Neuerungen im B3S Gesundheitsversorgung im Krankenhaus mit Fokus auf Telematik / Informationssicherheit in Krankenhäusern - Starterpaket § 75c SGB V

Einschlägige Beispiele zeigten in den letzten Monaten, wie wichtig ein
funktionierendes Sicherheitsmanagement in Krankenhäusern (KH) nicht nur auf technischer, sondern auch auf organisatorischer Ebene ist. Betraf dies bis vor Kurzem eher größere KH, wird seit Novellierung des SGB V von allen KH die Etablierung von Information Security Management (ISM) ab 01.01.22 gefordert. KH und insbes. die IT-Abteilungen sind in der Pflicht, notwendige Maßnahmen umzusetzen, damit ISM nicht nur theoretisch betrachtet, sondern auch praktisch mit Arbeitsabläufen, IT-Unterstützung und Dokumentation untersetzt ist.

IT Service Management (ITSM), basierend auf ITIL, hat sich international etabliert und ist anerkannt. Ein Teil von ITIL sind Abläufe des Security Managements sowie des ISM. Um die Entscheidungs- und Gestaltungsfreiheit der IT-Abteilungen und des Krankenhauses selbst zu behalten, treten Open Source-Softwarelösungen ins Blickfeld. KIX ist eine solche OpenSource-Software für ITSM und durch umfassende Workflow-Zertifizierung geeignet. verinice ist auf ISM fokussiert und beinhaltet u.a. die Implementierung des branchenspezifischen Sicherheitsstandards für die Gesundheitsversorgung im Krankenhaus (B3S Krankenhaus).

Eine der wichtigsten Informationsquellen für die IT-Abteilung ist die Asset- u.
Configuration Management Database (CMDB). Durch das KRITIS-Programm des Bundes zum Schutz kritischer Infrastrukturen und jetzt durch die Forderungen des SGB V, nähern sich physischer Schutz und IT-Sicherheit an. Technisches Equipment wächst zusammen, die CMDB und darauf aufbauende Arbeitsabläufe rücken stärker in den Focus.

Anhand praktischer Beispiele wird die Integration von KIX und verinice im konkreten Kontext des ISM eines Krankenhauses erläutert. Unter dem Gesichtspunkt der Zusammenführung aller Informationen für Sicherheitsmanagement und Audits, wird die Integration der Abläufe im
Security Management in die des klassischen IT-Service aufgegriffen. Auf die technische Integration der CMDB zur Modellierung des IT-Verbundes bzw. der IT-Organisation wird eingegangen. Möglichkeiten zur Schutzbedarfsfeststellung und darauf basierender Risikobewertung sowie die Ableitung umzusetzender Sicherheitsmaßnahmen werden aufgezeigt. Ebenso die technische Integration von KIX und verinice in die umgebende IT-Landschaft, in Überwachungssysteme, Server- und Clientmanagement-Lösungen.

Verschiedene ISMS-Standards haben meist auch verschiedene Anforderungen.
Überschneidungen gibt es jedoch immer. So auch bei dem Thema Penetrationstests.

Die ISO 27001 fordert Prüfungen wie beispielsweise Penetrationstests eher implizit im Control A.18.2.3 ("Überprüfung [...] technischer Vorgaben").

Der IT-Grundschutz des BSI ist hier beispielsweise etwas konkreter und fordert im Rahmeneiniger Grundschutz-Bausteine Penetrationstests als explizite Anforderungen (z. B. bei Webanwendungen: APP.3.1.A22).

Im Rahmen des Vortrags soll aus der Sicht eines ISMS-Beraters und Penetrationstesters zu Beginn erläutert werden, was ein Penetrationstest eigentlich ist, wie ein typisches Projekt abläuft bzw. ablaufen sollte, welche Vorteile ein Penetrationstest überhaupt bietet und welche Fallstricke es möglicherweise geben könnte. Darauf aufbauend werden verschiedene Beispiele und Anwendungsfälle aus Standards herangezogen und in Bezug auf
sinnvolle Umsetzungsmöglichkeiten beleuchtet. Abschließend sollen grundsätzlich sinnvolle Ansätze aufgezeigt werden, wie die Thematik
Penetrationstests in ein ISMS eingebunden werden und was sich durch ein gutes Zusammenspiel der beiden Themen ergeben kann.

