68 I KU Gesundheitsmanagement 7/2017

IT-S

ICH

ERH

EIT

Prüfung zumIT-SicherheitsgesetzNachweis bis Juni 2019 – Durchfallen nicht eingeplant

Das Thema IT-Sicherheit gewinnt im Ge-sundheitswesen zunehmend an Bedeu-tung. Die Digitalisierung von Prozessenund die Vernetzung von Programmen er-höht zwar die Effektivität, macht Kranken-häuser jedoch auch angreifbar. Der Gesetz-geber folgte dem Ruf nach mehr Sicherheitmit dem im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz. Doch wie wirken sich dieGesetzesvorschriften konkret aus? DieseFragen beantworten Randolf-Heiko Skerka,Experte für Informationssicherheits-Mana-gementsysteme, und Prof. Dr. AndreasBecker, Berater für Einrichtungen imGesundheitswesen.

Keyword: IT-Sicherheit, BSIG, Prüfung,Prozessablauf, Prüfungsvorbereitung

Mit der am 31.05.2017 er-folgten Zustimmung derBundesregierung zum

Referentenentwurf der erstenVerordnung zur Änderung derBSI-Kritisverordnung (KritisV)wird diese noch im Juni 2017 inKraft treten. Damit sind nun auchbestimmte Krankenhäuser ver-pflichtet, u.a. ein angemessenesNiveau an IT-Sicherheit herzustel-len. Insbesondere sind dieseKrankenhäuser damit gemäß § 8aAbsatz 3 BSIG verpflichtet, inner-halb der kommenden zwei Jahre -also bis Juni 2019 - den Nachweiszu erbringen, dass dort ein ange-messenes Maß an IT-Sicherheiterreicht ist, wo eine kritischeDienstleistung erbracht wird. DieBSI-Kritisverordnung definiert imSektor Gesundheit als kritischeDienstleistung (kDL) die:

* stationäre medizinische Versor-gung,

Von Randolf Skerka und Prof. Dr. Andreas Becker

* Versorgung mit unmittelbar le-benserhaltenden Medizinpro-dukten, die Verbrauchsgütersind,

* Versorgung mit verschreibungs-pflichtigen Arzneimitteln undBlut- und Plasmakonzentratenzur Anwendung im oder ammenschlichen Körper und

* die Laboratoriumsdiagnostik.

Für Krankenhäuser ist daher zu-mindest die kritische Dienstleis-tung „stationäre medizinischeVersorgung“ von Bedeutung, so-fern hier eine Versorgungsleis-tung von mindestens 30.000 voll-stationären Fällen/Jahr erreichtwird. Es wird geschätzt, dass diesauf 110 Krankenhäuser zutrifft.

Das sicherzustellende Mindestni-veau an IT-Sicherheit müssen be-troffene Krankenhäuser dem BSIalle zwei Jahre nachweisen(�Abb.). Hierzu sind dem BSI

Foto: Zerbor – Fotolia

69KU Gesundheitsmanagement 7/2017 I

IT-S

ICH

ERH

EIT

�

erstmalig spätestens im Juni 2019die entsprechenden Nachweisevorzulegen.

Die Erbringung des Nachweisessetzt eine Prüfung durch einenqualifizierten Prüfer voraus, derdie attestierte Befähigung besitzt,Prüfungen gemäß § 8a Absatz 3des BSI-Gesetzes durchzuführen.Die betroffenen Krankenhäuserkönnen die „Prüfende Stelle“ freiauswählen, welche ihrerseits dasPrüfteam bestimmt. Hierbei istdarauf zu achten, dass die ausge-wählte Prüfende Stelle auf derWebseite des BSI gelistet ist undüber qualifizierte Prüfer verfügt.Ansonsten besteht die Gefahr,dass das BSI die am Ende desPrüfprozesses einzureichendenNachweise ablehnt.

Die Durchführung der Prüfung er-folgt auf Basis einer durch denPrüfer festgelegten Vorgehens-weise. Im Ergebnis der Prüfungwird eine „Liste der Sicherheits-mängel“ erstellt, die vom Kran-kenhaus mit dem „Nachweisdo-kument zu § 8a Absatz 3 BSIG“beim BSI einzureichen ist.

Die konkrete Prüfdauer hängt vonden spezifischen Gegebenheitendes Krankenhauses ab, da hierstarke Unterschiede bei den ver-schiedenen Krankenhäusern zuerwarten sind. Die durch das BSIgeschätzte Prüfdauer umfasst20–40 Personentage.

Die Prüfdauer kann gegebenen-falls verkürzt werden, sofern frü-here oder andere Prüfnachweisenoch gültig sind und herangezo-gen werden können. Dabei sindsowohl Änderungen innerhalbder geprüften Anlage als auch beider Gefährdungslage zu beach-ten.

