Wie B3S die IT-Sicherheit in kritischen Infrastrukturen steigert

Was ist B3S?

B3S steht für Branchen-Spezifische Sicherheits-Standards. 
Es handelt sich um eine Richtlinie, die beispielsweise im Gesundheitswesen Krankenhäusern helfen soll, alle Vorschriften einzuhalten, welche das IT-Sicherheitsgesetz vorgibt. Die B3S stellen ein Werkzeug für die Risikoabschätzung durch den Informations-Sicherheitsbeauftragten dar, um das Risiko seiner Einrichtung besser einzuschätzen und durch entsprechende Maßnahmen einzuschränken.

Laut dem Bundesportal können KRITIS -Betreiber oder deren Verbände in B3S konkretisieren, wie die Anforderungen zum aktuellen Stand der Technik erfüllt werden können. B3S können zur Feststellung der Eignung beim BSI vorgelegt werden.

Gesetzgebung rund um B3S und KRITIS

Im Zuge der Novellierung des BSI-Gesetzes wurde die generelle Einstufung, wann ein Unternehmen/eine Institution als KRITIS (Kritische Infrastruktur) gilt, geändert. Das Thema B3S (branchenspezifische Sicherheitsstandards) betrifft also nicht nur den Sektor: Medizinische Versorgung der Bevölkerung im Krankenhaus.

Um die Sicherheit der IT-Systeme im Krankenhaus dauerhaft zu gewährleisten, wurden diese Standards (B3S) im Sinne des § 8a BSI-Gesetz geschaffen und als Basis zur Verfügung gestellt. Das Patientendatenschutzgesetz (PDSG) ist der gesetzliche Rahmen für entsprechende Zertifizierungen. Die Einführung der Anlagen § 75c SGB V sind Anfang 2022 erfolgt. Demnach sind gemäß § 75c SGB V alle Krankenhäuser verpflichtet, nach dem sogenannten "Stand der Technik" angemessene Vorkehrungen zur Vermeidung von Störungen der IT-Systeme im Krankenhaus zu treffen, welche für den Sicherheitsstandard und die Versorgung der verarbeiteten Patienteninformationen und für die Vermeidung von Risiken beim Kontakt mit personenbezogenen Daten maßgeblich sind. Eine Arbeitsgruppe der DKG hat hierzu Umsetzungshinweise („Starter-Paket“) erarbeitet, die sie als Checkliste zunächst den Geschäftsführungen von Krankenhäusern zur Verfügung stellt.

Der Informationssicherheits-Beauftragte (ISB), auch Information Security Officer (ISO) genannt, hat eine zentrale Funktion bei der Beschreibung der Schutzziele und deren Eignungsprüfung. Denn er oder sie ist die erste Anlaufstelle im Unternehmen, wenn es um die Prüfung, um Fragen und Themen zur Einhaltung der Informationssicherheit und um die Risikoanalyse geht. 

In diesem Artikel erfahren Sie mehr über die wichtigsten Herausforderungen der Datensicherheit und des Managements der Informationssicherheit, wie die Vorgaben angegangen werden können und wie Ihnen Pointsharp dabei helfen kann. Seit Jahren arbeiten wir eng mit Betreibern kritischer Infrastrukturen zusammen - insbesondere im Gesundheitswesen. Denn dort erschienen über die Jahre immer wieder neue gesetzliche Anforderungen an sichere Kommunikation und Datenschutz. Hier konnten wir bereits zahlreiche Organisationen kompetent unterstützen. Wir beraten auch Sie gern unverbindlich, bei welchen Bedrohungsszenarien Pointsharp helfen kann.

Für welche Branchen gibt es B3S?

Wir haben uns in der Beschreibung der Anforderungen des Themas B3S und der Prüfung der Sicherheitsanforderungen auf das Gesundheitswesen konzentriert. Es gibt aber seitens des BSI mehrere B3S. 

Alle unten genannten Branchen können durch das Erarbeiten von Sicherheitsstandards, die für ihren Bereich sinnvollen und notwendigen Maßnahmen selbst definieren und diese dem BSI zur Prüfung der Eignung bei der Erfüllung der im IT-Sicherheitsgesetz formulierten Ziele vorlegen. 

Im Gesundheitssektor gibt es seit Dezember 2022 ein entsprechendes Dokument, welches durch die Deutsche Krankenhausgesellschaft (DKG) über die Jahre erarbeitet wurde. Sie unterstützt den Prozess durch die Bereitstellung eines branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetzes. 

