69KU Gesundheitsmanagement 9/2017 I

IT-S

ICH

ERH

EIT

�

Mit der am 30. Juni 2017 er-folgten Veröffentlichungder ersten Verordnung zur

Änderung der BSI-Kritisverord-nung (KritisV) sind nun die unterdie Verordnung fallenden Kranken-häuser, verpflichtet Sicherheits-maßnahmen nach dem Stand derTechnik umzusetzen und Sicher-heitsvorfälle an das BSI zu melden.Kurzfristig muss dem BSI bis zum30. Dezember 2017 eine Kontakt-stelle benannt werden, über die dasKrankenhaus jederzeit, das heißt24 Stunden am Tag, sieben Tage dieWoche, erreichbar ist. An dieseAdresse wird das BSI IT-Sicher-heitsinformationen versenden.

Kontaktstelle einrichtenDas geänderte BSI-Gesetz (§ 8b)verpflichtet die unter die BSI-Kritis-verordnung fallenden Krankenhäu-ser sowohl dem BSI erhebliche IT-Störungen in anonymisierter Formzu melden, als auch dafür Sorge zutragen, dass das BSI ständig (24Stunden am Tag an sieben Tagen in

IT-Sicherheitsgesetz:Kontaktstelle mitteilenAuf Sicherheitsmeldungen des BSI reagieren undSicherheitsvorfälle melden

Das Thema IT-Sicherheit gewinnt imGesundheitswesen zunehmend an Bedeu-tung. Die Digitalisierung von Prozessen unddie Vernetzung von Programmenerhöht zwar die Effektivität, macht Kranken-häuser jedoch auch angreifbar. Der Gesetzge-ber folgte dem Ruf nach mehr Sicherheit mitdem im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz. Doch wie wirken sich dieGesetzesvorschriften konkret aus? Diese Fra-gen beantworten Randolf-Heiko Skerka, Ex-perte für Informationssicherheits-Manage-mentsysteme, und Prof. Dr. AndreasBecker, Berater für Einrichtungen imGesundheitswesen.

Keywords: IT-Sicherheit, Geltungsbereich,Strukturanalyse, BSIG

der Woche) in der Lage ist, demKrankenhaus IT-Sicherheitsinfor-mationen über eine zu benennendeKontaktstelle mitzuteilen. AusSicht des BSI ist die Einrichtung ei-nes Funktionspostfaches, das nichteinem einzelnen, sondern einerGruppe von Mitarbeitern zugeord-net ist, geeignet, die erforderlicheErreichbarkeit zu gewährleisten.Auch ist es möglich, dass sich meh-rere Krankenhäuser zusammen-schließen und eine gemeinsameübergeordnete Ansprechstelle (GÜ-AS) definieren.

Denkbar ist dies zum Beispiel fürKlinik-Gruppen oder Klinikverbün-de, die bereits an anderen Stelleninterne Prozesse zusammengeführtoder den Betrieb der IT zusammen-gelegt haben. Flächendeckend wer-den sich GÜAS aber wahrscheinlicherst in den kommenden Jahren eta-blieren.

Aus den eingegangenen Meldun-gen beabsichtigt das BSI für jeden

Von Randolf Skerka und Prof. Dr. Andreas Becker

KRITIS-Sektor ein Lagebild abzulei-ten, das die Grundlage etwa fürWarn- und Alarmierungsmeldun-

Foto: Jenny Sturm – Fotolia

70 I KU Gesundheitsmanagement 9/2017

IT-S

ICH

ERH

EIT

gen sowie konkrete Handlungs-empfehlungen zur Vermeidung vonSchäden ist. Ziel ist es, die Betrei-ber kritischer Infrastrukturen früh-zeitig auf erwartete Angriffe oderAusfälle vorzubereiten beziehungs-weise Abwehrmaßnahmen zu er-greifen. In den letzten Monatenwurden über diesen Kanal bei-spielsweise bereits Meldungen zuWannaCry an die registrierten Kon-taktstellen verteilt.

Es darf erwartet werden, dass dasBSI an die Kontaktstelle in Kran-kenhäusern insbesondere sehr spe-zifische Meldungen, vergleichbarzur Meldung über die seit zwei Jah-ren bestehende Schwachstelle, diein Tomografen festgestellt wurden(ICSMA-17-215-02), verteilt. Die Mel-depflicht der Krankenhäuser be-steht bei Störungen, die bereits zueinem Ausfall oder einer Beein-trächtigung geführt haben oderhierzu führen können.

