KRITIS für Kritische Infrastruktur: B3S Krankenhaus und IAM
Ziel der KRITIS-Verordnung ist der Schutz der IT-Systeme kritischer Dienstleister. Ab wann zählen Krankenhäuser zur kritischen Infrastruktur? Wir zeigen förderfähige Maßnahmen der B3S für Krankenhaus mit IAM von OGiTiX.
Kritische Infrastruktur ist für die Versorgung unabdingbar. Ob Kraftwerk, Schienennetz oder Krankenhaus – kommt es zu längeren Ausfällen, sind das Wohl der Menschen und die öffentliche Ordnung gefährdet.
Neben Katastrophen wie Fluten, Brand, Kriegen oder Havarien wachsen Bedrohungen wie Cyberangriffe als Risiko für KRITIS-Betreiber. Voraussetzungen dafür sind es, den Schutz auf dem Stand der Technik anzupassen und Sicherheitsstandards entsprechend der Bedrohungen umzusetzen. Um IT, Netzwerke und Daten vor Attacken zu schützen, sind bestimmte Maßnahmen für Betreiber kritischer Infrastrukturen verpflichtend. In der Gesundheitsbranche bedeutet dies beispielsweise für Krankenhäuser, dass ein branchenspezifischer Maßnahmenkatalog umgesetzt werden muss. Zudem sind Einrichtungen der kritischen Infrastruktur dazu verpflichtet, den Status quo der Maßnahmen alle zwei Jahre prüfen zu lassen.
Seit 01.01.2022 gilt die BSI KRITIS-Verordnung für alle Krankenhäuser.
Identity and Access Management (IAM) bzw. Zugriffs und Berechtigungsmanagement bietet einen Kanon an Sicherheitsmaßnahmen für Krankenhäuser und andere Betreiber kritischer Infrastruktur. Wir zeigen, welche Standards von KRITIS für Krankenhäuser ab wann gelten und wie mit OGiTiX IAM Anforderungen nach BSI-KritisV und anderen Compliance-Standards umgesetzt werden.
KRITIS-Sicherheitsstandard für Kritische Infrastruktur
Kritische Infrastruktur bezeichnet Einrichtungen, welche für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen der Bundesrepublik Deutschland und die Menschen eine elementare Funktion erfüllen. Dabei haben Kritische Infrastrukturen Bedeutung für Gesundheit, Sicherheit und wirtschaftliches oder soziales Wohlergehen der Bevölkerung.
Beispiele für Kritische Infrastruktur sind:
- Wasserversorgung
- Energieversorgung
- Gesundheit
- Transport
- Finanzen
- Medien
In den Kritis-Sicherheitsstandards finden sich Vorgaben und Maßnahmen, welche auf den Schutz dieser kritischen Dienstleistungen (kDL) abzielen. Das Ziel von Kritis ist klar definiert.
“KRITIS soll Kritische Infrastrukturen schützen, um Risikopotenziale für Menschen zu verringern. Dies erfolgt über den technischen Schutz der Infrastrukturen.”
Betreiber Kritischer Infrastrukturen (KRITIS-Betreiber) haben… “angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.” (Quelle: § 8a Absatz 1 BSIG)
Pflichten nach KRITIS
Betreiber Kritischer Infrastruktur nach § 2 Absatz 10 BSIG und im Sinne des IT-Sicherheitsgesetzes sind grundlegend zu den folgenden vier Maßnahmen verpflichtet.
- eine Kontaktstelle für die Kritische Infrastruktur benennen (§ 8b Absatz 3 BSIG),
- IT-Störungen, erhebliche Beeinträchtigungen melden
- “Stand der Technik” nach Branchenspezifischen Sicherheitsstandards (B3S) umzusetzen
- dies alle zwei Jahre gegenüber BSI nachzuweisen
Das BSI bietet weitere Informationen zu den Pflichten für KRITIS-Betreiber.
Im ersten Schritt ist die grundlegende Maßnahme der Ernennung einer geeigneten Kontaktstelle zu vollziehen und die Registrierung abzuschließen. Daraufhin werden vom BSI weitere Informationen zu Meldevogängen und Verpflichtungen zugestellt.
Eine Besonderheit ergibt sich aus dem zweijährigen Nachweis in einem Dreieck der Zuständigkeiten: Kritis-Betreiber beauftragen eine externe Stelle mit der Prüfung. Ein verantwortliches Prüfteam führt ein Audit durch und stellt dem Betreiber einen Bericht aus. Der Betreiber übermittelt den Bericht an das BSI, wo er wiederum geprüft und in Rücksprache mit den Aufsichtsbehörden Handlungsempfehlungen der Maßnahmen erstellt werden.
