IT-SiG, UP KRITIS, die IT-Sicherheit – Krankenhäuser treffen IT-Realität Aktueller Stand zum UP KRITIS in der Gesundheitsbranche, Bedeutung und Auswirkungen für Krankenhäuser

Jürgen Flemming, Leiter Projektmanagement und Organisation Marienhospital Stuttgart, Vinzenz von Paul Kliniken gGmbH

Datenschutz in der Medizin - Update 2017 Fachtagung Hamburg, 01.02.2017

Die IT-Landschaft im Gesundheitsbereich verändert sich rapide, ob wir das wollen oder nicht – dies betrifft auch die Patienten

Aktueller Trend: Digitalisierung Derzeit die wichtigste

Entwicklung, da auf einer höheren Abstraktionsebene

Sehr hoher Veränderungsdruck seitens der Consumer, aber auch extremer Druck von großen Unternehmen der Consumer-IT-Branche

Dadurch auch Veränderungen in der Krankenhaus-IT zu erwarten

Kurze Hype-Zyklen: Unternehmen setzen auf die Cloud Big-Data-Analytics ist die Zukunft Social Media treiben die IT voran Bring your own device (BYOD) Internet of Things (IoT) wird die Technik revolutionieren

– Industrie 4.0 Elektromobilität ist die Zukunft des Automobils Digitalisierung ist die neue industrielle Revolution

Die Digitalisierung im Gesundheitswesen und die Entwicklung der eHealth eröffnet große Marktpotentiale und findet das Interesse großer Konzerne

Umsatzprognose für den globalen mHealth-Markt ( Mio. USD)

Quelle:Insights HIMSS Europe, Vol. 3, Nr. 4

Umsatzprognose Telemedizin weltweit (Mio USD)

Digitalisierung: der Einsatz von IT zur Unterstützung von Prozessen

eHealth: der Einsatz von IT im Gesundheitswesen mHealth: der Einsatz von eHealth-Systemen auf

mobilen Endgeräten

Alphabet (Google), Apple, IBM,… die Global Player investieren weltweit große Summen in die Entwicklung von mHealth-Anwendungen

Quelle: Statista

2013 wurde eine durchgehende EPA nur in 63% der Krankenhäuser eingesetzt, externer Datenaustausch war nur in 53% aller Häuser möglich

Externe Faktoren und die Arzt-Patienten-Beziehung beeinflussen die Entwicklung der Krankenhäuser entlang des IDC Reifegradmodells

Interne Faktoren wie die Prozessoptimierung: Digitalisierung im Krankenhaus soll Verbesserungen bei Effektivität, Effizienz und Qualität unterstützen (z.B. elektronischer Workflow für Bestellungen und Rechnungen, elektronische Leistungsanforderungen und –Dokumentationen,..)

Externe Faktoren, wie Standort- und Sektor-übergreifende Kommunikation von Gesundheitsdaten, die Einführung oder Entwicklung neuer technische Verfahren und der verstärkte Einsatz intelligenter (smarter) Systeme (IoT)

Die Arzt-Patienten-Beziehung: Patienten fordern zunehmend elektronische Kommunikation (Befunde, Briefe etc. per Mail; Terminkoordination via Internet,…)

Mündige Patienten: Der Arzt konkurriert mit Suchmaschinen

Es wird alles digitalisiert werden, was digitalisiert werden kann – Das Bundesgesundheitsministerium überarbeitet seine Strategie dazu

Die Studie empfiehlt dem BMG 9 Handlungsfelder:

Versorgungsorientiertes Zielbild für eine zukünftige eHealth-Landschaft

Beschleunigter Ausbau von Anwendungen in den Bereichen eHealth und Big Data

Erhöhung der Adoption und Akzeptanz digitaler Technologien durch vorrangige Anwendergruppen

Fortentwicklung eines umfassenden regulatorischen Rahmens für die Digitalisierung im Gesundheitswesen

Bereitstellung notwendiger Infrastrukturen zum übergreifenden Datenaustausch

Nutzung der eigenen Digitalisierungspotentiale im Geschäftsbereich des BMG

Versorgungsnahe Ausrichtung der Förder- und Forschungspolitik

Stärkung der digitalen Gesundheitswirtschaft in Deutschland

Einbettung in den internationalen Kontext

Datenschutz, Datensicherheit und Verfügbarkeit der Daten – das sind die Säulen der Informationssicherheit

