it-sig, up kritis, die it-sicherheit krankenhäuser treffen ... · betreibern kritischer...
Post on 09-Jun-2020
2 Views
Preview:
TRANSCRIPT
IT-SiG, UP KRITIS, die IT-Sicherheit – Krankenhäuser treffen IT-Realität Aktueller Stand zum UP KRITIS in der Gesundheitsbranche, Bedeutung und Auswirkungen für Krankenhäuser
Jürgen Flemming, Leiter Projektmanagement und Organisation Marienhospital Stuttgart, Vinzenz von Paul Kliniken gGmbH
Datenschutz in der Medizin - Update 2017 Fachtagung Hamburg, 01.02.2017
Die IT-Landschaft im Gesundheitsbereich verändert sich rapide, ob wir das wollen oder nicht – dies betrifft auch die Patienten
Aktueller Trend: Digitalisierung Derzeit die wichtigste
Entwicklung, da auf einer höheren Abstraktionsebene
Sehr hoher Veränderungsdruck seitens der Consumer, aber auch extremer Druck von großen Unternehmen der Consumer-IT-Branche
Dadurch auch Veränderungen in der Krankenhaus-IT zu erwarten
Kurze Hype-Zyklen: Unternehmen setzen auf die Cloud Big-Data-Analytics ist die Zukunft Social Media treiben die IT voran Bring your own device (BYOD) Internet of Things (IoT) wird die Technik revolutionieren
– Industrie 4.0 Elektromobilität ist die Zukunft des Automobils Digitalisierung ist die neue industrielle Revolution
Die Digitalisierung im Gesundheitswesen und die Entwicklung der eHealth eröffnet große Marktpotentiale und findet das Interesse großer Konzerne
Umsatzprognose für den globalen mHealth-Markt ( Mio. USD)
Quelle:Insights HIMSS Europe, Vol. 3, Nr. 4
Umsatzprognose Telemedizin weltweit (Mio USD)
Digitalisierung: der Einsatz von IT zur Unterstützung von Prozessen
eHealth: der Einsatz von IT im Gesundheitswesen mHealth: der Einsatz von eHealth-Systemen auf
mobilen Endgeräten
Alphabet (Google), Apple, IBM,… die Global Player investieren weltweit große Summen in die Entwicklung von mHealth-Anwendungen
Quelle: Statista
2013 wurde eine durchgehende EPA nur in 63% der Krankenhäuser eingesetzt, externer Datenaustausch war nur in 53% aller Häuser möglich
Externe Faktoren und die Arzt-Patienten-Beziehung beeinflussen die Entwicklung der Krankenhäuser entlang des IDC Reifegradmodells
Interne Faktoren wie die Prozessoptimierung: Digitalisierung im Krankenhaus soll Verbesserungen bei Effektivität, Effizienz und Qualität unterstützen (z.B. elektronischer Workflow für Bestellungen und Rechnungen, elektronische Leistungsanforderungen und –Dokumentationen,..)
Externe Faktoren, wie Standort- und Sektor-übergreifende Kommunikation von Gesundheitsdaten, die Einführung oder Entwicklung neuer technische Verfahren und der verstärkte Einsatz intelligenter (smarter) Systeme (IoT)
Die Arzt-Patienten-Beziehung: Patienten fordern zunehmend elektronische Kommunikation (Befunde, Briefe etc. per Mail; Terminkoordination via Internet,…)
Mündige Patienten: Der Arzt konkurriert mit Suchmaschinen
Es wird alles digitalisiert werden, was digitalisiert werden kann – Das Bundesgesundheitsministerium überarbeitet seine Strategie dazu
Die Studie empfiehlt dem BMG 9 Handlungsfelder:
Versorgungsorientiertes Zielbild für eine zukünftige eHealth-Landschaft
Beschleunigter Ausbau von Anwendungen in den Bereichen eHealth und Big Data
Erhöhung der Adoption und Akzeptanz digitaler Technologien durch vorrangige Anwendergruppen
Fortentwicklung eines umfassenden regulatorischen Rahmens für die Digitalisierung im Gesundheitswesen
Bereitstellung notwendiger Infrastrukturen zum übergreifenden Datenaustausch
