B3S: Richtlinie für IT-Sicherheit Kritischer Infrastrukturen
Sicherer Schutz vor Cyberattacken und Systemausfällen
B3S steht für einen branchenspezifischen Sicherheitsstandard. Er soll Krankenhäuser, die zur Kritischen Infrastruktur (KRITIS) zählen, dabei unterstützen, sich gemäß IT-Sicherheitsgesetz vor Cyberattacken und Systemausfällen zu schützen.
Das Wesentliche in Kürze
Krankenhäuser, die zur Kritischen Infrastruktur zählen, müssen sich nach dem IT-Sicherheitsgesetz besonders vor Cyberattacken und Systemausfällen schützen. Um die Einrichtungen zu unterstützen, hat die Deutsche Krankenhausgesellschaft (DKG) einen branchenspezifischen Sicherheitsstandard (B3S) erarbeitet. Dieser beschreibt 168 Maßnahmen, um eine widerstandsfähige IT zu gewährleisten und die medizinische Versorgung und Gesundheit der Patienten sicherzustellen. Diese Maßnahmen sind in Muss-, Soll- und Kann-Anforderungen untergliedert und stellen einen Leitfaden zum Schutz der KRITIS-Häuser dar.
KRITIS umfasst sämtliche Faktoren, die den Klinikbetrieb beeinträchtigen können. Neben der IT zählen dazu auch organisatorische, strukturelle und prozessuale Aspekte, die geeignet sind, die Versorgung der Patienten sicherzustellen und die Patientensicherheit und Behandlungseffektivität zu gewährleisten. Dazu hat das BSI 40 Bedrohungsszenarien, Schwachstellen und mögliche Gefahren aufgelistet. KRITIS-Häuser müssen in Zukunft regelmäßig nachweisen, dass sie die Anforderungen gemäß B3S erfüllen.
B3S richtet sich ausdrücklich nicht ausschließlich an Einrichtungen, die zur Kritischen Infrastruktur zählen. Vielmehr können alle Einrichtungen den Standard als Leitfaden zur Erhöhung der eigenen Cybersicherheit heranziehen. In den Ausführungen werden detailliert Prozesse und Maßnahmen beschrieben, um eine robuste Informationstechnik zu gewährleisten und damit die medizinische Versorgung und Gesundheit der Patienten sicherzustellen.
Weitere Informationen und Unterlagen zum B3S finden Sie auf der Internetseite der DKG.
KRITIS
Kritische Infrastrukturen sind laut Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI) „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Dazu zählen auch Krankenhäuser mit mehr als 30.000 vollstationären Behandlungsfällen pro Jahr. Laut Richtlinie müssen die betreffenden Kliniken IT-Sicherheitsmaßnahmen nach dem Stand der Technik einsetzen und erhalten sowie dem BSI erhebliche IT-Störungen melden.
Umsetzung B3S
Der branchenspezifische Sicherheitsstandard definiert für das Gesundheitswesen sinnvolle und notwendige Maßnahmen. Zielgruppe des B3S sind in erster Linie die für die Umsetzung der Informationssicherheit zuständigen Personen – also die Informationssicherheitsbeauftragten, die Geschäftsführungen als Verantwortliche für Informationssicherheit, aber auch externe Dienstleister oder Dritte, die die Umsetzung der Maßnahmen unterstützen. Sämtliche Richtlinien, Prozessbeschreibungen und Dokumentationen zielen auf die Kerngeschäftsprozesse zur medizinischen Versorgung von Patienten ab: Aufnahme, Diagnose, Therapie, Pflege, Entlassung.
Die Risikoeinschätzung erfolgt entsprechend den Anforderungen folgender Normen:
- DIN ISO/IEC 27001 „Informationssicherheitsmanagementsysteme – Anforderungen“
- DIN EN 80001-1 „Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten – Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten“
Ganz konkret empfiehlt die B3S sieben Schritte zur Umsetzung, ausgerichtet an der verpflichtenden Implementierung eines Informationssicherheitsmanagementsystems (ISMS).
- Kontext des ISMS mit Geltungsbereich und strategischen Zielen der Informationssicherheit definieren
- Managementstruktur für das ISMS definieren
- Umsetzung grundsätzlicher Maßnahmen wie Implementierung der Sicherheitsorganisation sowie Entwicklung und Inkraftsetzung von Verfahren
- Bestandsaufnahme, Risikoeinschätzung und Konzeption
- Umsetzung der Maßnahmen gemäß definierter Richtlinien, Prozesse und Verfahren
- Projektbegleitende Trainings, Ausbildung und Awareness
- Evaluierung der Effektivität des ISMS durch Monitoring und Überwachung sowie Planung und Durchführung interner Audits
Detailliert werden die einzelnen Schritte in der B3S beschrieben: Branchenspezifischer Sicherheitsstandard "Medizinische Versorgung".