Kurios an diesem Vorgang ist aktuell, dass die Erstellung eines Audits nicht zur Abgabe verpflichtet: Wenn der Betreiber die Bewertung einer externen Stelle nicht zustellen möchte, gibt er ein neues Auditing von anderen Prüfern in Auftrag und kann auswählen, welcher Bericht eingesendet wird.
Sicherheitsstandards KRITIS und ISO 27001
Grundlegend eignet sich ein ISO 27001 Zertifikat für den Nachweis nach § 8a Absatz 3 BSIG. Jedoch müssen zusätzliche Bedingungen erfüllt sein, um als Nachweis auszureichen. Das Bundesamt für Sicherheit und Informationstechnik informiert dazu, dass der Geltungsbereich die Kritische Infrastruktur bzw. die Kritische Dienstleistung vollständig aus Perspektive der Prozess-Sicht umfassen muss.
Nutzen Sie für die Verwendung des ISO 27001 weitere Hinweise des BSI “Nutzung eines bestehenden ISO 27001-Zertifikats als Bestandteil eines Nachweises gemäß § 8a Absatz 3 BSIG (externes Angebot)
B3S Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung – KRITIS Krankenhaus
Die Digitalisierung bedeutet in Krankenhäusern neue Herausforderungen für die Archivierung und Verwendung von Patientendaten, die Vernetzung von Einrichtungen der Branche sowie interne Netzwerke. Mit der Vernetzung nimmt das Risiko der Cyberattacken zu.
Krankenhäuser stellen die stationäre medizinische Versorgung sicher und sind in der Branche Gesundheit darum dem Kritis zuzuordnen. Zu der Branche gehören grundlegend alle Einrichtungen, welche die folgenden Aufgaben erfüllen:
- stationäre medizinische Versorgung
- Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten
- Versorgung mit Arzneimitteln und Blut- und Plasmakonzentraten
- Laboratoriumsdiagnostik
Ab wann gilt KRITIS und B3S für Krankenhäuser?
Ab dem 01.01.2022 gilt KRITIS für alle Krankenhäuser bzw. die Krankenhaus Infrastruktur. Nach dem aktuellen § 75c SGB V sind Krankenhäuser dazu verpflichtet, nach dem Stand der Technik angemessene Vorkehrungen zu treffen und Sicherheitsziele umzusetzen, die für den Betrieb maßgeblich sind.
Insbesondere der branchenspezifische Sicherheitsstandard (B3S) für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in gültiger Fassung nach § 8a Absatz 2 des BSI-Gesetzes ist dafür eine Voraussetzung, heißt es dort. Die Vorgabe gilt für alle Krankenhäuser, die nicht “ohnehin” als Betreiber Kritischer Infrastruktur nach §8a des BSI-Gesetzes angemessene technische Vorkehrungen treffen müssen, so weiter.
Im B3S vom 22.10.2019 ist noch von einer Schwelle mit jährlich 30.000 vollstationären Behandlungsfällen die Rede. Krankenhäuser mussten demnach bis zum 31. März prüfen, ob diese Schwelle erreicht ist. Diese Schwelle wurde mit dem § 75c SGB V aufgehoben.
Der Grad der Umsetzung des B3S für alle Krankenhäuser ist entsprechend der IT-Durchdringung zu ergreifen. Auch andere rechtliche und normative Anforderungen sind zu befolgen. Für die Sicherung des Versorgungsniveaus ist ein Informationssicherheits-Managementsystem (ISMS) zu etablieren.
Die Ausweitung der KRITIS auf alle Krankenhäuser geht unter anderem auf einer Forderung des 121. Deutschen Ärztetages 2018 zurück.
Anwendung des B3S Gesundheit
Die Anwendung und Einhaltung des B3S ist verpflichtend und nur dann freiwillig, wenn Maßnahmen über den gesetzlichen Rahmen hinausgehen. Sie versteht sich als Grundlage für den Nachweis erforderlicher Maßnahmen. Eine Empfehlung zur Einhaltung zielt auf die Verbesserung des IT-Schutzes ab und erfordert die Umsetzung und Unterstützung von geschultem Fachpersonal. Wichtige Grundlagen für B3S im Krankenhaus sind:
- Umsetzung der Maßnahmen des BSI-Gesetzes zur Aufrechterhaltung des Versorgungsniveaus (§ 8a BSI-Gesetz)
- Einrichtung einer BSI-Kontaktstelle und Erreichbarkeit und Übermittlung Informationen (§ 8b Abs. 3, § 3 Absatz 1 Satz 2 Nummer 15, Absatz 2 Nummer 4)
- Aufbau von Meldeprozessen an BSI in Fällen von Störungen und Ausfällen (§ 8b Abs. 4)
Empfohlene Schritte bei Umsetzung des B3S
Die Umsetzung des B3S in Krankenhäusern wird in 7 Schritten empfohlen. Die Kennzeichnung von einzelnen Maßnahmen der Teilschritte im Sicherheitsstandard mit “Kann”, “Soll” und “Muss” gibt Information über die Notwendigkeit.
