"Unser Produkt enthält 15% Informationssicherheit!! Schon immer!! Sie können also bedenkenlos 15% des Preises als Maßnahme für Informationssicherheit in ihrem KHZG-Antrag ansetzen!! Keine weiteren Belege notwendig!!"
Emails wie diese erreichen deutsche Krankenhäuser derzeit zu Hauf. Speziell: deren IT-Abteilungen und IT-Dienstleister.
Das KHZG treibt Blüten!
Aber warum?
Der Grund ist: die Fristen für die Einreichung der KHZG-Förderanträge kommen langsam näher. Und für jeden beantragten Fördertatbestand sind Krankenhäuser verpflichtet, 15% in die Informationssicherheit zu investieren.
Kein Wunder, dass sich jetzt für viele Krankenhäuser die Frage stellt:
Was beantragen wir denn da jetzt?
Eine Firewall? Verschlüsselte Festplatten? Die neue Version des sündhaft teuren Virenscanners?
Schwierig! Die Firewall schützt ja nicht speziell genau einen Fördertatbestand. Die Festplatten sind vielleicht schon verschlüsselt. Und der Updatevertrag mit dem Virenscanner wurde vor 3 Monaten erneuert.
Softwarehersteller wittern Morgenluft
Softwarehersteller setzen verständlicherweise alles daran, den Krankenhäusern die Anschaffung ihrer Produkte so einfach wie möglich zu machen! Völlig legitim.
Das führt dazu, dass so lustige Emails versendet werden wie: "Unser Produkt enthält 15% Informationssicherheit!! Schon immer!" (Was so nett an "Achtung, kann Spuren von Nüssen enthalten" erinnert.)
Aber leider ist das nicht so einfach. Denn da ist ja noch der "berechtigte IT-Dienstleister", den das Krankenhauszukunftsgesetzt ja als "Quasi-Gutachter" für die beantragten Fördertatbestände einsetzt:
Durch die Unterweisung der IT-Dienstleister sollen diese befähigt werden, zu bewerten, ob die Fördervorhaben sowohl mit Blick auf die Ziele der Förderung, aber auch mit Blick auf die zeitlichen, finanziellen und inhaltlichen Rahmenbedingungen, realisiert werden können. (Förderrichtlinie 03, Seite 41)
Und:
[Dem Antrag beigefügt ist] ein Nachweis des oder der beauftragten, berechtigten externen oder krankenhausinternen IT-Dienstleisters darüber, dass die Förderrichtlinien des BAS eingehalten wurden. (Förderrichtlinie 03, Seite 49)
Unser Produkt enthält 15% Informationssicherheit!! - Für IT-Dienstleister ein Problem?
Die berechtigten IT-Dienstleister haben also eine wichtige Aufgabe: Zu bewerten, ob die Förderprojekte aus inhaltlichen Rahmenbedingungen und gem. der Förderrichtlinien eingehalten werden.
Spricht etwas dagegen, hier aus Gefälligkeitsgründen einen solchen Nachweis auszustellen?
Das kommt darauf an: Es ist durchaus möglich, dass das BAS hier in der nächsten Zeit stichprobenartige Prüfungen durchführt und dem ein oder anderen Dienstleister auf den Zahn fühlt. Also bspw. nähere Angaben zu den genannten Nachweisen sehen möchte. - Prinzip Mao: Bestrafe einen, erziehe hundert!
Was dann?
Die einzige Möglichkeit für den IT-Dienstleister ist dann, die obige Email ("Unser Produkt enthält 15% Informationssicherheit!!") an das BAS weiterzuleiten. Wenn das nicht ausreicht, kann es sein, dass das BAS die Förderung ablehnt.
Mal ehrlich: Das obige Statement mit Fakten zu untersetzen, würde doch bedeuten, dass der Budgetplan des Softwareherstellers seit Anbeginn der Entwicklung (also seit vielen Jahren!) ausweist, dass immer schon zwei Budets in die Entwicklung eingeflossen sind. Eines für Features und eines für Sicherheit. Und das letztere betrug immer schon 15% des ersteren. Nicht sehr realistisch.