Der B3S wird in Abstimmung mit den zuständigen Gremien der Deutschen Krankenhausgesellschaft (DKG), sowie dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS erstellt. Danach wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft, ob der B3S für die Einhaltung der gesetzlich geforderten Maßnahmen geeignet ist. 
Das Gesundheitswesen fragt seit 2023 bei Pointsharp bereits häufig explizit auf eine "Erfüllung" von oder "Kompatibilität" zu "B3S" an. Aus diesem Grund haben wir diese Branche als Beispiel gewählt. 

Es gibt aber auch folgende branchenspezifische Versionen: 

  • B3S im Sektor Energie 
  • B3S im Sektor Ernährung 
  • B3S im Sektor Wasser 
  • B3S im Sektor IT und Telekommunikation 
  • B3S im Sektor Gesundheit 
  • Branchenspezifischer Sicherheitsstandard Pharma 
  • Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus 
  • B3S im Sektor Transport und Verkehr 
  • B3S im Sektor Finanz- und Versicherungswesen 

Die BSI - KritisV (Beschreibung: Kritische Infrastrukturen nach BSI) beschreibt branchenspezifische Sektoren näher und nennt auch Schwellenwerte zur Bestimmung, ob es sich bei einem Betreiber um eine kritische Infrastruktur nach BSI handelt oder nicht. 

Dabei geht es nicht nur um medizinische Versorgung im Krankenhaus. Auch andere branchenspezifische Sicherheitsstandards werden wie gesagt seitens BSI berücksichtigt, um die Informationssicherheit und IT-Sicherheit durch die Beschreibung der Anforderungen und Vorgaben zu erhöhen. 

Welche Schutzziele des B3S gibt es und wie können diese erreicht werden?

Um die störungsfreie Erbringung der Leistungen und alle wesentlichen Geschäftsprozesse sicherzustellen, sind die KRITIS-Schutzziele wesentliche Voraussetzung. Unter diese Informationssicherheitsziele fällt die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit. 

Im Rahmen des vorliegenden B3S im Gesundheitswesen werden für die Schutzziele die folgenden Definitionen verwendet:

Patientensicherheit

wird definiert als die Freiheit von unvertretbaren Risiken einer physischen Verletzung oder eines Schadens an der Gesundheit von Menschen. Dies schließt auch die Vermeidung einer nachhaltigen psychischen Belastung ein. 

Behandlungseffektivität

stellt das zielgerichtete Zusammenwirken der beteiligten Prozesse und Informationen zur medizinischen Behandlung des Patienten, ggf. auf Basis eines Informationsaustausches zwischen unterschiedlichen verantwortlichen Organisationseinheiten, sicher. 

Verfügbarkeit

von Dienstleistungen und Funktionen eines Informationssystems, IT-Systems, der IT-Netzinfrastruktur oder auch von Informationen ist dann gegeben, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können. 

Integrität

bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Informationen und der korrekten Funktionsweise von Systemen. 

Authentizität

der Informationen ist sichergestellt, wenn sie von der angegebenen Quelle erstellt wurden. 

Vertraulichkeit

stellt den Schutz vor unbefugter Preisgabe von Informationen sicher. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in zulässiger Weise zugänglich sein.

Grundsätzlich gilt im Bezug zu Informationsaustausch im Krankenhaus, dass hier verschiedene Organisationseinheiten betroffen sein können. Bei den bestehenden Geschäftsprozessen in der Regel

  • 3.2.1.1 - Informationstechnik
  • 3.2.2.2 - Kommunikationstechnik

Sowie branchenspezifische Anwendungssysteme (3.2.3) wie z.B. KIS, LIS , RIS, PACS, DMS.

Des Weiteren beleuchtet der B3S einige IT-spezifische Bedrohungen:

  • BED7 - Hacking & Manipulation 
  • BED8 - Schadprogramme / Ransomware
  • BED9 - Systemissbrauch bzw. Innentäter & unbefugten Zugriff
  • BED10 - gezielte Störungen oder Verhinderung (DDoS)
  • BED11 - Social Engineering
  • BED12 - Identitätsmissbrauch (Pishing, Skimming, Zertifikatsfälschung)
  • BED14 - E-Mail-Account-Übernahme / Spamming

Auch in Bereichen, die ein ISB eher selten auf dem Radar hat, werden Risiken beschrieben. Beispielhaft hier (4.4.7) Transportlogistik -> Transport von Informationen (bspw. Datenträger durch Dienstleister).
 
Bei allen oben aufgeführten Anforderungen und Szenarien kann Cryptshare voll oder teilweise eine Lösung sein. Auch weitere Lösungen aus dem Pointsharp Portfolio bieten Ihnen nutzerfreundliche Lösungen für (6,13.7) sichere Authentisierung und (6.13.8) kryptographische Absicherung.

