7. KRITIScher Stammtisch zum IT-SiGSektor Gesundheit – Branche Medizinische Versorgung

Aktuelles aus den KRITIS-Arbeitskreisen

Dresden, 11.09.2019, Mike Zimmermann

www.uniklinikum-dresden.de2

7. KRITIScher Stammtisch

1. Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)

2. Status Nachweisverfahren §8a BSIG am UK Dresden

www.uniklinikum-dresden.de3

Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)Teil 1

I letztes Treffen: 03.-04.09.

I Status Branchenspezifischer Sicherheitsstandard (B3S)

― Eignungsfeststellung des B3S (Version 1.0 - 02.04.2019)

― noch keine Freigabe durch das BSI

― B3S Entwurf wird als Prüfgrundlage für das Nachweisverfahren nach §8a BSIG

anerkannt

I Finanzierung

― DKG versuchen weiterhin zusätzliche Mittel zu akquirieren!

― Positiv wurde Sachsen erwähnt, da es hier im Gegensatz zu den meisten anderen

Ländern ein paar Sondertöpfe (z.B. Strukturfond, Förderprogramm digitale

Ertüchtigung) gibt!

www.uniklinikum-dresden.de4

Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)Teil 2

I Sichtweise zum Stand der Nachweisverfahren §8a BSIG vom BSI

― noch keine detaillierten Zahlen (Wieviel haben abgegeben usw.)

― Mahnschreiben an säumige Betreiber sind versendet worden

― Prüfunterlagen werden bisher nur auf Vollständigkeit geprüft, keine inhaltliche

― Status Kommunikation lief nicht optimal (z.B. keine Eingangsbestätigung)

― Bisherige Erkenntnisse:

• Geltungsbereich oft zu eng gefasst

• Geltungsbereich als Beschreibung und als Grafik-Netzplan (digital) gewünscht

• Expertise der prüfenden Stellen war teilweise mangelhaft bzw. qualitativ mit

hoher Bandbreite

www.uniklinikum-dresden.de5

Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)Teil 3

I Sichtweise zum Stand der Nachweisverfahren §8a BSIG von den prüfende Stellen

― Erfahrungsberichte vom TüV Süd, Rödl & Partner und Cetus-Consulting / Dekra

-> WUNSCH: nicht alle erst wieder zum 30.06.2021!

Positiv Negativ Verbesserungswürdig

• durch Prüfplaner einfache

Kalkulation

• Unterstützung der Betreiber

• einige wollen nicht nur B3S

erfüllen, sondern auch die

ISO27k oder BSI IT GS

• RZ teilweise bauliche

Katastrophen

• Stand der Technik für

Systeme der kritischen

Dienstleistung nicht definiert

• Thema wird auf die IT

abgewälzt

• B3S Anforderungen sollten

vom Betreiber vorab

beantwortet werden

• IT-Risikomanagement sollte

besser mit dem

betriebswirtsch. & klinischen

RM verzahnt werden

• Formulare KI, PD, PE, PS

www.uniklinikum-dresden.de6

Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)Teil 4

I Sichtweise zum Stand der Nachweisverfahren §8a BSIG von den BAK Teilnehmern

-> WUNSCH: Auswertung der Ergebnisse!

Positiv Negativ Verbesserungswürdig

• Ablauf der Prüfung

• Nutzung des Prüfplaner

• Prüfergebnis wie erwartet

• Steigerung der internen

Awareness

• noch kein freigegebener B3S

• Unklarheit durch fehlenden

Prüfleitfaden

• Was ist Stand der Technik?

• Probleme mit dem

Maßnahmenplan

• Schulung prüfende Stellen &

KRITIS Betreiber

• Branchenkompetenz der

prüfenden Stellen

• Übertragung der Dokumente

zu den prüfenden Stellen &

dem BSI

• Entscheidung

schwerwiegende oder

erhebliche Abweichung

www.uniklinikum-dresden.de7

Aktuelles aus dem UP KRITIS Branchenarbeitskreis (BAK)Teil 5

I Wie geht’s weiter:

― Weiterentwicklung Prüfnachweisplaner

― Idee der Möglichkeit einer eigenen Prüfstelle für das Gesundheitswesen soll

wieder aufgenommen werden!