Nutzung der eigenen Digitalisierungspotentiale im Geschäftsbereich des BMG
Versorgungsnahe Ausrichtung der Förder- und Forschungspolitik
Stärkung der digitalen Gesundheitswirtschaft in Deutschland
Einbettung in den internationalen Kontext
Datenschutz, Datensicherheit und Verfügbarkeit der Daten – das sind die Säulen der Informationssicherheit
Vertraulichkeit (Datenschutz)
Integrität (Daten-
Sicherheit) Verfügbarkeit
Informations- Sicherheit
Die fünf Haupt-Risiken für die Informationssicherheit sollten regelmäßig im Rahmen des Risikomanagements geprüft werden
Vertraulichkeit (Datenschutz)
Integrität (Daten-
Sicherheit) Verfügbarkeit
Informations- Sicherheit
Technisches
Versagen Organisatorisches
Versagen
Menschliches
Fehlverhalten
Höhere Gewalt
Vorsatz
(Cybercrime)
Mit der Digitalisierung nehmen die externen und internen Bedrohungen der IT-Systeme in Krankenhäusern weiterhin dramatisch zu
Gefährliches Duo: Erpressungstrojaner kommt mit Word-Datei
Deutsche Klinik für mehrere Tage durch Verschlüsselungs-Trojaner lahm gelegt
Internet of Things =
Internet of Threats
BSI Pressemitteilung vom 08.02.2016: IT-Sicherheitsvorfälle beeinträchtigen Funktionsfähigkeit Kritischer Infrastrukturen
Datendiebstähle und Angriffe auf die Betriebsfähigkeit von Krankenhäusern erreichten 2016 weltweit neue Spitzenwerte
Während die Anzahl der erfolgreichen Diebstähle von Patientendaten in 2016 nur mäßig schwankte, zeigt die Anzahl der gestohlenen Datensätze extreme Schwankungen
Anzahl der in den USA in 2016 gestohlenen Patienten-Datensätze pro Monat
Monatliche Anzahl der erfolgreichen Diebstähle von Patientendaten in den USA in 2016 Quelle: Protenus, BREACH BAROMETER REPORT: YEAR IN REVIEW
Krankenhaus-IT Journal EXTRA vom 13.12.2016: Ransomware-Angriffe stiegen 2016 um 80 Prozent
Bereits die 2011 vom BMI verabschiedete Cyberstrategie setzt den Schwerpunkt auf den Schutz kritischer Infrastrukturen
Schaffung sicherer IT-Infrastrukturen in Deutschland
Stärkung der IT-Sicherheit in der öffentlichen Verwaltung
Aufbau eines nationalen Cyber-Abwehrzentrums und Schaffung eines nationalen Cyber-Sicherheitsrates
Wirksame Kriminalitätsbekämpfung auch im Cyber-Raum ermöglichen
Effektive Zusammenarbeit für Cyber-Sicherheit innerhalb der EU und weltweit
Einsatz verlässlicher und vertrauenswürdiger IT-Systeme sicherstellen
Personalentwicklung in den Bundesbehörden
Schaffung eines Instrumentariums zur Abwehr von Cyber-Angriffen
Schutz kritischer Infrastrukturen vor Cyberkriminalität
Das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz (IT-SiG) stärkt vor allem das BSI. Details der Umsetzung regelt eine Rechtsverordnung
Betreiber kritischer Infrastrukturen müssen die Mindestanforderungen an die IT-Sicherheit erfüllen (B3S: Branchenspezifische Sicherheitsstandards)
Kritische IT-Sicherheitsvorfälle müssen von den Betreibern kritischer Infrastrukturen an das BSI als zentrale Stelle gemeldet werden
Anbieter von Telekommunikations- und Telemedien-Diensten müssen weitergehende Anforderungen erfüllen
Das BSI erstellt im Auftrag und für das BMI jährlich einen Bericht über die IT-Sicherheitslage, der vom BMI veröffentlicht wird. Damit soll die Sensibilität in der Bevölkerung für Themen der IT-Sicherheit erhöht werden
Das IT-SiG definiert die kritischen Infrastrukturen recht unscharf, die Konkretisierungen erfolgen in der BSI-KritisVO (1/2)
Definition der kritischen Infrastrukturen – im IT-SiG eher abstrakt, exakte Definition in den Rechtsverordnungen nach BSI-KritisVO, Korb 1 und 2
