IT-Sicherheit – wieso ein ISMS integraler Bestandteil Ihrer Digitalisierungsstrategie sein sollte (09.03.2021)

3 Minuten mit Bernd Hausmann, Leiter Organisation & Information Security

Hallo Bernd, im itsc geht am Thema IT-Sicherheit kein Weg vorbei. Seit jeher wird größter Wert auf den Schutz der Versichertendaten gelegt und natürlich beschäftigen sich auch die Krankenkassen intensiv mit dieser Thematik. Trotzdem sprechen wir heute erneut darüber. Gibt es neue Erkenntnisse oder Entwicklungen?

Ja, das stimmt. IT-Sicherheit spielt gerade im Gesundheitswesen eine große Rolle und wir weisen immer und immer wieder darauf hin. Die Erfahrung zeigt jedoch, dass es gerade in diesem Bereich branchenübergreifend häufig zu Fehleinschätzungen hinsichtlich der tatsächlichen Gefährdungslage kommt. Das liegt nicht an mangelndem Interesse, sondern ist meiner Meinung nach primär in der unglaublichen Komplexität des Themenbereichs begründet. Außerdem ist dies natürlich auch ein sehr dynamisches Feld – ständig gibt es neue Angriffsszenarien und auch die zunehmende Digitalisierung hat Einfluss auf die IT-Sicherheit der Krankenkassen. Insofern gibt es im Prinzip täglich neue Erkenntnisse und Entwicklungen.

Inwiefern denn das? Eigentlich propagieren wir doch immer die Vorteile, die mit der Digitalisierung einhergehen. Steht das jetzt nicht im Wiederspruch dazu?

Nein. Als Wiederspruch sehe ich das nicht. Die Mehrwerte für den Versicherten stehen für die Krankenkasse, ebenso wie für uns, im Fokus. Und die Digitalisierung von Prozessen bringt unzählige Vorteile mit sich. Darüber hinaus werden digitale und unkomplizierte Lösungen heute seitens der Versicherten auch einfach erwartet. Und dieser Erwartungs-haltung müssen die Krankenkassen gerecht werden, wenn sie im Wettbewerb bestehen wollen. Das kennen wir doch von uns selbst: Wer freut sich denn, wenn er gezwungen ist, Dokumente auszudrucken und auszufüllen, im Zweifel Porto zu bezahlen und einen Umschlag zur Post oder zum nächsten Briefkasten zu bringen? Eigentlich wollen wir doch alles möglichst schnell und ohne Aufwand erledigen können. Auf Knopfdruck sozusagen.

Klar. Aber welcher Zusammenhang besteht nun zwischen zunehmender Digitalisierung und einer erhöhten Gefährdung der Krankenkassen?

Die Krankenkassen stehen aktuell vor einer riesigen Herausforderung. Auf der einen Seite führt aus strategischen Gründen kein Weg daran vorbei, digitale Angebote auf verschiedenen Plattformen für ihre Versicherten bereitzustellen. Auf der anderen Seite vergrößert sich im Zuge dieser exponentiellen Vernetzung von Daten die Angriffsfläche von Krankenkassen und Versicherten.

Sozialdaten sind für Hacker besonders lukrativ. Krankenkassen sind daher präferierte Ziele für Kriminelle; zumal personenbezogene Daten auf den Schwarzmärkten Höchstpreise erzielen. Informationen zu Familienmitgliedern können beispielsweise für die Beantwortung von Sicherheitsabfragen ausgenutzt werden. Eine weitere Gefahr besteht darin, die Daten zum Identitätsdiebstahl zu missbrauchen. Außerdem enthält das Zahlungssystem der GKV die Bankdaten der Versicherten, Apotheken sowie der Ärzte und Kliniken. Hier erfolgt die gesamte Verwaltung des Zahlungsverkehrs. Diese Daten sind somit äußerst lohnend für Hacker.

Wie kann ich dem als Verantwortlicher in der Krankenkasse am besten begegnen? Welche Maßnahmen sollte ich ergreifen?

Das kann man in Kürze gar nicht beantworten und würde hier definitiv den Rahmen sprengen. Grundsätzlich ist es empfehlenswert, dass man bei der Einführung neuer digitaler Angebote schon in der Entwicklungsphase, also vor dem Go-Live, an die IT-Sicherheit denkt und entsprechende Maßnahmen berücksichtigt. Denn nachträgliche Änderungen sind in der Regel wesentlich aufwändiger und kostenintensiver. Zudem ist die Kasse andernfalls in dem Zeitraum zwischen der Einführung der Leistung und der Umsetzung adäquater Sicherheitsmechanismen weitaus anfälliger für Angriffe und Datenpannen.