Ist ein B3S verbindlich für alle Betreiber kritischer Infrastrukturen in einer Branche?

Ein B3S erleichtert die korrekte Umsetzung aktueller sicherheitstechnischer Standards, selbst wenn diese für die Betreiber nicht verpflichtend sind. 

Der Gesetzgeber fordert in § 8a Abs. 1 BSI-Gesetz, dass Betreiber kritischer Infrastrukturen im Allgemeinen „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse […] treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Diese Anforderungen an die Versorgung können auch auf andere Weise als im B3S beschrieben erfüllt werden. Dabei soll der Stand der Technik (korrespondierend zum BSlim) eingehalten werden.“ 

Welche konkreten Maßnahmen innerhalb eines Sektors bzw. einer spezifischen Branche geeignet sein können, um die im BSI-Gesetz abstrakt formulierten Anforderungen umzusetzen, wird dabei weder in der entsprechenden Rechtsnorm noch der korrespondierenden Rechtsverordnung („BSI-KritisV“) geregelt. 

Kann ein B3S unabhängig von seinem Status angewandt werden oder erst nachdem die Eignung festgestellt wurde?

Der Autor kann ein B3S für branchenspezifische Sicherheitsstandards unabhängig von der vorliegenden Eignungsfeststellung vom BSI veröffentlichen und auch anwenden. Es ist in dem Sinne keine bindende Vorgabe. Die Einhaltung ist nicht verpflichtend, aber sinnvoll. 

Was ist mit Outsourcing -Wenn Dienstleistungen an Dritte ausgelagert wurden?

Der Betreiber einer kritischen Infrastruktur (im Sinne des BSIG) ist für die Umsetzung des § 8a Absatz 1 BSIG verantwortlich. Lagert er Teile davon an Dritte aus, liegt die Verantwortung für die Umsetzung des § 8a Absatz 1 BSIG weiterhin bei ihm. 
Es empfiehlt sich hier, die Umsetzung verpflichtend in die vertraglichen Vereinbarungen mit Dritten aufzunehmen und mit Partnern zu arbeiten, die den für Deutschland geltenden rechtssicheren Umgang mit Daten gewohnt sind. 

Beispiel: Ein KRITIS-Betreiber lagert Systeme zum Betrieb seiner kritischen Infrastruktur (gem. BSI-KritisV) zu einem Dienstleister im Ausland aus. Die kritische Infrastruktur selbst verbleibt dabei in Deutschland. 

Gehören dabei die ausgelagerten Systeme noch zum Geltungsbereich der KRITIS Kritischen Infrastruktur im Sinne von § 8a BSIG?

Ja! Der Anwendungsbereich des B3S umfasst alle „informationstechnischen Systeme, Komponenten oder Prozesse…, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“ (§ 8a Absatz 1 BSIG). 

Im Gesetz wird also nicht unterschieden, wo sich Systeme oder Prozesse befinden. Für den Anwendungsbereich ist entscheidend, ob sie für die kritischen Infrastruktur in Deutschland maßgeblich sind oder nicht. 

Was versteht man im Zusammenhang mit § 8a BSIG unter "Stand der Technik"?

Geht es um den Sicherheitsstandard, so ist die technische Entwicklung immer schneller als die Gesetzgebung. 
Deshalb hat es sich bewährt, in Gesetzen auf den "Stand der Technik" zu referenzieren, anstatt am Versuch zu scheitern, diesen im Gesetz zu definieren. 

Was in Deutschland „Stand der Technik“ ist, lässt sich auch im Sektor medizinische Versorgung im Krankenhaus zum Beispiel anhand von Standards und Normen fallweise belegen. Allgemeingültig und abschließend beschreiben lässt es sich nicht. 

Die Beschreibung des IT-SiG zum Stand der Technik: 

„Auf Grund der weitreichenden gesellschaftlichen Auswirkungen ist bei den technischen und organisatorischen Vorkehrungen der Stand der Technik zu berücksichtigen. Stand der Technik in diesem Sinne ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Bei der Bestimmung des Standes der Technik sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Die Verpflichtung zur Berücksichtigung des Stands der Technik schließt die Möglichkeit zum Einsatz nicht aus, die einen ebenso effektiven Schutz wie die anerkannten Vorkehrungen nach dem Stand der Technik bieten. 
Die Erstellung eines B3S ist eine Möglichkeit für eine Branche, ausgehend von der Expertise der Betreiber den Stand der Technik für ihre Branche zu formulieren.“ 

Insgesamt bietet B3S im Kontext mit einem zuverlässigen Partner wie Pointsharp einen vielversprechenden Ansatz für die aktuellen Herausforderungen im Gesundheitswesen. 

Verwandte Inhalte