Wie muss sich ein Krankenhausauf die Prüfung vorbereiten?Für das Krankenhaus ist der we-sentliche erste Schritt die Festle-gung des Geltungsbereiches (Sco-pe), der den Anforderungen derBSI-Kritisverordnung unterliegt.Es wird zu erwarten sein, dass al-le weiteren Schritte der Prüfungdurch den Prüfer unterstützt wer-den und die nachfolgendenSchritte umfassen:

1. Festlegung der Prüfgrundlage2. Prüfung der Scopes3. Erstellung des Prüfplans4. Durchführung der Prüfung5. Dokumentation des Prüfergeb-

nisses im Prüfbericht6. Einreichung der Nachweise

beim BSI

Festlegung der PrüfgrundlageVor Beginn der Prüfung nach § 8aAbsatz 3 BSIG muss die Prüf-grundlage festgelegt werden. Dafür Krankenhäuser derzeit keinBranchenspezifischer Sicher-heitsstandard (B3S) mit Eig-nungsfeststellung des BSI vor-liegt, muss sichergestellt wer-den, dass die Anforderungennach § 8a Absatz 1 BSIG auf geeig-nete Weise im Prüfprozess vali-diert werden können. Es ist zu er-warten, dass der Prüfer vor derDurchführung der Prüfung ge-meinsam mit dem Krankenhausein geeignetes und nachvollzieh-bar dokumentiertes Prüfverfah-ren für den Geltungsbereich defi-nieren und abstimmen wird.

Das zu definierende Prüfverfah-ren muss sich hierbei an der „Ori-entierungshilfe zu branchenspe-zifischen Sicherheitsstandards(B3S) nach § 8a Absatz 2 BSIG“orientieren und die Prüfung derdarin aufgeführten Aspekte be-rücksichtigen. Zusätzlich kön-nen weitere Quellen hinzugezo-gen werden, wie zum Beispiel an-

dere B3S gemäß § 8a Absatz 2BSIG, deren Eignung bereitsdurch das BSI festgestellt wurde(hierbei ist allerdings der Gel-tungsbereich zu beachten) odereinschlägige Standards (zumBeispiel Zertifizierungsschematafür ISO 27001 [Nativ oder auf Ba-sis von IT-Grundschutz], ISO/IEC17021-1, ISO/IEC 27006).

Im Ergebnis liegt eine Prüfgrund-lage vor, mit der die Prüfungnach § 8 a BSIG individuell fürdas Krankenhaus durchgeführtwerden kann.

Prüfung des ScopesEine der ersten Prüfhandlungenist die Überprüfung, ob der Sco-pe durch das Krankenhaus kor-rekt gewählt wurde. Hierzu wer-den die Vollständigkeit, Eig-nung, Erforderlichkeit, Wirk-samkeit und Angemessenheit so-wie die Funktionsfähigkeit derkritischen Dienstleistung über-prüft.

Grundlage des Scope sind hier-bei die in der BSI-Kritisverord-nung aufgeführten kritischenDienstleistungen, die „stationä-re medizinische Versorgung“.

Die Prüfung der Eignung desScopes im Sinne von § 8a Absatz3 BSIG ist Teil des Prüfergebnis-ses und wird durch den Prüferausdrücklich bestätigt.

KRITIS-Betreiber

Aufsichtsbehörde

PrüfendeStelle

Prüfteam

stimmt Vorgehen ab

liefert Nachweis(e)

prüft beauftragt

benennt

fordert ggf. Prüfbericht

Abb. 1: Prozessablauf der Prüfung gem. § 8a Absatz 3 BSIG

70 I KU Gesundheitsmanagement 7/2017

IT-S

ICH

ERH

EIT

Erstellung des PrüfplansJeder Prüfung liegt ein durch denPrüfer erstellter Prüfplan zugrun-de. In diesem Prüfplan wird dasPrüfteam, die Prüfobjekte, diePrüfziele sowie die beabsichtigtePrüfmethode im Vorfeld der Prü-fung festgelegt. Ebenfalls werdendie Rollen im Prüfteam und diebenötigten Ansprechpartnerbeim Krankenhaus sowie die zeit-lichen Abläufe festgeschrieben.

Eine komplette Prüfung des ge-samten Scopes ist in der Regelnicht mit wirtschaftlich vertret-barem Aufwand möglich, daherkann die Prüfung auf Basis einerangemessenen Stichprobenaus-wahl erfolgen. Diese muss min-destens alle kritischen Prozesseumfassen. Bei der Wahl der Stich-proben kann risikoorientiert vor-gegangen werden (Berücksichti-gung von Wahrscheinlichkeit undAuswirkungen auf die Erbringungder kDL), allerdings ist darauf zuachten, dass in der Gesamtheitder Stichproben eine gute Abde-ckung der Kritischen Infrastruk-tur, aber auch netztopologischeAbdeckung erzielt wird.

