Erstes Treffen 2020 der „Initiative für Informationssicherheit im Gesundheitswesen“

11.03.2020, Sven C. Preusker
Digital Health

Ende Februar trafen sich Verantwortliche für Informationssicherheit und Datenschutz aus dem Gesundheitswesen am Dortmunder Standort der Datatree AG. Thema der Veranstaltung: Dienstleister-Audits. Bei diesen gilt es, strenge gesetzliche wie normative Anforderungen umzusetzen. Die Durchführung der Dienstleister-Audits stellt viele Beteiligte vor große Herausforderungen.

Mit Dienstleister-Audits verhalte es sich ähnlich wie generell mit den Themen Datenschutz und Informationssicherheit: Erst wenn Unternehmen gesetzlich dazu verpflichtet seien, würden sie beginnen, aktiv zu werden, hieß es in einem Bericht zur Veranstaltung. Das sei häufig zu spät. „Betrachten wir die funktionelle Besetzung des Informationssicherheitsbeauftragten (ISB)“, begann Prof. Thomas Jäschke, Initiator der Veranstaltung, seine Keynote. „Die Pflicht zur Bestellung eines ISB ist nicht konkret im Gesetz aufgeführt, sondern eher transitiv.“ Krankenhäuser, die zu den sogenannten KRITIS-Einrichtungen gehören, seien verpflichtet ein Managementsystem für Informationssicherheit (ISMS) aufzubauen und damit auch einen Verantwortlichen für das Thema zu benennen. Diese Rolle könne nur der Informationssicherheitsbeauftragte (ISB) abbilden.

Zunächst würden hier nur die KRITIS-Unternehmen tätig. Allerdings würden auch nicht-KRITIS Einrichtungen einen Verantwortlichen sowie ein funktionierendes ISMS benötigen. Zum einen sei zu erwarten, dass demnächst die Schwellwerte für KRITIS-Einrichtungen herabgesetzt werden. Zum anderen hätten auch Nicht-KRITIS-Einrichtungen ein großes Problem, wenn beispielsweise aufgrund fehlender Notfallmaßnahmen die Patientenversorgung nicht sichergestellt werden könne. Auch wenn in Bezug auf KRITIS häufig die reine Ausfallsicherheit von IT-Anlagen gemeint sei, dürfe man den sicheren Betrieb des Notstromaggregats oder eine funktionierende Sauerstoffversorgung nicht außer Acht lassen.

Und so seien Dienstleister schnell mit in der Verantwortung des Geschäfts- oder Produkterfolgs, sprich in der Pflicht für den Datenschutz und die Informationssicherheit. Gesundheitseinrichtungen müssten ansonsten jedes einzelne System, das sie betreiben, durchleuchten und bis zur technischen Ebene überprüfen – das sei praktisch nicht umsetzbar. Unternehmen müssten ihren Dienstleistern demnach vertrauen. Selbst, wenn sich Dienstleister zertifizieren ließen, sei das noch lange nicht die Garantie für einen konformen Umgang mit Daten. Auftraggeber blieben in der Prüfpflicht – das sei ressourcenzehrend. Abhilfe könne die gemeinsam initiierte Audit-Community schaffen.

Ein weiterer Punkt auf der Agenda war das Thema Risikomanagement in Gesundheitseinrichtungen. Häufig würden in der Praxis falsche Prioritäten gesetzt. Erste Maßnahme sollte nicht sein, dass ein möglichst komplexes Tool beschafft wird. Ein komplexes Tool würde nämlich auch eine komplexe Einführung mit sich bringen. Besser sei es, eine solide Basis zu schaffen und die Risiken zu ermitteln, die den eigenen Kernprozess bedrohen könnten. Anschließend solle man sich Fragen stellen wie: „Was benötige ich, um die Vitalfunktionen des Kernprozesses zu erhalten und durch welche Maßnahmen kann die Risiken minimieren?“ Zusätzlich seien Gedanken zu benötigten Funktionen notwendig, die beispielsweise das Patchmanagement unterstützen könnten, indem sie die Aufgabenverwaltung und Erinnerungen eines Aktualisierungs-Rhythmus beinhalten. Dazu wurden Best Practices erarbeitet, die Mitgliedern der Initiative für Informationssicherheit im Gesundheitswesen zur Verfügung stünden.

Immer wieder zeigen Informationssicherheits-Vorfälle, dass niemand sicher vor Hackerangriffen oder Datenpannen ist. Die Auslegung innerhalb der Medien sei dabei nicht immer ganz korrekt. Dies führe zu Zweifeln an Deutschlands Krankenhäusern und der Sicherheit von hoch sensiblen Gesundheitsdaten. Diesem Bild will die „Initiative für Informationssicherheit im Gesundheitswesen“ entgegenwirken. Das ISDSG – Institut für Sicherheit und Datenschutz im Gesundheitswesen möchte deshalb einen Zusammenschluss von IT-Verantwortlichen, Geschäftsführern und Datenschutzbeauftragten herbeiführen, um Transparenz und Aufklärungsarbeit im Bereich der IT-Sicherheit zu schaffen. Es sollen praxisnahe Handlungsempfehlungen für die Krankenhauslandschaft entwickelt werden. Weitere Informationen zur Initiative gibt es unter https://www.datatree.eu/initiative-fuer-informationssicherheit-gesundheitswesen.

Anzeige
Anzeige