- Mit dem Ziel den Kontext des Information Security Management System (ISMS) zu definieren, werden Geltungsbereiche und strategische Ziele der Informationssicherheit gefunden. Dafür werden beispielsweise Compliance Anforderungen und eine Informationssicherheitspolitik analysiert.
- Die Entwicklung und Inkraftsetzung verschiedener Sicherheitsstandards wird genutzt, um eine Managementstruktur für ISMS zu definieren. Laut B32 Krankenhaus gehören dazu unter anderem: Sicherheitsorganisation und Verantwortlichkeiten, Vorgehen zur Informationssicherheitsrisikobeurteilung, Meldung und Behandlung von Sicherheitsvorfällen, Schulung und Bewusstseinsbildung etc.
- Im dritten Schritt gilt die Implementierung von Sicherheitsorganisation und Umsetzung verschiedener Verfahren der Verwirklichung von Maßnahmen. Dazu gehören Bewertungskriterien und Klassifizierungen von Informationen, Verwaltung von Informationswerten und weitere.
- Mit dem Ziel der Bestandsaufnahme, Risikoeinschätzung und der Konzeption werden Informationseigentümer, Bedrohungen und Risiken identifiziert, Maßnahmen bewertet und andere Risiko- und Gefährdungsanalysen durchgeführt und dokumentiert.
- Die definierten Richtlinien dienen im fünften Schritt der Umsetzung konkreter Maßnahmen. Zu diesen gehören beispielsweise Zugangskontrollen, Kryptografien, Organisation der Informationssicherheit, personelle Sicherheit, die Sicherstellung des Geschäftsbetriebs und weitere.
- Den Bedarf von Schulungen ermitteln, diese planen und durchführen ist im sechsten Schritt ein wichtiger Bestandteil, um Awareness zu schaffen und das Projekt zu begleiten.
- Die Effektivität des ISMS wird mit Monitoring, Überwachung, Planung und internen Audits stetig geprüft und verbessert.
Identitäts- und Rechtemanagement Branchenspezifischer Sicherheitsstandard Krankenhaus
Identity and Access Management (IAM) gilt als wichtiger Schlüssel für die Orchestrierung von Identifikation von Identitäten und Zugriff auf Daten in einem Netzwerk. So forderten Aufsichtsbehörden IAM bzw. Identitäts- und Berechtigungsmanagement als Grundlage des technischen Datenschutzes in Krankenhäusern.
Ähnlichkeiten zum Datenschutz ergeben sich auch zu Unternehmen, die nicht in KRITIS fallen, doch die besonderen Anforderungen für IAM im Krankenhaus erwachsen aus der Fürsorgepflicht. Die Arbeit mit Daten ist für die Aufrechterhaltung der Abläufe unabdingbar. Kommt es zu Fehlern bei der Datenzuordnung, beispielsweise weil Patientendaten verwechselt werden, können Folgen Gesundheit und das Leben der Patienten riskieren.
Auch Sicherheit bei der Verwaltung von Identitäten und Zugriff spielt eine wichtige Rolle. So sind es laut aktuellen Statistiken häufig die eigenen Mitarbeiter oder korrumpierte Konten, welche ein Grund für Data Breaches und somit anschließende Betrugsszenarien sind.
Verantwortlich für die B3S Verordnung Krankenhaus ist die Deutsche Krankenhausgesellschaft e. V. (DKG). Prüfen Sie bitte auch, ob eine aktuelle Version von “Informationssicherheit im Krankenhaus Branchenspezifischer Sicherheitsstandard (B3S)” verfügbar ist.
Hier finden Sie die B3S Krankenhaus Branchenspezifischer Sicherheitsstandard.
Forderungen an IAM im B3S Krankenhaus
Grundlegende Anforderungen an den Aufbau eines IAM-Systems im Krankenhaus sind heute ein Muss. Vorgaben zum IAM und damit verbundene Maßnahmen sind dem Branchenspezifischen Sicherheitsstandard „Medizinische Versorgung“ zu entnehmen.