Und wenn das BAS ablehnt, stehen gegenüber dem IT-Dienstleister seitens des Krankenhauses schnell Schadensersatzforderungen im Raum.
Schadensersatzforderungen?
Denn der Softwarehersteller wird auf Anfrage kaum über die letzten Jahre der Entwicklung einen Budgetplan ausweisen können, aus dem ersichtlich ist, dass schon seit der ersten Produktversion die Entwicklung penibel aus zwei separaten Töpfen bezahlt wurde: einem für die Features und einem für Sicherheit. Und dass letzterer genau 15% betrug.
Wie die Ableitung der 15% für Informationssicherheit klappt
Aber was lässt sich hier tun?
Zunächst einmal: Informationssicherheit ist kein Produktmerkmal. Eine Aussage "Unser Produkt enthält 15% Informationssicherheit!!" ist in etwa genau so sinnvoll wie eine Werbung eines Automobilherstellers, die da lauten würde:
"Das Auto enthält 15% Investitionen darin, dass Sie damit sicher ein Rennen gewinnen können. Wir wissen zwar nicht, wer Sie sind und wie gut Sie Auto fahren können, aber die 15% stimmen!"
Informationssicherheit entsteht immer nur in Prozessen. In der Zusammenarbeit zwischen Menschen und Maschinen.
Wenn Sie IT-Dienstleister sind und sinnvolle Maßnahmen für die Informationssicherheit für Ihre Kunden (Krankenhäuser) ableiten wollen, gehen Sie risikobasiert vor! Das ist ab dem 01.01.2022 sowieso gesetzlich vorgeschrieben und die KRITIS-Krankenhäuser machen das bereits so:
- Sammeln Sie alle Assets, die Ihre Förderprojekte berühren. Also alle Menschen (Benutzer wie Ärzte, Pflegepersonal, aber auch Patienten oder System-AdminsitratorI), alle Hardware-Assets (Computer, Speicher, ...), alle Software-Assets, alle Räumlichkeiten, alle Netzwerke, alle Prozesse (in denen Ihr Förderprojekt eine Rolle spielen soll).
- Seien Sie kreativ: überlegen Sie sich, was bei den Assets genau schiefgehen könnte mit Ihrer Informationssicherheit: wo könnten vertrauliche Informationen offen gelegt werden? Wo könnten sie verfälscht werden und was müsste passieren, damit sie nicht mehr verfügbar sind?
- Was könnten Sie dagegen tun? Welche Sicherheitsmaßnahmen müssten Sie treffen, damit das nicht passiert? Müssen Sie ggf. Benutzer schulen? Oder ein Access Management für Software oder Räume aufsetzen? Oder einen wichtigen Server redundant aufsetzen, um ausfallsicher zu sein?
Download
Hier haben wir eine Vorlage für die risikobasierte Ableitung von Sicherheitsmaßnahmen für Sie bereitgestellt. (Format: Microsoft Word)
Risikobasierter Ansatz
Das beschriebene Vorgehen heißt "Risikobasierter Ansatz" - und der ist über den B3S der DKG sowieso gefordert. Pluspunkt: Sie sind gegenüber Antragsprüfungen durch das BAS ziemlich wasserdicht!
Unser Tipp
Wenn Sie als IT-Dienstleister Maßnahmen für IT- und Informationssicherheit ableiten oder gegenprüfen sollen, wählen Sie den risikobasierten Ansatz.
- Überlegen Sie, welche Assets ("Bestandteile und Personen") in Ihrem Förderprojekt vorkommen. Denken Sie ganzheitlich. Eine Software alleine ist niemals "sicher" - Sicherheits ensteht immer erst im Zusammenspiel mit den Benutzern.
- Welchen Risiken sind die gefundenen Assets ausgesetzt? Was kann hier schiefgehen, so dass Vertraulichkeit, Integrität und Verfügbarkeit (und dadurch Patientensicherheit und Behandlungseffektivität) verloren geht?
- Welche IT-Sicherheitsmaßnahmen könnte man dagegen einleiten?
Wenn Sie noch Fragen haben oder ein paar IT-Sicherheitsmaßnahmen ableiten wollen: Vereinbaren Sie hier einen unverbindlichen und kostenfreien Gesprächstermin mit uns.
