Gesundheitssektor: Lob für Enisa-Leitfaden zur Cybersicherheit in Krankenhäusern

Veröffentlichung ergänzt die bisherigen KRITIS-Leitfäden

[datensicherheit.de, 16.04.2020] Im vergangenen Jahr 2019 waren zwei Drittel der Organisationen im Gesundheitssektor von Cybersicherheitsvorfällen betroffen. Darunter sowohl Hackerangriffe mit Ransomware wie Emotet als auch Datenpannen. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf eine kürzlich erschienene Enisa-Leitlinie für Krankenhäuser der EU-Agentur für Cybersicherheit (Enisa): „Die EU-Behörde ist überzeugt, dass Cybersicherheit in Krankenhäusern ein immer wichtigeres Thema wird. IT-Sicherheit müsse ganzheitlich in die unterschiedlichen Prozesse, Komponenten und Stufen integriert werden“, fasst Patrycja Tulinska, Geschäftsführerin der PSW GROUP, zusammen.

Der neue Enisa-Leitfaden ergänzt die bisherigen KRITIS-Leitfäden. Beschaffungsbeamten in Krankenhäusern, aber auch CISOs/ CIOs, soll so ein umfassendes Instrumentarium zur Verfügung stehen, um Sicherheit von Gesundheitsdaten über den kompletten Lebenszyklus der eingesetzten IT-Systeme hinweg zu optimieren. Außerdem werden Best Practices aufgezeigt.

Patrycja Tulinska, Geschäftsführerin der PSW GROUP

„Der Leitfaden ist so konstruiert, dass Krankenhäuser ihn an den individuellen Beschaffungsprozess anpassen können. Ziel ist es, ihnen alle Tools an die Hand zu geben, um sicherzustellen, dass gesetzte Ziele in der Cybersicherheit auch erreicht werden können“, erläutert Tulinska.

Neben gängigen Industriestandards zeigt der Leitfaden Verfahren und Empfehlungen, die der Cybersicherheit im Krankenhaus dienen. „Insgesamt bildet der Leitfaden eine gute Basis für Cybersicherheit in Krankenhäusern und zeigt, wie wichtig der IT-Schutz in diesem äußerst sensiblen Bereich ist“, lobt Patrycja Tulinska. Der Enisa-Leitfaden teilt drei Phasen ein, die für die Cybersicherheit im Krankenhaus relevant sind. Nachdem die Beschaffungsprozesse kategorisiert werden, werden die mit jedem Schritt verbundenen Cybersicherheitsanforderungen identifiziert. Dank Vorschlägen zum Nachweis dazu, wie Anforderungen von Anbietern erfüllt werden können, wird das ganze Vorgehen deutlich vereinfacht. In der ersten Phase, der Planphase, geht es um die Analyse der Bedürfnisse eines Krankenhauses. Außerdem werden aus den internen Abteilungen Anforderungen gesammelt.

Umfangreiche Aufgaben für den CTO

Bei der Beschaffung eines neuen Cloud-Services beispielsweise sollte der CTO nicht nur die Bedürfnisse ermitteln, sondern auch verstehen und vermitteln können, welchen Nutzen dieser Service nach sich zieht. „In dieser Phase werden beispielsweise Risikobewertungen durchgeführt, Bedrohungen identifiziert, Netzwerke getrennt und Eignungskriterien für Lieferanten entworfen“, informiert Tulinska. In der anschließenden Beschaffungsphase werden die bestehenden Anforderungen übersetzt in technische Spezifikationen. Im Rahmen eines Sourcing-Prozesses können beispielsweise entsprechende Ausschreibungen veröffentlicht werden, die eingehenden Angebote durch einen Ausschuss bewertet und die geeignetsten Produkte in die engere Wahl genommen, bis der Auftrag schließlich an ein Unternehmen vergeben wird. „Hier geht es darum, Zertifizierungen zu empfehlen oder vorzuschreiben, Datenschutz-Folgeabschätzungen durchzuführen und Legacy-Systeme anzusprechen, Schulungen in Cybersicherheit im Krankenhaus anzubieten, aber auch Reaktionspläne für Vorfälle zu entwickeln. Zudem müssen Lieferanten in das gesamte Vorfallmanagement einbezogen werden, Wartungsarbeiten organisiert und Fernzugriffe sicher hergestellt werden“, informiert die IT-Sicherheitsexpertin. In der dritten Phase, der Verwaltungsphase, werden die Verträge dem Geschäftsinhaber des Krankenhauses zugewiesen, einschließlich der Verwaltung und Überwachung des Vertrags. Nebst dem Abschluss der Ausschreibung verantwortet der beauftragte Beamte auch das Feedback der Benutzer über die tatsächliche Leistung, die der Ausrüstung, dem System oder der Dienstleistung entspringt. „Die dabei zu erledigenden Schritte sind unter anderem das Bewusstsein über Cybersicherheit zu erhöhen, ein Bestands- sowie Konfigurationsmanagement durchzuführen, Zugangskontrollmechanismen für die medizinische Geräteeinrichtung einzurichten und zu verwalten sowie regelmäßige Penetrationstests durchzuführen“, so Patrycja Tulinska weiter.

Weitere Informationen zum Thema:

PSW Group
Enisa: Notfallplan für mehr Cybersicherheit im Krankenhaus

datensicherheit.de, 15.04.2020
BSI: Sicherheitsanforderungen für Gesundheits-Apps veröffentlicht

datensicherheit.de, 18.11.2017
Gesundheits-Apps: Mehr Transparenz und Sicherheit erforderlich