KRITIS: Auswirkungen der BSI‐Verordnung auf diePatientensicherheit in Krankenhäusern
Dr. med. Alexander Euteneier MBA
APS‐Jahrestagung03./04. Mai 2018Berlin
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Herausgeber und Hauptautor: Alexander EuteneierISBN 978‐3‐662‐45149‐6Erscheinungsdatum: 17. November 2015, 670 Seiten35 Autoren aus dem deutschsprachigen RaumKaufpreis 99,99.‐€
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Unsere Ausbildungen und Seminare
Herrsching am Ammersee: 07.– 09. Juni & 05.– 07. Juli 2018
Berlin 05. Juni 2018
Cyber‐Sicherheit für das Krankenhaus
Zertifizierte Ausbildung zum klinischen Risikomanager
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Cybersicherheit – Fallbeispiele BSI – Verordnung Erste Schritte
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Grafik: Prof. Dr. Fredmund Malik, St. Gallen
Die Grosse Transformation des 21 Jahrhunderts – die Alte Welt, wird zu einer Neuen Welt, die wir noch nicht kennenDigitales IoT
Zeitalter der Disruption
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Verlagerung klassischer Kommunikationsrisiken
in informationstechnische Prozessrisiken
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Cybersicherheit –Fallbeispiele
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Angriff im OP: Hacker könnten Narkosegeräte manipulieren
Sonntag, 09.08.2015 – 18:39 Uhr
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Montag, 28.12.2015
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Montag, 15.02.2016
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Industrialisierung von HackingDatendiebstahl als Milliardengeschäft
$ 2500$ >1000
$ 1 /15 friends$ 1
$ 0,25‐60
$ 300 $ ‐7/hour$ >50 $ 50/500k
$ 150
$ 450 Mrd. –$ 1.000 Mrd.
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Device ThreatsNetworks Threats
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
IT‐Risiken in IT‐Netzwerken:
physische
technische
organisatorische
verfahrenstechnische
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
IT‐Notfälle: Brand
Feuchtigkeitsschäden und Wasser
Fremdzugriff
Stromausfall, ‐schwankung und Überspannung
Ausfall von Netzwerkkomponenten (aktive und passive Komponenten),
elektromagnetische Störungen
Hackerangriffe mittels eingeschleuster Schadsoftware
(Fehl‐)Verhalten der eigenen Mitarbeiter
Nicht‐Verfügbarkeit von Internet oder Telefonie
etc
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Ergebnisse der BSI‐Umfrage zur Betroffenheit durch Ransomware im deutschen Gesundheitswesen Frühjahr 2016
Ransomware im deutschen Gesundheitswesen
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
BSI – Software‐Schwachstellen ‐ 2016
Anzahl aller Schwachstellen der 10 verbreitetsten in der BSI‐Schwachstellenampel erfassten Softwareprodukte.
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
IEC 80001 IT – Risiken
BSI DIE LAGE DER IT‐SICHERHEIT IN DEUTSCHLAND 2016
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Aktuelle Cyber‐Sicherheitsindustrie
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
BSI – Verordnung
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
IT‐Sicherheitsgesetz (Juli 2015) ‐ Artikelgesetz
Das IT‐Sicherheitsgesetz beinhaltet insbesondere umfassende Anforderungen an KRITIS‐Betreiber. Diese treten nach Konkretisierungen in den Rechtsverordnungen in Kraft.
Meldepflichten Benennung einer Kontaktstelle und Meldung erheblicher Sicherheitsvorfälle an das BSI
IT SicherheitsstandardsAngemessene organisatorische und technische Sicherheitsmaßnahmen nach Stand der Technologie, branchenspezifische Sicherheitsstandards sind möglich
AuditsDie Erfüllung der IT Sicherheitsstandards ist alle zwei Jahre durch Audits, Prüfungen oder Zertifizierungen zu belegen.
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Nationale Strategie zum Schutz Kritischer Infrastrukturen
Im Jahr 2009 veröffentlichte das Bundesministerium des Innern (BMI) die „Nationale Strategie zum Schutz Kritischer Infrastrukturen“, in der auch auf die besonderen Risiken und Gefährdungen für Informations‐infrastrukturen Bezug genommen wird.
K1: 03.05.2016 K2: 31.05.2017
K1
K1
K1
K1
K2
K2
K2
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Nach § 8a BSIG, müssen Betreiber Kritischer Infrastrukturen die Einhaltung von IT‐Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Wesentlichen Kriterien
Vertraulichkeit: Der Arzt muss die Vertraulichkeit der übermittelten Information gewährleisten, so dass nicht Unbefugte Kenntnis von diesen erhalten.
Authentizität: Die sichere Zuordnung der patientenbezogenen Information zum Urheber (Absender) und der Nachweis, dass die Information nicht verändert wurde, müssen gegeben sein.
Integrität: Die patientenbezogene Information muss in allen Phasen der Verarbeitung unversehrt, vollständig, gültig und widerspruchsfrei bleiben.
Verfügbarkeit: Die patientenbezogene Information muss dort, wo sie benötigt wird, zeitgerecht und bearbeitbar zur Verfügung stehen.