Um die Meldungen geordnet vomBSI entgegen zu nehmen oder andieses abzugeben, ist die Einrich-tung geeigneter Meldeprozesse er-forderlich. In der Regel sind bereitsentsprechende Alarm- und Kom-munikationspläne innerhalb einesKrankenhauses vorhanden, so dassdiese genutzt und angepasst wer-den können, um die Anforderun-gen des BSI-Gesetzes zu erfüllen.

Vorhandene Kommunikations-struktur anpassenDie Registrierung beim BSI setzt ei-nige Vorarbeiten voraus, die inner-halb des Krankenhauses zu erledi-gen sind, um eine erfolgreiche Re-gistrierung durchführen zu kön-nen.

Schritt 1: Festlegung des Ansprech-partners der OrganisationIm Rahmen des Registrierungs-prozesses muss die Organisationgegenüber dem BSI einen An-

sprechpartner benennen. GemäßRegistrierungsformular ist die„Aufgabe des Ansprechpartnersder Organisation […], dem BSI ge-genüber Änderungen bzgl. der Kon-taktstelle mitzuteilen. Das BSI kon-taktiert den Ansprechpartner beiallen organisatorischen Fragestel-lungen, zum Beispiel zur Überprü-fung und/oder Ergänzung der Kon-taktdaten“. Die Benennung des An-sprechpartners ist jedoch optional,wird kein Ansprechpartner be-nannt, wird das BSI die Kontakt-stellen in den genannten Fällenkontaktieren.

Schritt 2: Einrichtung und Etablie-rung einer Kontaktstelle gemäß § 8bAbs. 3 BSIGDamit das BSI dem KRITIS-Betrei-ber IT-Sicherheitsinformationenzukommen lassen kann, ist die Er-reichbarkeit der Kontaktstelle an 24Stunden sieben Tage die Woche zugewährleisten. Da das BSI an dieQualität der eigenen Meldungen inRichtung der KRITIS-Betreiber, wieauch die aus Richtung der KRITIS-Betreiber kommenden Meldungen,gewisse Anforderungen stellt unddie Erreichbarkeit der Kontaktstel-le sichergestellt werden muss, sindin der Regel geeignete Meldepro-zesse aufzubauen und zu etablie-ren.

Schritt 3: Registrierung auf dem Mel-de- und Informationsportal für Be-treiber Kritischer Infrastrukturen imRahmen des IT-SicherheitsgesetzesUm der Meldepflicht nachzukom-men, muss die Organisation eine

Gewöhnliche IT-Störung• Spam

• Durch Virenschutz erkannte

Schadsoftware

• Ungezieltes Phishing

• Festplattenfehler

• Hardwareschaden

Außergewöhnliche IT-Störung• neue, noch nicht veröffentlichte

Schwachstelle

• Sicherheitslücken

• Unbekannte / unerkannte

Schadsoftware

• Spear-Phishing

• Außergewöhnliche technische

Defekte

Ohne nennenswerte Probleme

mit Maßnahmen nach dem

Stand der Technik

abgewehrt?Ja Nein

Abb. 1: Meldeprozess „IT-Störungen“

Kein Ausfall oder Beeinträchtigung

möglich

Keine Meldung erforderlich

Gewöhnliche IT-Störung

Ausfall oder Beein-trächtigung einge-

treten

Keine Meldung erforderlich

Außergewöhnliche IT-Störung

Meldung erforderlich(namentlich oder anonym)

Meldung erforderlich(namentlich)

Ausfall oder Beeinträchtigung

möglich

IT-Störung

Abb. 2: Gewöhnliche und außergewöhnliche IT-Störungen

71KU Gesundheitsmanagement 9/2017 I

IT-S

ICH

ERH

EIT

Sie können natürlich

selber angeln gehen ...... um Personal für den Ärztlichen Dienst zu finden.

Sie können sich aber auch einfach an den größten Ärzteverband wenden. Mit dem Marburger Bund erreichen Sie auf dem direkten Weg angestellt tätige Ärztinnen und Ärzte aller Fachrichtungen, vom Nachwuchsmediziner bis hin zum Chef- und Oberarzt. Der Marburger Bund zählt über 119.000 freiwillige Mitglieder. Die MARBURGER BUND ZEITUNG ist das offizielle Mitteilungsorgan mit einem bundesweiten Stellenmarkt.

