Datensicherheit im Gesundheitswesen IT-Sicherheit mit ISMS umsetzen und Patientendaten schützen

Neue Gesetze und Verordnungen verpflichten Klinikbetreiber dazu, Informations- und IT-Sicherheit umzusetzen. Dafür müssen Risiken strukturiert bewertet und Gegenmaßnahmen gesteuert werden. Zu Herausforderungen kommt es dabei hauptsächlich aufgrund heterogener Systeme, Wissens- und Zuständigkeits-Silos sowie wegen der vorhandenen Denkmuster. Ein Information Security Management System (ISMS) kann hierzu bestehende Standards nutzen und neue schaffen.

Die Digitalisierung hält für den Healthcare-Sektor zahlreiche Vorteile bereit: eine Beschleunigung des Datenaustauschs, Abbau von Medienbrüchen dank Wegfall von Zettelwirtschaft, eine durchgängige Patientendokumentation und eine Vereinfachung der Organisation. Zugleich gehen mit ihr aber auch Risiken einher: Die Nutzung und Vernetzung von IT-Systemen lässt Angriffsflächen für Cyber-Attacken, Störungen und Manipulationen entstehen. Aus diesem Grund wird es auch in Krankenhäusern und Kliniken immer bedeutsamer, die Informations- und IT-Sicherheit von Systemen und Medizingeräten sicher zu stellen. Aufgrund gesetzlicher Bestimmungen wird dies auch zur unvermeidlichen Notwendigkeit: Das Patientendatenschutz-Gesetz (PDSG), der neue Paragraph 75c im Sozialgesetzbuch (SGB V), das BSI-Gesetz (BSI Kritis-Verordnung) und der branchenspezifische Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft (DKG) stellen Regeln auf, die berücksichtigt werden müssen.

Dazu gehören beispielsweise „nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele“ für informationstechnische Systeme, Komponenten oder Prozesse. Krankenhäuser und Kliniken benötigen hierfür ein System zur Angriffserkennung, das den laufenden Betrieb überwacht und auswertet: ein Informationssicherheits-Managementsystem (ISMS).

Informationssicherheit zuverlässig sicherstellen

Ein ISMS umfasst und organisiert als Rahmenwerk die Prozesse, Richtlinien, Verfahren und Technologien, um Informationen vor Bedrohungen wie Hackerangriffen, Malware, Phishing-Mails und internen Missbrauch zu schützen.

Kernkomponenten sind ein Dokumentenmanagement und idealerweise eine Prozess-Engine. Die Dokumentenpyramide bildet die hierarchische Struktur der schriftlich fixierten Ordnung ab und operative Kontrollen sorgen für deren korrekte Umsetzung. Dabei erfasst der Geltungsbereich nicht nur den Betrieb und die Projekte, sondern ebenso auch die Partner und Lieferanten. Für gewöhnlich obliegt die Gesamtverantwortung für das ISMS der Geschäftsleitung beziehungsweise. einem Scope-Verantwortlichen. Von der Verwaltung bis zum Techniker sind alle mit involviert.

Ein ISMS wie z.B. AirIT ONE setzt eine Rollenklärung durch und weist Aufgaben klar zu. Dadurch kann sich niemand mehr für nicht zuständig erklären. Der Aufbau von Templates, Leitlinien und Prozessen folgt den internationalen Standards ISO/IEC 27001 oder NIST SP 800-53 – bei korrekter Anwendung genügen sie den Normanforderungen.

Auf der nächsten Seite: Herausforderungen von ISMS.

(ID:49438978)