Studien

KRITIS: Diese Hürden warten auf dem Weg zum ersten Audit

Jul 4, 2019, 00:00
Title* : KRITIS: Diese Hürden warten auf dem Weg zum ersten Audit

Kliniken, die in ihrer Funktion als kritisch für das Funktionieren des staatlichen Gemeinwesens eingestuft gelten (KRITIS), arbeiten daran, die strengen Anforderungen des IT-Sicherheitsgesetzes umzusetzen. Trotz nützlicher Best Practices wie ISO27001/27002 sowie Methoden wie RiKrIT wartet auf dem Weg zum ersten Audit eine Reihe von Stolpersteinen. Hier die wichtigsten Erfahrungen aus diversen KRITIS-Projekten im Gesundheitssektor, speziell in Kliniken mit mehr als 30.000 vollstationären Fällen pro Jahr – denn diese liegen aktuell im primären Fokus des Gesetzgebers.

Für Kliniken beginnen die Schwierigkeiten häufig bereits bei der richtigen Auslegung des Gesetzes: Es gibt immer wieder Unklarheiten zum Geltungsbereich („Scope“) der Teile eines Klinikums, die vom IT-Sicherheitsgesetz betroffen sind. Der Name des Gesetzes impliziert zwar, dass es sich um ein reines IT-Thema handelt, dem ist aber nicht so. Folgende Bereiche werden häufig vergessen:

Nicht immer einbezogene Abteilungen:

  • Personalabteilung
  • Einkauf
  • Zentrallabore
  • Apotheke

Häufig ausgeblendete Bereiche:

  • Abfallentsorgung, vor allem klinische Abfälle
  • Bestellsysteme für Essen (Standard-Gerichte werden von der Notfallversorgung erfasst, Spezialgerichte zum Teil nicht)
  • Transportwesen (Bewegung der Patienten in- und außerhalb des Klinikums als elementarer Teil der Versorgung)
  • Pathologie (Schnellschnitte etc.)

Audit lessons learned

Ergebnisse aus bereits durchgeführten Audits zeigen darüber hinaus, dass die Kliniken sich in den nächsten Monaten um das Schließen und Verbessern der folgenden Bereiche kümmern müssen:

1.         Prozessoptimierung und Entwicklung neuer Prozesse

Kliniken müssen klar definierte Ein-/Austrittsprozesse schaffen und innerhalb des Klinikums anwenden. Hierbei ist primär die Personalabteilung gefordert. Darüber hinaus müssen sich die IT, die Abteilung für die Schlüssel- und Zutrittsverwaltung sowie der Datenschutzbeauftragte mit dem Thema befassen.

Nötig ist zudem häufig die Anpassung der Einkaufsprozesse an die Anforderungen des IT-Sicherheitsgesetzes, damit nicht nach einer Beschaffung nicht „nachgeflickt“ werden muss, um ein neues Gerät adäquat abzusichern und betreiben zu können. Die Umsetzung ist Sache des Einkaufs, zusammen mit der IT, der Medizintechnik sowie der Haus- und Gebäudeleittechnik.

2.         Technische Maßnahmen

Remote Access, vor allem die Fernwartung von Geräten durch Drittfirmen, ist ein sehr kritischer Zutrittspunkt in das Klinik-Netzwerk. Hier existiert oft ein ziemlicher „Wildwuchs“, so dass oft mit größerem Aufwand zu rechnen ist. Es beginnt mit dem Aufstellen adäquater Anforderungen (Session-Aufzeichnung, Freischaltung der Fernwartenden, Vier-Augen-Prinzip etc.) und endet mit der Evaluierung, Auswahl und Implementierung einer Lösung.

3.         Klinisches Kontinuitäts-Management (KKM)

Viele Kliniken besitzen zwar Notfallprozesse, die auch funktionieren und auch trainiert werden. Dazu zählen die Notstromversorgung, die Bildung eines Krisenstabs oder die Verlagerung von Prozessen in anderen Kliniken. Das KKM fokussiert jedoch darauf, den normalen Klinikbetrieb schnell und verlässlich wiederherzustellen – die Notfallprozesse also so kurz wie möglich zu halten. Die dafür nötigen Wiederanlaufpläne, eine Priorisierung sowie die Formalisierung des Kontinuitätsmanagements sind häufig nur rudimentär oder stark verstreut vorhanden.

Das nächste Audit kommt bestimmt   

Nach den KRITIS-Vorgaben des Gesetzgebers müssen die betroffenen Kliniken ein Informationssicherheitsmanagementsystem (ISMS) betreiben. Hierbei sollten die Verantwortlichen auf Nachhaltigkeit setzen, um die erarbeitete Qualität zu erhalten und bei Folgeaudits optimal vorbereitet zu sein. Damit ein mühsam aufgebautes KRITIS-ISMS dauerhaft lauffähig ist, sollten Kliniken vier Punkte beachten:

  1. Kliniken benötigen ein Informationssicherheits-Team. Sonst besteht die Gefahr der fehlenden Vernetzung in die Fachabteilungen.
  2. Das Thema ISMS sollte nicht nur ein Fall für die IT sein. Denn es ist ganz klar ein übergreifendes Thema.
  3. Einführung und Betrieb des Klinikum-ISMS sollten deshalb „hoch genug aufgehängt“ sein, beispielsweise durch die Rolle des Informationssicherheitsbeauftragten (ISB) als Stabsstelle.
  4. Kliniken sollten für eine enge Verknüpfung des Themas ISMS mit dem Datenschutzbeauftragten und dessen Verantwortungsbereich sorgen. Bei Themen überlappen sich stark.

 

Informieren Sie sich über unsere KRITIS-Leistungen

KRITIS @ HEALTH -  UNSER LEISTUNGSANGEBOT FÜR DAS GESUNDHEITSWESEN

Tags :