherheitsaudits, Prüfungen oder Zertifizierungen“ vor. Als eigens für Krankenhäuser entwickelte Best Practice ist es jedoch sehr empfehlenswert, den B3S als Vorlage für die Errichtung des ISMS im Krankenhaus zu wählen.
KRITIS-Krankenhäuser
Der B3S der DKG richtet sich insbesondere Krankenhäuser, die gemäß BSI-KritisV als Kritische Infrastruktur gelten.
Zur Kritischen Infrastruktur Deutschlands gehören alle Krankenhäuser, in deren IT-Systemen mehr als 30.000 vollstationäre Fälle pro Jahr verarbeitet werden.
Achtung: Oft wird fälschlicherweise angenommen, dass für Einrichtungen mit mehreren Standorten die Gesamtzahl aller Fälle relevant ist, die über gemeinsame IT-Systeme laufen. In der BSI-Kritisverordnung findet sich jedoch versteckt in Anhang 5 Teil 1 Nr. 5 der Hinweis, dass die Summierung der Fälle bei mehreren Standorten für Krankenhäuser nicht gilt.
Krankenhäuser müssen jeweils bis zum 31. März prüfen, ob sie diesen Schwellenwert im Vorjahr überschritten haben. Falls ja, ist das BSI zu informieren und das Krankenhaus gilt ab dem 1. April als KRITIS.
Nicht-KRITIS-Krankenhäuser
Der B3S medizinische Versorgung ist aber auch für Krankenhäuser, die nicht zur Kritischen Infrastruktur gehören, relevant. Seit Inkrafttreten des Digital-Gesetzes (DigiG, ursprünglich als Patienten-Daten-Schutzgesetzes (PDSG) in Kraft getreten) gibt es einen neuen § 391 SGB V, der die oben diskutierten Anforderungen an KRITIS-Krankenhäuser faktisch auf alle Krankenhäuser in Deutschland ausweitet.
Demnach müssen Krankenhäuser nachweisen können, dass sie „nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ getroffen haben. Einziger Unterschied ist, dass Nicht-KRITIS-Krankenhäuser den Nachweis nicht selbstständig regelmäßig erbringen müssen.
Auch wenn in § 391 SGB V Absatz 4 nur als Möglichkeit genannt, wird B3S aus praktischer Sicht für alle Krankenhäuser das Maß darstellen.