― Arbeitskreis Lagebild wird gebildet (Leitung Klinikum Cottbus F.Engelking)

• Erstellung eines regelm. Risikolagebildes

• Angebot an BSI zur (anonymisierten) Auswertung der Prüfnachweise

www.uniklinikum-dresden.de8

Status Nachweisverfahren §8a BSIG am UK DresdenTeil 1

I Informationssicherheit ist kein Projekt, sondern ein fortlaufender Prozess!

I Stellenwert der Informationstechnik neu definieren

― Zunehmende Abhängigkeit von der IT (Digitalisierung, KH-Alarmplanung)

― Ausreichend & gut ausgebildetes Personal

― Förderung des Sicherheitsbewusstsein

I Informationssicherheitsmanagementteam

― Etablierung eines IT-Sicherheitsbeauftragten und IT-Sicherheitskoordinatoren

― nur GEMEINSAM kann das Ziel erreicht werden (KH-Leitung + IT + IT-Sicherheit)

― enge Zusammenarbeit mit IT, DS, QM, RM, MT, GLT, Beschaffung, Personal…

I Einführung & Etablierung technischer Maßnahmen, u.a.:

― Netzwerksegmentierung, SIEM, Web Reputation, Compliance- und

Schwachstellenüberwachung, Identity Management usw.

www.uniklinikum-dresden.de9

Status Nachweisverfahren §8a BSIG am UK DresdenTeil 2

I Einführung & Etablierung organisatorischer Maßnahmen, u.a.:

― Richtlinie „Mindestanforderung an IT-Systeme im Krankenhausnetzwerk“

― Verfahrensbeschreibung „Umgang mit Sammelkonten“

I Aufbau und Etablierung eines Informationssicherheitsmanagementsystems (ISMS)

― Einführung eines Standardführungsprozess Informationssicherheit (Leitlinie)

― Verknüpfung IT-Assets (CMDB) + Krankenhausprozesse

― Aufbau standardisierte Dokumentenlenkung / -klassifizierung

― Aufbau IT-Vorfallsmanagement (IT-SiG, DSGVO, Medizinprodukte-Sicherheitsplanverordnung)

― Aufbau IT-Risikomanagement und Integration in das vorhandene Krankenhaus RM

― Aufbau Business Continuity Management / Notfallmanagement

― Aufbau IT-Revision (inkl. Integration in das zentrale Audit- und Begehungsmanagement)

www.uniklinikum-dresden.de10

Status Nachweisverfahren §8a BSIG am UK DresdenTeil 3

I User Awareness

― Ziel: geschulte und sensibilisierte Mitarbeiter und Vermittlung von IT-

Medienkompetenz

― Schulungsbausteine:

• Grundlagen IT-Sicherheit (Was passiert denn schon, Wert der Information, Identität,

Schad-E-Mails)

• Spezialsensibilisierung zu aktuellen Themen (z.B. Phishing, Verschlüsselungstrojaner)

• Themenveranstaltung (z.B. Umgang mit digitalen Medien, Internet der Dinge, Google

Datensammler)

• Awareness Kampagnen (z.B. Phishing Aktion, Social Engineering)

www.uniklinikum-dresden.de11

Status Nachweisverfahren §8a BSIG am UK DresdenTeil 4

2018: Vorbereitende GAP Analyse Informationssicherheit (Entwurf B3S) und Datenschutz (EU-DSGVo)

05/2019: Beauftragung Prüfende Stelle

06/2019: Durchführung einer Prüfung nach §8a BSI-Gesetz auf B3S Basis

[Prüfung des Scopes, der Dokumente, Befragungen und Vor-Ort Begehung]

07/2019: Bearbeitung der Abweichungsliste

[Maßnahmen, Verantwortlichkeit und Fälligkeit]

07/2019: Abgabe der Nachweisdokumente an das BSI

Vorbereitung auf die nächste Prüfung in 05/2021

Vielen Dank für Ihre Aufmerksamkeit.

Adresse:

Universitätsklinikum Carl Gustav Carus

an der TU Dresden AöR

Fetscherstraße 74, 01307 Dresden

Kontakt:

Mike Zimmermann

Telefon: 0351-458 15434, 0162-255 0892

E-Mail: Mike.Zimmermann@ukdd.de

Internet: www.uniklinikum-dresden.de