Nutzen Sie unsere Kontakte und unser Know-How. Wir wissen, was zu tun ist. Direkt und unkompliziert.

Lassen Sie sich von uns unverbindlich beraten.

MARBURGER BUND ZEITUNG • Anzeigenbüro: Christine Kaffka (Leitung) Telefon: 02204 961818 E-Mail: anzeigen@marburger-bund.de

© K

adm

y –

Foto

lia.c

om

Registrierung auf dem „Melde- undInformationsportal für BetreiberKritischer Infrastrukturen im Rah-men des IT-Sicherheitsgesetzes“vornehmen. Anschließend werdendie zur Meldepflicht erforderlichenInformationen (Meldeformular,Anleitung zur Durchführung einerMeldung) bereitgestellt. Die Home-page des BSI lautet:https://mip.bsi.bund.de/register

Meldungen an das BSIDem BSI sind nur relevante Vorfällemitzuteilen. Zunächst sind nur Mel-dungen relevant, die die betroffenekritische Dienstleistung nach Kri-tisV, wie etwa die „stationäre medi-zinische Versorgung“, betreffen.Ereignisse, die somit keine Auswir-kungen auf die kritische Dienstleis-tung haben, müssen dem BSI nichtgemeldet werden.

Es lassen sich drei Fälle unterschei-den, die in der nachfolgenden Ab-bildung dargestellt sind (�Abb. 1):

1. Ein Ausfall oder eine Beeinträch-tigung der kritischen Dienstleis-tung ist nicht möglich.Eine Meldung ist nicht erforder-lich.

2. Ein Ausfall oder eine Beeinträch-tigung der kritischen Dienstleis-tung ist möglich (auch wenn kei-ne Störung eingetreten ist).Eine Meldung ist nur in dem Fallerforderlich, wenn es sich um ei-ne außergewöhnliche IT-Störung

handelt. Aufgetretene Schad-software, die durch die vorhan-denen Maßnahmen erfolgreichabgewehrt wurde, ist damit nichtmeldewürdig.

3. Ein Ausfall oder eine Beeinträch-tigung der kritischen Dienstleis-tung ist eingetreten.Eine namentliche Meldung istnun zwingend erforderlich.

In der Praxis wird die interessanteFrage sein, was als „außergewöhn-liche Störung“ zu verstehen ist. DasBSI definiert zunächst die gewöhn-liche IT-Störung als solche, diedurch übliche Maßnahmen nachdem Stand der Technik abgewehrtwerden können. Hierzu dürfen zumBeispiel die erfolgreiche Abwehrvon Schadsoftware durch entspre-chende Anti-Viren Mechanismenzählen (�Abb. 2).

Aus Sicht des BSI können IT-Stö-rungen als außergewöhnlich be-zeichnet werden, wenn sie „nur miterheblichem bzw. deutlich erhöh-tem Ressourcenaufwand (zum Be-spiel erhöhtem Koordinierungsauf-wand, Hinzuziehen zusätzlicherExperten, Nutzung einer besonde-ren Aufbauorganisation, Einberu-fung eines Krisenstabs) bewältigtwerden können“.

Die Benennung der Kontaktstellestellt den ersten Schritt zur Umset-zung der Anforderungen des IT-Si-cherheitsgesetzes dar. Das BSI gibt

viele Hilfestellungen, so dass sichein Besuch der Webseite zu diesemThema lohnen und Klarheit brin-gen dürfte. Da üblicherweise be-reits etablierte Kommunikations-strukturen für Not- und Katastro-phenfälle im Krankenhaus vorhan-den sind, besteht die Herausforde-rung darin, diese auf den neuen„externen Kommunikationspart-ner“ hin anzupassen und stärkerauf IT-Themen auszurichten. $

Randolf SkerkaSRC Security Research & Consulting GmbH

Emil-Nolde-Str. 753113 Bonn

Prof. Dr. Andreas BeckerQualifikation

“Spezielle Prüfverfahrens-Kompetenzfür § 8a BSIG“

Institut Prof. Dr. Becker

Randolf Skerka