Datenschutz und Cyber‐Sicherheit
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Schwellenwerte für einzelne Branchen
Umsetzungsplans Kritische Infrastrukturen im Gesundheitswesen: Ab 1.4.2017
Betroffenen Krankenhäuser: > 30.000 vollstationäre Fälle / a
Meldepflichten Ab dem Zeitpunkt der Benennung der Kontaktstelle entsteht für den Betreiber auch die Verpflichtung zur Meldung von „erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“ der eingesetzten informations‐technischen Systeme, Komponenten und Prozesse, wenn diese den Ausfall oder die Beeinträchtigung der Funktionsfähigkeit der betriebenen kritischen Infrastruktur zur Folge hatten oder hätten haben können. (www.dkgev.de)
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Meldepflichtige IT‐Störungen
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Benennung der IT-Ansprechpartner (IT-Sicherheits-beauftragter) aus den Kliniken
beim BSI Dezember 2017 Erster Audit-Bericht Juli 2019
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Erste Schritte
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
IT‐Grundschutzkatalog
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Die BSI‐Standards 200‐1, 200‐2 und 200‐3 lösen seit Oktober 2017 die BSI‐Standards der Reihe 100‐x ab.Der BSI‐Standard 200‐1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er ist weiterhin kompatibel zum ISO‐Standard 27001 und berücksichtigt die Empfehlungen der anderen ISO‐Standards wie beispielsweise ISO 27002.Der BSI‐Standard 200‐2 bildet die Basis der bewährten BSI‐Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS). Er etabliert drei neue Vorgehensweisen bei der Umsetzung des IT‐Grundschutzes. Aufgrund der ähnlichen Struktur der beiden Standards 200‐1 und 200‐2 können Anwender sich gut in beiden Dokumenten zurechtfinden.Der BSI‐Standard 200‐3 beinhaltet erstmals gebündelt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT‐Grundschutzes. Der Vorteil für die Anwender ist ein deutlich reduzierter Aufwand, um ein angestrebtes Sicherheitsniveau zu erreichen. Der Standard bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT‐Grundschutz‐Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT‐Grundschutz‐Analyse anschließen möchten.
BSI ‐ Standards
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Audits gemäß B3S als Nachweis der IT‐Sicherheit
Branchensicherheitsstandard als Prüfgrundlage
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Relevante Dokumente für das BSI
Ergänzende Dokumente IT‐Sicherheitsgesetz/BSI‐Gesetz
ISO/IEC DIS 27001:2013
ISO/IEC FDIS 27002:2013
ISO/DIS 27799:2014
IEC 80001
IEC 60601‐1‐8
KRITIS‐Sektorstudie Gesundheit, nicht‐öffentliche Version, Entwurf, 02/2016
BSI‐Grundschutz
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
ISO/IEC 27001:2013 GRC – Ansatz
Informationssicherheit ManagementsystemISMS nach ISO/IEC 27001
= Information Systems Audit and Control Association
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Cyber‐Sicherheit
THIRD Line of DefenceInterne / externe Audits
SECOND Line of DefenceRisikomanagement
FIRST Line of DefenceManagement
Cybersicherheit ComplianceInterne TestsKontrollen
Risiko‐ID und BewertungMaßnahmen zur R‐ReduzierungBusiness Continuity Management
SelbstbewertungenManagement‐ReviewRessourcenbereitstellungRisiko‐Strategie
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Cyber‐Sicherheit
Primär muss ein Verständnis des Managements vorhanden sein für die Notwendigkeit von Maßnahmen zur Cyber-Sicherheit, den Schutzbedarf der Patientenprozesse sowie deren
Abhängigkeiten und Cyber-Bedrohungen durch Einsatz von IT.
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Prüfverfahrenskompetenzfür § 8a BSIG
Audit –Kompetenz
IT‐Sicherheits ‐Kompetenz
Branchen –Kompetenz
Kompe
tenz‐
bereiche
In den letzten 3 Jahren: Auditteamleitungen von 4
Erstparteien oder Zweitparteien‐Audits 30
PT inkl. IT‐AnteilOder: Beteiligung an Zertifizierungen 30 PT, davon max. 10 PT als
Fachexperte
In den letzten 8 Jahren:Berufserfahrung 5 Jahre IT, davon
2 Jahre IT‐Sicherheit
In den letzten 5 Jahren:3 Jahre
Berufserfahrung im zu prüfenden
Prüfgegenstand
Kompe
tenz‐‐
anforderun
gen
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Prüfgrundlage
Es gibt folgende Möglichkeiten
Auf Basis eines geeigneten B3S
Auf Basis einer individuell definierten Prüfgrundlage
Mischung aus beiden
Anmerkung: Sofern ein B3S vorliegt, dessen Eignung durch das BSI festgestellt wurde und in diesem Anforderungen stehen, die von denen der Orientierungshilfe abweichen, gehen die spezifischen Anforderungen des B3S vor
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Kategorisierung der Verfügbarkeit im Rahmen von
»service level agreements«Klasse VerfügbarkeitInstabil <90 %Labil 90–99 %Stabil 99 %Verfügbar 99,9 %Hochverfügbar 99,99 % Fehlerunempfindlich 99,999 %Fehlertolerant 99,9999 %»Six sigma level« 99,99966 %Fehlerresistent 99,99999 %
ca. 8 h/aca. 0,88 h/a
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Shell-Modell
Hörmann, in Handbuch klinisches Risikomanagement, Euteneier, 2015
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
screw itLet´s do it
KRITIS: Auswirkungen der BSI‐Verordnung auf die Patientensicherheit in Krankenhäusern © Dr. Alexander Euteneier, MBA I 04. Mai 2018 I APS‐Jahrestagung 2018 I Berlin
Dr. med. Alexander Euteneier, MBA Risikomanagement‐ und Prozessmanagement‐BeratungFacharzt für Chirurgie, Notfallmedizin
Euteneier Consulting GmbH Neuhauserweg 582211 Herrsching am AmmerseeTel: 08152 9991881Mobile: 0151 1660 8888 Email: ae@euteneier‐consulting.de www.euteneier‐consulting.de Reg. Gericht München HRB 209332
Besten Dank für Ihre Aufmerksamkeit