Sernet stellt den Cloud Computing Compliance Controls Catalogue (C5) als Modul bereit, der für viele Kunden momentan wichtige Anhaltspunkte zur Absicherung ihrer Cloud Strategie bietet.

Für Sicherheits- und Datenschutzbeauftragte stellt sich oft die Frage, wie im Detail die Sicherheit der Cloud Services bewertet werden kann. Die automatisierte Übernahme des M365 Compliance Manager Reports in Verinice könnte dazu ein hilfreicher Schritt sein.

Die Sicherheitsanforderungen an die Zulassungsstellen für den Betrieb der iKfz-Verfahren sind enorm und damit die organisatorischen und technischen Sicherheitsanforderungen an den IT-Betrieb entsprechend komplex. Eingebunden sind die IT-Verfahren und IT-Systeme im Regelfall im IT-Management der Gemeinde.

Wie stellt der Verantwortliche also seinen Informationsverbund iKfz3 entsprechend den Vorgaben dar? Wie weist der Verantwortliche gegenüber den Auditoren die Umsetzung der Sicherheitsanforderungen nach?

Verinice kann hier die Lösung sein.

Die Compliance-Verantwortlichen in Unternehmen und Behörden sind mit einer zunehmenden Anzahl von Standards und Best Practices konfrontiert. Während staatlich finanzierte und staatlich geduldete Cyber-Angriffe weiter zunehmen, werden auch gesetzliche und regulatorische Anforderungen entsprechend zunehmen. Dadurch steigt die Anzahl an umzusetzenden Controls, die Assessment-Zyklen werden kürzer und die Umsetzung von Maßnahmen muss mit hoher Granularität bis hinunter zu einzelnen Control-Aussagen für spezifische Systeme oder gar Systemkomponenten nachweisbar sein.

Der zunehmenden Arbeitsbelastung kann mit Automatisierung begegnet werden. Dabei stellen sich Probleme, die für gängige Technologien zur Herausforderung werden. Der hohe Grad an Beziehungen in Maßnahmenkatalogen wie dem IT-Grundschutz oder dem NIST 800-53 führt bei Abfragen über 4 oder mehr Rekursionsebenen schnell zu Ergebnismengen, die mit relationalen Datenbanken schwer zu verarbeiten sind. Neue Ansätze versprechen hier Lösungen. Ein solcher Ansatz ist die Verwendung moderner Open Source-Graphendatenbanken.

Der Grundschutzstandard wird vom verinice-Team bereits in ein maschinenlesbares Format umgewandelt. Dieses Format kann konvertiert und für Graphendatenbanken nutzbar gemacht werden. Dadurch entstehen neue Auswertungsmöglichkeiten und neue Erkenntnisse, die im Vortrag mit Hilfe der Community-Version der Neo4J-Datenbank live präsentiert werden.

Das BSI hat einen Community Draft zur Ergänzung von Informationssicherheitskonzepten nach BSI IT-Grundschutz um Geheimschutz-Anforderungen mit dem Titel „CON.11.1 Geheimschutz VS - Nur für den Dienstgebrauch“ herausgebracht.

Enthält dieser wirklich Neues oder doch nur alten Wein in neuen Schläuchen? Schließlich basiert bereits das IT-Grundschutzkompendium auf elementaren Gefährdungen wie u.a. G 0.14 Ausspähen von Informationen (Spionage), G 0.15 Abhören, G 0.19 Offenlegung schützenswerter Informationen usw.

In diesem Vortrag soll der Versuch unternommen werden zu zeigen, welche der Anforderungen dieses neuen Kompendiums-Bausteins sich bereits in anderen Bausteinen wieder finden und welche Anforderungen direkt ein Informationssicherheitskonzept um die Anforderungen der VSA ergänzen.

Verinice hat sich hier als gutes Tool für ein Mapping zwischen IT-Grundschutz und dem Geheimschutz erwiesen.

„Content is King" - unter diesem Motto wird verinice auch im Jahr 2022 weiter entwickelt. Während die technische Entwicklung stark auf die neue rein web-basierte Version "verinice.veo" fokussiert ist, arbeitet das Fachteam unter Leitung von Michael Flürenbrock daran, weitere Inhalte in neuen Modulen für verinice bereitzustellen.

Michael Flürenbrock gibt einen Einblick in den aktuellen Stand sowie die weitere Planung rund um verinice/verinice.veo.