Durchführung der PrüfungNach der Abstimmung der Prüf-grundlage und des Prüfplanswird die Prüfung nach § 8 a BSIGdurchgeführt. Im Ergebnis wer-den die erforderlichen Nachweis-dokumente erstellt.

Festlegung der PrüfthemenDa derzeit kein B3S als Prüf-grundlage für Krankenhäuserexistiert, werden die Prüfthemenaus der Orientierungshilfe zur Er-stellung eines B3S abgeleitet. Ins-besondere die Mapping-Tabellezu Orientierungshilfe B3S liefertPrüfthemen, die zu berücksichti-gen sind, wie zum Beispiel dasContinuity Management für kDL,physische Sicherheit, Personelleund organisatorische Sicherheitoder auch BranchenspezifischeTechnik.

DokumentenprüfungAus den festgelegten Prüfthemenund gegebenenfalls vorhandenerPrüfungen resultiert der Umfangder Dokumentenprüfung. Für dieDokumentenprüfung muss das

Krankenhaus dem Prüfer etwafolgende Dokumente bereitstel-len:

* Konzept und Dokumentationdes Risikomanagements inkl.Risikoanalyse

* Beschreibung des Informati-onssicherheitsmanagementsys-tems (ISMS)

* Notfallkonzept und Beschrei-bung des Continuity Manage-ments

* Dokumentation der Prozessezur baulichen und physischenSicherheit (zum Beispiel Zu-trittskontrolle oder Brand-schutzmaßnahmen)

* Dokumentation der personellenund organisatorischen Sicher-heit (beispielsweise Aufzeich-nungen über Mitarbeiterschu-lungen, Sensibilisierungskam-pagnen, Berechtigungsmanage-ment)

* Konzepte und Dokumentationzur Vorfallerkennung und -be-arbeitung (etwa Beschreibungzu Incident Management, De-tektion von Angriffen, Forensik)

* Konzepte und Dokumentationvon Überprüfungen (wie Prüf-berichte der internen Revisionsowie anderer durchgeführterAudits, Übungen, systemati-sche Log-Auswertungen und soweiter)

* Sicherheitskonzept (inkl. Dar-stellung umgesetzter und ge-planter Maßnahmen), insbe-sondere der branchenspezifi-schen Maßnahmen

Die konkret vorzulegenden Do-kumente werden im Rahmen derPrüfung zwischen dem Prüferund dem Krankenhaus abge-stimmt.

Vor-Ort-PrüfungIm Rahmen der Vor-Ort-Prüfungwerden die aus der Dokumenten-prüfung gewonnenen Erkennt-nisse verifiziert. Insbesonderewird geprüft, ob die dokumen-tierten Konzepte wie beschrie-ben umgesetzt sind. Hierbei wer-den zum Beispiel Sachverhaltein Augenschein genommen, Be-fragungen durchgeführte, Syste-me begutachtet, Aufzeichnun-gen der Organisation bewertetoder physische Umgebungen be-gangen.

Der Vor-Ort-Prüfung liegt einPrüfplan zugrunde, aus dem un-ter anderem die zu besichtigen-den Standorte, die zu befragen-den Personen (Rollen) und Zeit-räume hervorgehen.

Dokumentation desPrüfergebnisses im PrüfberichtAls Nachweis gemäß § 8a Absatz 3BSIG über die Umsetzung der An-forderungen nach § 8a Absatz 1BSIG wird der Prüfer einen Prüf-bericht erstellen. Dieser wird ent-sprechend der durch das BSI in„Orientierungshilfe zu Nachwei-sen gemäß § 8a Absatz 3 BSIG“ de-finierten Vorgaben formuliertund beinhaltet insbesondere fest-gestellte Sicherheitsmängel undhieraus abgeleitete Empfehlun-gen.

Abweichung zu den Anforderun-gen gemäß § 8a Absatz 1 BSIG sindals „Mangel“ definiert und wer-den durch den Prüfer dokumen-tiert und bewertet. Grundsätzlichwerden alle Feststellungen, dieein Risiko für die kritische Dienst-leistung darstellen oder eine kor-rigierende Maßnahme benötigen,die nicht ohne Zeit oder Ressour-cenaufwand umgesetzt werdenkönnen, in den Prüfbericht aufge-nommen.