Konkrete Anforderungen an IAM im B3S betreffen:
Identitäts- und Rechtemanagement (7.13.6)
- ANF-MN 108: Das Krankenhaus muss ein Rollen und Berechtigungskonzept erstellen.
- ANF-MN 109: Richtlinien zur Zugriffskontrolle müssen unter besonderen Gesichtspunkten erstellt werden.
- ANF-MN 110: Rechteentzug beim Ausscheiden aus Unternehmen (Leaver) wird gewährleistet.
Sichere Authentisierung (7.13.7)
- ANF-MN 111: Ein formaler Prozess zur Vergabe von Authentisierungsdaten muss etabliert werden.
- ANF-MN 112: Authentifizierungsverfahren müssen Zugriffssicherheit entsprechend der kDL umsetzen. Eine 2-Faktor-Authentifizierung soll berücksichtigt werden.
Beachten Sie auch weitere Hinweise zur Identity Governance und zusätzlichen Sicherheitsmaßnahmen. Wir beraten Sie gern bei der Umsetzung der Vorgaben mit IAM von OGiTiX.
IAM von OGiTiX und Krankenhaus Kritische Infrastruktur
Identity and Access Management auf die Anforderungen im Krankenhaus zugeschnitten – mit IAM von OGiTiX erfüllen Sie geltende Compliance-Vorgaben und Muss-Anforderungen aus dem B3S Krankenhaus.
Einhaltung von Compliance im Krankenhaus mit OGiTiX IAM:
- DS-GVO, BSI-KritisV, BaFin, MaRisk, TISAX, ISO27001, (Euro)SOX
- Rechenschaftspflicht
- Rechteaudit und Berechtigungsreview
Einhaltung von Datenschutz, Steigerung der IT-Sicherheit
- Umsetzung des Need-to-Know und Least-Privilege-Prinzips
- Unverzügliche Deaktivierung und Löschung von Accounts bei Ausscheiden aus Einrichtung
- Reduktion administrativer Berechtigungen
- Reduktion des Sicherheitsrisikos durch Angestellte
Möglichkeiten Modulares Identity & Access Management mit OGiTiX
Identity Lifecycle Management
Bei Bewegung im Unternehmen müssen Rechte entsprechend angepasst werden. Joiner-, Leaver- und Mover-Vorgängen sind durch das Identity Lifecycle Management von OGiTiX schnell orchestriert – automatisch und ohne dass Rechte übersehen werden.
Das HR-basierte Lifecycle Management ermöglicht einen effizienten, sicheren und reibungslosen Mitarbeiter Lifecycle im Human-Resources-System wie SAP HCM, Sage, Workday und anderen.
Rollenbasiertes Berechtigungsmanagement
Role Based Access Control (RBAC) ermöglicht die Zuweisung von Berechtigungsobjekten an vorher definierte Rollen im Unternehmen – Voraussetzung für Grundsätze wie die Segregation of Duty (SoD), das Lifecycle-Management und das 4-Augen-Prinzip.
Self-Service & Approval Management / Passwort Management
Self-Services ermöglichen die Bestellung von Rechten wie in einem Webshop. Die Provisionierung der Zugriffsrechte erfolgt dann einfach durch vorher ermittelte zuständige Entscheider in den Abteilungen. Das Baukastenprinzip ermöglicht eine schnelle Umsetzung.
Passwort-Tickets reduzieren, die Sicherheit mit 2-Faktor-Authentifizierung erhöhen: Das Passwort Management funktioniert für viele Anwendungen wie SAP, Dedalus ORBIS und kann auf eigene Anwendungen erweitert werden.
Re-Zertifizierungs-Management
Mit dem Re-Zertifizierungs-Management ermitteln Sie den Status quo der Vergaberechte, erhöhen die Sicherheit und erfüllen Compliance-Vorgaben.
Self-Services für Notfallzugriffe
Mit dem unimate Admin-on-Demand Manager erhalten Sie Self-Services für Administrationsrechte oder Notallzugriffe. Permanente Adminrechte werden dabei als Sicherheitsrisiko eliminiert und dennoch die Sicherheit des Einschreitens durch Admins gewahrt.
Förderungen KHZF und KHSF für IAM von OGiTiX
Nach Krankenhauszukunftsfond (KHZF) für den Fördertatbestand 10 (IT-Sicherheit) kann OGiTiX IAM gefördert werden. OGiTiX unimate IAM erfüllt zudem die MUSS-Anforderungen der Prävention und die Anforderungen der Förderfähigkeit für die Tatbestände 2, 3, 4, 5, 6 und 9 bei Informationssicherheit und Datenschutz.