Die Herausforderungen von ISMS

Ein ISMS im Klinikumfeld zu implementieren und die Sicherheitsanforderungen umzusetzen, stellt in der Praxis jedoch keine einfache Aufgabe dar: Eine große Hürde sind die vorhandenen Denkmuster, die sich in der Organisation widerspiegeln. In der Vergangenheit wurde die IT als notwendiges Übel wahrgenommen, weit weg vom Business und dem Patienten. Deswegen investierten Krankenhäuser lieber in Beton als in die IT. Außerdem stehen organisatorische Trennungen zur Medizintechnik bis heute einem ganzheitlichen Managementsystem im Wege. Dies manifestiert sich in getrennten Berichtslinien, Zuständigkeiten, einer uneinheitlichen Sicht auf Technikrisiken und letztlich auch in einer gewissen Betriebsblindheit. Der Gedanke, dass IT-Sicherheit am Ende Patientensicherheit bedeutet, ist in diesem Umfeld hingegen neu.

Hinzu kommen Hemmnisse in Form von heterogenen Systemlandschaften und Daten-Silos. Das Knowhow zu den historisch gewachsenen Systemen wird häufig in Kopfmonopolen vorgehalten. Zwar sind die zentralen Datenbanken zu Krankenhaus-Informationssystemen (KIS) und den PACS (Picture Archiving and Communication System) noch bekannt. Schwammig wird es aber bei der Einbindung externer Partner oder Schattenkopien in Subsystemen. Außerdem fehlen Standards: Die Ursache liegt hier in der zweckgebundenen Zertifizierung der medizinischen IT. Sie bezieht sich auf ein vernetztes Gesamtsystem. Der Medizintechnik-Experte baut die enthaltene Commodity IT in dem Glauben mit auf, ein in sich geschlossenes Verfahren zu installieren. Wegen scharfer Gewährleistungsbestimmungen oder der Zertifizierungen darf das System nicht verändert werden. Das hat jedoch zur Folge, dass Standard-Betriebssysteme und Netzkomponenten in einem medizinischen System entstehen, die seit Jahren keine Patches erhalten haben und keinen Schadcode-Schutz besitzen. Speziell die bildgebende Diagnostik setzt auf standardisierte Windows-Server mit einhergehenden Angriffsflächen für Hacker oder Schadcode. Diese Medizintechnik wird dann als Black-Box mit dem Krankenhausnetz verbunden.

Ein ISMS implementieren

Aus diesen Gründen ist es wichtig, dass Zuständigkeitsgrenzen aufgebrochen und entlang der Datenflüsse einheitliche Bewertungsstandards angelegt werden. Schutzbedarfsanalysen und Datenschutz benötigen allesamt einheitliche, nachvollziehbare Maßstäbe. Am Anfang der Einführung eines ISMS steht deswegen eine Prozessanalyse. Leitfragen unterstützen dabei, die richtigen Maßstäbe beim Schutzbedarf von Systemen und Komponenten anzulegen. Wichtige und maßgebliche Fragestellungen lauten:

• Welche Prozesse sind besonders schützenswert?

• Wo befinden sich deren Informationen?

• Welche Sicherheitslösungen werden bereits eingesetzt?

• Wie sind die Grundwerte der Informationssicherheit (Integrität, Verfügbarkeit, Vertraulichkeit) zu bewerten?

Die Phasen der ISMS-Einführung sind mit klaren Rollen und Funktionen hinterlegt. Stringente Projektmethoden führen zu schnellen Umsetzungserfolgen. Bei der Einführung beispielsweise von AirIT ONE werden Projektsicht und Betrieb gleichermaßen berücksichtigt, sodass es zum nahtlosen Übergang in den Betrieb kommen kann: Funktionen und Rollen im Projekt lassen sich in der Betriebsphase einfach weiterführen. Personen können sich ändern, Funktionen und Rollen bleiben dagegen bestehen.

Auf der nächsten Seite: Vorteile und Features.

(ID:49438978)