Vertraulichkeit (Datenschutz)

Integrität (Daten-

Sicherheit) Verfügbarkeit

Informations- Sicherheit

Die fünf Haupt-Risiken für die Informationssicherheit sollten regelmäßig im Rahmen des Risikomanagements geprüft werden

Vertraulichkeit (Datenschutz)

Integrität (Daten-

Sicherheit) Verfügbarkeit

Informations- Sicherheit

Technisches

Versagen Organisatorisches

Versagen

Menschliches

Fehlverhalten

Höhere Gewalt

Vorsatz

(Cybercrime)

Mit der Digitalisierung nehmen die externen und internen Bedrohungen der IT-Systeme in Krankenhäusern weiterhin dramatisch zu

Gefährliches Duo: Erpressungstrojaner kommt mit Word-Datei

Deutsche Klinik für mehrere Tage durch Verschlüsselungs-Trojaner lahm gelegt

Internet of Things =

Internet of Threats

BSI Pressemitteilung vom 08.02.2016: IT-Sicherheitsvorfälle beeinträchtigen Funktionsfähigkeit Kritischer Infrastrukturen

Datendiebstähle und Angriffe auf die Betriebsfähigkeit von Krankenhäusern erreichten 2016 weltweit neue Spitzenwerte

Während die Anzahl der erfolgreichen Diebstähle von Patientendaten in 2016 nur mäßig schwankte, zeigt die Anzahl der gestohlenen Datensätze extreme Schwankungen

Anzahl der in den USA in 2016 gestohlenen Patienten-Datensätze pro Monat

Monatliche Anzahl der erfolgreichen Diebstähle von Patientendaten in den USA in 2016 Quelle: Protenus, BREACH BAROMETER REPORT: YEAR IN REVIEW

Krankenhaus-IT Journal EXTRA vom 13.12.2016: Ransomware-Angriffe stiegen 2016 um 80 Prozent

Bereits die 2011 vom BMI verabschiedete Cyberstrategie setzt den Schwerpunkt auf den Schutz kritischer Infrastrukturen

Schaffung sicherer IT-Infrastrukturen in Deutschland

Stärkung der IT-Sicherheit in der öffentlichen Verwaltung

Aufbau eines nationalen Cyber-Abwehrzentrums und Schaffung eines nationalen Cyber-Sicherheitsrates

Wirksame Kriminalitätsbekämpfung auch im Cyber-Raum ermöglichen

Effektive Zusammenarbeit für Cyber-Sicherheit innerhalb der EU und weltweit

Einsatz verlässlicher und vertrauenswürdiger IT-Systeme sicherstellen

Personalentwicklung in den Bundesbehörden

Schaffung eines Instrumentariums zur Abwehr von Cyber-Angriffen

Schutz kritischer Infrastrukturen vor Cyberkriminalität

Das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (IT-SiG) stärkt vor allem das BSI. Details der Umsetzung regelt eine Rechtsverordnung

Betreiber kritischer Infrastrukturen müssen die Mindestanforderungen an die IT-Sicherheit erfüllen (B3S: Branchenspezifische Sicherheitsstandards)

Kritische IT-Sicherheitsvorfälle müssen von den Betreibern kritischer Infrastrukturen an das BSI als zentrale Stelle gemeldet werden

Anbieter von Telekommunikations- und Telemedien-Diensten müssen weitergehende Anforderungen erfüllen

Das BSI erstellt im Auftrag und für das BMI jährlich einen Bericht über die IT-Sicherheitslage, der vom BMI veröffentlicht wird. Damit soll die Sensibilität in der Bevölkerung für Themen der IT-Sicherheit erhöht werden

Das IT-SiG definiert die kritischen Infrastrukturen recht unscharf, die Konkretisierungen erfolgen in der BSI-KritisVO (1/2)

Definition der kritischen Infrastrukturen – im IT-SiG eher abstrakt, exakte Definition in den Rechtsverordnungen nach BSI-KritisVO, Korb 1 und 2

Stärkung des BSI:

Information der Öffentlichkeit über kritische Sicherheitsfälle durch das BSI

Das BSI kann Produkte oder Systeme auf ihre IT-Sicherheit prüfen und die Ergebnisse veröffentlichen

