Was ist eigentlich dieses Information Security Management System (ISMS)? Das ist sicherlich eine der zentralen Fragen, die sich viele IT-Verantwortliche und Führungskräfte im Krankenhausumfeld aktuell stellen. Dabei zeigt sich viel Unsicherheit – immer wieder kommt die Frage auf: „Was kostet denn bei Ihnen das ISMS?“ oder „Wie kann ich das in mein KIS (Krankenhausinformationssystem) integrieren?“.
Diese Unsicherheit und Orientierungslosigkeit zeigt sich auch im Angang des Themas § 8a BSIG bzw. § 75c SGB V. So drückt der eine oder andere das Thema Informationssicherheit dem Datenschutzbeauftragten auf, denn „der kennt sich ja schließlich mit den Prozessen im Haus aus und hat diese schon erhoben“. Ein anderer kauft sich im Internet einen Satz ISMS-Dokumententemplates: Damit sei das Thema erledigt, denn mehr als Dokumentation sei ISMS schließlich nicht. Diese Art und Weise des Umgangs mit den Anforderungen zeigt, wie viel Aufklärungsarbeit noch erforderlich ist.
Sicherheit organisieren
Um zu verstehen, was ein ISMS, also ein Informationssicherheitsmanagementsystem ist und was der Gesetzgeber damit erreichen will, empfiehlt sich ein Blick ins Gesetz. Dort steht zu lesen: „Krankenhäuser sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind.“
Ohne Gesetzessprech und kurz gesagt: Der Gesetzgeber möchte die Resilienz, also die Widerstandsfähigkeit der Krankenhäuser gegen Cyberattacken erhöhen. Hierfür fordert er die Einführung und den Betrieb eines Informationssicherheitsmanagementsystems, kurz ISMS – also eines Prozesses zur Organisation der Informationssicherheit, der regelmäßig verbessert und an den sich verändernden Stand der Technik angepasst werden soll.
Eine Kollegin hat mal den Satz formuliert: „Aus dem ISMS-Papiertiger eine Raubkatze machen“. Diese Aussage trifft den Nagel auf den Kopf, denn ein ISMS soll eben kein Papiertiger sein, sondern den Krankenhäusern einen messbaren und nachweisbaren Nutzen bringen.
Das ist noch nicht überall angekommen, wie ein Blick auf das Budget für Informationssicherheit in vielen Krankenhäusern zeigt. Laut einer Studie der Deutschen Krankenhausgesellschaft (DKG) verursacht die Umsetzung des „Branchenspezifischen Sicherheitsstandards“ initiale Mehrkosten in Höhe von 1,5 bis zwei Millionen Euro und der laufende Betrieb des ISMS rund 500 bis 600.000 Euro pro Jahr.
Gemäß Bundesamt für soziale Sicherung (BAS) haben aber nur 12 Prozent der Krankenhäuser Fördermittel aus dem Krankenhauszukunftsgesetz für den Fördertatbestand 10 (IT-Sicherheit) beantragt. Ist also davon auszugehen, dass die anderen 84 Prozent mit ausreichend finanziellen Mitteln gesegnet sind, um den Anforderungen der Informationssicherheit auch in ökonomischer Hinsicht angemessen zu begegnen? Wohl kaum. Viel eher zeigt sich auch daran, dass die Dringlichkeit noch nicht verstanden wurde. Denn sicherlich hat die niedrige Beantragungsquote beim Fördertatbestand 10 auch damit zu tun, dass dieser im Gegensatz zu anderen, nicht sanktionsbewehrt ist.
Mangelhafte Selbsteinschätzung
Dabei wähnen sich viele Unternehmen in einer trügerischen Sicherheit: Einer Studie von Arctic Wolf zufolge schätzt die Mehrheit der Unternehmen in Deutschland das eigene Sicherheitsniveau hoch ein und hat Vertrauen in die Fähigkeiten der Mitarbeitenden, einen Cyberangriff zu erkennen. Dies gilt auch für Krankenhäuser.
Die Realität sieht jedoch häufig anders aus. Immer wieder zeigt sich auch bei unseren Bestandsaufnahmen zu den Anforderungen der internationalen ISMS-Norm ISO/IEC 27001, dass man sich selbst viel besser eingeschätzt hatte. Wir bewerten je Anforderung den Informationssicherheitsreifegrad auf Basis eines Prozessreifegradmodells, der von Null bis Fünf reicht. Die von uns untersuchten Kliniken haben im Durchschnitt einen Reifegrad von 1,01 – also gerade mal 20 Prozent erreicht. Der IT-Betrieb schneidet im Schnitt mit 1,2 ab, obwohl die Themen eigentlich keineswegs neu sind, also etwa Backupmanagement, Schwachstellen- und Patchmanagement.
Auch bei Penetrationstests herrscht deutlicher Nachholbedarf: Immer wieder hört man, dass Krankenhäuser entweder noch nie einen Penetrationstest durchgeführt haben oder dass sie ihre Schwachstellen kennen und diese erst einmal beseitigen müssten, sonst würde sich der Pentest nicht lohnen. Häufig werden nicht einmal regelmäßige Schwachstellenscans durchgeführt und die Systeme mit aktuellen Patches versorgt. Das liegt nicht selten daran, dass keine ausreichenden Personalkapazitäten zur Verfügung stehen, um das regelmäßig zu tun.
Offene Flanken für Cyberangriffe
Wird ein Penetrationstest durchgeführt, dann zeigen sich fast immer dieselben Schwachstellen, etwa deutliche Nachholbedarfe in der Verschlüsselung, der Einsatz veralteter Software oder die Preisgabe sensibler Daten. Das ermöglicht Phishing, die Übernahme von Admin-Konten, die Übernahme ganzer Systeme sowie das Mitschneiden der unverschlüsselten Kommunikation.
Es besteht dringender Aufklärungs- und Handlungsbedarf – dafür sind alle
gefragt: Dienstleistende, Verwaltung und Verbände – IT-Sicherheit ist am
Ende auch Patientensicherheit.
Jan Arfwedson ist Leiter E-Health-Hub im Cybersicherheitsrat Deutschland e. V.
und Geschäftsführer der Aurasec.