Die geplante Nachverfolgung, zuergreifende Maßnahmen und dieFrist zur Beseitigung der Sicher-heitsmängel wird festgelegt. Da-bei wird eine einheitliche Män-gelbewertung basierend auf denvom BSI definierten Mängelkate-gorien vorgenommen, die auch inder Mängelliste des Nachweisdo-kuments, das an das BSI gesendetwird, genutzt. Handlungsbedarfbesteht für das Krankenhaus beiMängeln der folgenden Kategori-en:

* Schwerwiegende oder erheblicheAbweichung beziehungsweise Si-cherheitsmangelEine „schwerwiegende Abwei-chung“ stellt eine gravierendeGefährdung beziehungsweiseein gravierendes Risiko dar. Ei-ne „erhebliche Abweichung“stellt eine große Gefährdung be-ziehungsweise ein großes Risi-ko dar. Die Abweichung mussumgehend (schwerwiegend) be-

IT-S

ICH

ERH

EIT

KompaktseminarDie kritische Infrastruktur Krankenhaus und das IT-SicherheitsgesetzErfahren Sie: Warum IT im Krankenhaus eine kritische Infrastruktur ist Wie der Prüf- und Nachweisprozess gemäß § 8a BSI-Gesetz aussieht Wie Sie strategische Informationssicherheit betreiben

Gemeinsam finden wir Ihre Perspektive im Umgang mit dem IT-Sicherheitsgesetz

Termin: 31. August 2017Anmeldung auf www.src-gmbh.de

Ihr Weg durch die neuen Anforderungen

In Kooperation

71KU Gesundheitsmanagement 7/2017 I

ziehungsweise zeitnah (erheb-lich) beseitigt werden, da Scha-den mit Bezug zur kDL zu erwar-ten ist.

* Geringfügige Abweichung bezie-hungsweise SicherheitsmangelEine „geringfügige Abwei-chung“ stellt eine Gefährdungbeziehungsweise ein Risiko dar.Die zugrundeliegende Abwei-chung muss mittelfristig besei-tigt werden. Die Vertraulichkeit,Integrität oder Verfügbarkeitder kDL kann beeinträchtigtwerden.

Diese Abweichungen beziehungs-weise Mängel müssen in den Prüf-bericht und das Nachweisdoku-ment aufgenommen werden. Zu-sätzlich kann eine Empfehlungausgesprochen oder „keine Abwei-chung“ attestiert werden.

Aufbauend auf den festgestelltenMängeln muss vom Krankenhausein Maßnahmenplan erstellt wer-den, in dem zu jedem festgestell-ten Mangel dargestellt ob undwenn welche Maßnahmen geplantsind. Der Maßnahmenplan istbeim BSI beizufügen. Abschlie-ßend werden durch den Prüfer dieNachweisdokumente erstellt.

Einreichung der Nachweisebeim BSIGegenüber dem BSI wird die Erfül-lung der Anforderungen aus § 8a

Absatz 1 BSIG durch Nachweisdo-kumente belegt. Damit das BSI dieEignung der Prüfung, die Ange-messenheit und Wirksamkeit derVorkehrungen zur Vermeidungvon Störungen sowie die Schwereder aufgedeckten Sicherheitsmän-gel bewerten kann, sind die erfor-derlichen „Nachweisdokumentezu § 8a Absatz 3 BSIG“ beim BSIeinzureichen. Dies sind insbeson-dere beizufügen:

* Blatt KI: Angaben zur geprüftenKritischen Infrastruktur undzum Ansprechpartner. Das BlattKI ist vom Krankenhaus auszu-füllen und zu unterschreiben.Dem Blatt KI sind als Anlagen dievom Prüfer erstellten Nachweis-dokumente beizufügen:

* Blatt PS: Angaben zur Eignungder prüfenden Stelle und zumPrüfteam

* Blatt PD: Angaben zur Prüf-durchführung

* Blatt PE: Angaben zum Prüfer-gebnis und zu den aufgedecktenSicherheitsmängeln (inklusiveder Anhänge „Liste der Sicher-heitsmängel“ und „Umsetzungs-plan“)

ZusammenfassungZusammenfassend lässt sich fest-stellen, dass zu erwarten ist, dassder Prüfprozess für Krankenhäu-

ser aufgrund der fehlenden kon-kreten Prüfgrundlagen individu-ell mit dem Prüfer abgestimmtwerden muss. Zudem ergibt sichdas Risiko, dass sich am MarktPrüfende Stellen präsentieren,deren fehlende Eignung erst amEnde des Prüfprozesses durch dasBSI festgestellt werden und damitdie Prüfung wertlos ist, da die Ge-fahr besteht, dass dem BSI dieeingereichten Nachweise nichtausreichen und die Prüfergebnis-se nicht anerkannt werden. $

Randolf SkerkaSRC Security Research & Consulting GmbH

Emil-Nolde-Str. 753113 Bonn

Prof. Dr. Andreas BeckerInstitut Prof. Dr. Becker

Rössrath

Randolf-Heiko Skerka