Stärkung des BSI:
Information der Öffentlichkeit über kritische Sicherheitsfälle durch das BSI
Das BSI kann Produkte oder Systeme auf ihre IT-Sicherheit prüfen und die Ergebnisse veröffentlichen
Das BSI soll die Öffentlichkeit durch Veröffentlichungen auch „außerhalb“ des jährlichen Berichts an das BMI für Fragen der IT-Sicherheit sensibilisieren
Betreiber kritischer Infrastrukturen können sich vom BSI beraten lassen
Das BSI erarbeitet Vorschläge für Mindeststandards der IT-Sicherheit für Bundesbehörden, das BMI verabschiedet
Das BSI wird als zentrale Stelle für alle Meldungen zur IT-Sicherheit der kritischen Infrastrukturen festgelegt
Die Betreiber kritischer Infrastrukturen dürfen bei den für sie relevanten Standards mitreden, müssen sich aber alle 2 Jahre prüfen lassen (2/2)
Vorgaben für die Betreiber kritischer Infrastrukturen: Vorschlagsrecht für branchenspezifische Mindeststandards für die IT-
Sicherheit Mitarbeit in den Branchen-Arbeitskreisen des UP KRITIS Innerhalb von 2 Jahren nach Inkrafttreten der Rechtsverordnung müssen
die Betreiber kritischer Infrastrukturen sich auditieren (lassen) und damit die Einhaltung der Vorgaben des IT-SiG nachweisen
Diese Prüfung muss bei den Betreibern kritischer Infrastrukturen alle 2 Jahre erfolgen. Die Möglichkeiten einer Selbst-Auditierung werden derzeit diskutiert
Die Betreiber der kritischen Infrastrukturen haben eine Meldepflicht für erhebliche Störungen
Der UP KRITIS teilt die Bereiche mit kritischen Infrastrukturen in 8 Branchen auf, Staat und Verwaltung laufen gesondert
Quelle: UP KRITIS
Branchenspezifische Sicherheitsstandards werden dem BSI zur Genehmigung vorgelegt, mit den zuständigen Behörden abgestimmt und frei gegeben
Quelle: UP KRITIS / BSI
Anspruch und Wirklichkeit – die 2. Rechtsverordnung zum UP KRITIS wird voraussichtlich im Februar 2017 als Entwurf veröffentlicht
2015 2016 2017 Ab 2019
Finalisierung der 1. Rechtsverordnung zum UP KRITIS
Betroffen sind die Branchen: Energie Wasser Ernährung IKT
2. Rechtsverordnung zum UP KRITIS
Betroffen hier die Branchen Transport und
Verkehr Finanzen Gesundheit
Einrichtung der Kontaktstellen
Umsetzung der Meldepflichten
Ende der Karenzzeit Zertifizierung /
Auditierung der kritischen Infrastrukturen (dann alle 2 Jahre)
Jährliche Prüfung durch den Betreiber auf Einhaltung der Mindeststandards
2016 2017 2018 Ab 2020
02.05.2016
1. RVO
Entwurf
voraussichtlich
02/2017
Aktuell kritische Punkte / Themen in Bearbeitung
Erarbeitung eines nicht toxischen B3S für die Krankenhäuser, ggf. differenziert ausgestaltet
Kommentierung und Abstimmung des Entwurfs zur 2. Rechtsverordnung (Verbändeanhörung)
Damit Klärung welche Häuser künftig zur kritischen Infrastruktur zählen werden Welche Kosten entstehen für diese Häuser und wer trägt diese Kosten ? Wie
verteilen sich diese auf Investitionen und Betrieb ? Konkrete Ausgestaltung der Inhalte der Meldungen kritischer Zwischenfälle,
Hinweise zur Klassifikation der Kritikalität Struktur der SPOC und GÜAS (Gemeinsame übergeordnete Ansprechstelle)–
wer kann diese Aufgabe im Gesundheitssektor übernehmen (24 x 7, Vertrauensstellung)
Details der Auditierung – wer darf auditieren, welche Qualifikation / Ausbildung notwendig, welche Daten genau gehen wann / warum ans BSI
19
Vielen Dank für Ihre Aufmerksamkeit !
Jürgen Flemming Vinzenz von Paul Kliniken gGmbH Böheimstraße 37
70199 Stuttgart
Tel.: 0711 – 6489 – 8190 eMail: Juergen.Flemming@vinzenz.de
Lehrauftrag Projektmanagement
top related