Das BSI soll die Öffentlichkeit durch Veröffentlichungen auch „außerhalb“ des jährlichen Berichts an das BMI für Fragen der IT-Sicherheit sensibilisieren

Betreiber kritischer Infrastrukturen können sich vom BSI beraten lassen

Das BSI erarbeitet Vorschläge für Mindeststandards der IT-Sicherheit für Bundesbehörden, das BMI verabschiedet

Das BSI wird als zentrale Stelle für alle Meldungen zur IT-Sicherheit der kritischen Infrastrukturen festgelegt

Die Betreiber kritischer Infrastrukturen dürfen bei den für sie relevanten Standards mitreden, müssen sich aber alle 2 Jahre prüfen lassen (2/2)

Vorgaben für die Betreiber kritischer Infrastrukturen: Vorschlagsrecht für branchenspezifische Mindeststandards für die IT-

Sicherheit Mitarbeit in den Branchen-Arbeitskreisen des UP KRITIS Innerhalb von 2 Jahren nach Inkrafttreten der Rechtsverordnung müssen

die Betreiber kritischer Infrastrukturen sich auditieren (lassen) und damit die Einhaltung der Vorgaben des IT-SiG nachweisen

Diese Prüfung muss bei den Betreibern kritischer Infrastrukturen alle 2 Jahre erfolgen. Die Möglichkeiten einer Selbst-Auditierung werden derzeit diskutiert

Die Betreiber der kritischen Infrastrukturen haben eine Meldepflicht für erhebliche Störungen

Der UP KRITIS teilt die Bereiche mit kritischen Infrastrukturen in 8 Branchen auf, Staat und Verwaltung laufen gesondert

Quelle: UP KRITIS

Branchenspezifische Sicherheitsstandards werden dem BSI zur Genehmigung vorgelegt, mit den zuständigen Behörden abgestimmt und frei gegeben

Quelle: UP KRITIS / BSI

Anspruch und Wirklichkeit – die 2. Rechtsverordnung zum UP KRITIS wird voraussichtlich im Februar 2017 als Entwurf veröffentlicht

2015 2016 2017 Ab 2019

Finalisierung der 1. Rechtsverordnung zum UP KRITIS

Betroffen sind die Branchen: Energie Wasser Ernährung IKT

2. Rechtsverordnung zum UP KRITIS

Betroffen hier die Branchen Transport und

Verkehr Finanzen Gesundheit

Einrichtung der Kontaktstellen

Umsetzung der Meldepflichten

Ende der Karenzzeit Zertifizierung /

Auditierung der kritischen Infrastrukturen (dann alle 2 Jahre)

Jährliche Prüfung durch den Betreiber auf Einhaltung der Mindeststandards

2016 2017 2018 Ab 2020

02.05.2016

1. RVO

Entwurf

voraussichtlich

02/2017

Aktuell kritische Punkte / Themen in Bearbeitung

Erarbeitung eines nicht toxischen B3S für die Krankenhäuser, ggf. differenziert ausgestaltet

Kommentierung und Abstimmung des Entwurfs zur 2. Rechtsverordnung (Verbändeanhörung)

Damit Klärung welche Häuser künftig zur kritischen Infrastruktur zählen werden Welche Kosten entstehen für diese Häuser und wer trägt diese Kosten ? Wie

verteilen sich diese auf Investitionen und Betrieb ? Konkrete Ausgestaltung der Inhalte der Meldungen kritischer Zwischenfälle,

Hinweise zur Klassifikation der Kritikalität Struktur der SPOC und GÜAS (Gemeinsame übergeordnete Ansprechstelle)–

wer kann diese Aufgabe im Gesundheitssektor übernehmen (24 x 7, Vertrauensstellung)

Details der Auditierung – wer darf auditieren, welche Qualifikation / Ausbildung notwendig, welche Daten genau gehen wann / warum ans BSI

19

Vielen Dank für Ihre Aufmerksamkeit !

Jürgen Flemming Vinzenz von Paul Kliniken gGmbH Böheimstraße 37

70199 Stuttgart

Tel.: 0711 – 6489 – 8190 eMail: Juergen.Flemming@vinzenz.de

Lehrauftrag Projektmanagement