Die Versicherten verlassen sich darauf, dass die Sozialdaten bei ihren Krankenkassen in jeglicher Hinsicht sicher sind. Aus diesem Grund müssen die Prozesse und Strukturen für die IT-Sicherheit, unter Einbeziehung aller Akteure, kontinuierlich aktiv vorangetrieben werden. Als Basis ist ein ISMS in meinen Augen unerlässlich.

ISMS?

Ein Information Security Management System. Das ist für Krankenkassen auch im Hinblick auf die Anforderungen, die sich aus der Datenschutzgrundverordnung EU-DSGVO ergeben, sinnvoll.

Kannst Du das bitte kurz erläutern?

Während die EU-DSGVO die Umsetzung und den Nachweis von technischen und organisatorischen Schutzmaßnahmen für personen-bezogene Daten fordert, bezieht sich das IT-SIG mit der BSI-KritisV auf den Schutz der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Zahlungs- und Verwaltungssysteme.

Das ISMS gemäß der ISO/IEC 27001:2013 berücksichtigt sowohl einige Anforderungen aus der BSI-KritisV als auch aus der EU-DSGVO. Ein ISMS unterstützt die Integration technischer und organisatorischer Sicherheitsmaßnahmen nach dem Stand der Technik sowie den Nachweis darüber, welche durch das IT-SIG mit der BSI-KritisV und der DSGVO postuliert werden.

Oder anders ausgedrückt: Wenn ich ein stimmiges ISMS aufsetze und einführe, bin ich im Hinblick auf Fragen der IT-Sicherheit gut aufgestellt und vorbereitet.

Viele gesetzliche Krankenkassen lagern ihre IT-Prozesse, also Application- und Datahosting an Dienstleister aus. Sind sie damit dann nicht aus dem Schneider?

Nein, das ist ein gefährlicher Trugschluss. Die Verantwortung zur Einhaltung des Datenschutzes und der dazugehörigen Gesetze und Verordnungen verbleibt weiterhin beim Auftraggeber, in diesem Fall also bei der Krankenkasse.

Ein ISMS berücksichtigt u. a. das Lieferantenmanagement und behandelt hierzu die Festlegung der Vereinbarung aller Informationssicherheitsanforderungen und die Überwachung bzw. Überprüfung der Lieferantendienstleistungen.

Ok. Die Krankenkasse ist also in jedem Fall aktiv an dem Prozess beteiligt. Aber das scheint ein hochkomplexes Themenfeld zu sein, das man nicht einfach mal so nebenbei abhandeln kann. Gibt es Möglichkeiten, wie das itsc Krankenkassen in diesem Zusammenhang unterstützen kann?

Ja, natürlich. Wir helfen den Krankenkassen im Rahmen der ISMS-Einführung mit professionellen ganzheitlichen IT-Sicherheitsstrategien dabei, ihre Infrastrukturen nachhaltig vor Cyberangriffen zu schützen und haben dabei immer den Blick auf das große Ganze (Datenschutz vs. Informationssicherheit). Die Projektbetreuung erfolgt durch Berater aus dem Krankenkassenumfeld mit umfangreichen Kenntnissen über die aktuellen gesetzlichen Regelungen.

Gibt es dabei ein Standardvorgehen? Wie kann ich mir das vorstellen?

Wir beziehen das Top-Management bereits vor Projektstart mit ein, entwickeln und bauen die Informationssicherheitsorganisation auf, legen die Bereiche fest, bei denen das ISMS aus regulatorischer Sicht zwingend Anwendung finden muss, identifizieren die in den Krankenkassen bereits umgesetzten Anforderungen sowie die Bereiche, die nachgesteuert werden müssen, erstellen die erforderlichen ISMS-Dokumente, ermitteln und bewerten die eruierten Risiken, leiten daraus einen Risikobehandlungsplan ab und schulen die Kunden praxisnah.

Die Etablierung eines ISMS bietet sich übrigens auch für kleinere Krankenkassen an, da es an die Größe bzw. an das operative Umfeld der Institution mit einem moderaten Aufwand modular angepasst werden kann.

Und welche Vorteile ergeben sich daraus?

Durch unsere Erfahrung kommen die Krankenkassen wesentlich schneller zum Ziel als allein – nämlich zu einem auf ihre individuellen Belange zugeschnittenen tragfähigen ISMS, das ihre IT-Risiken effektiv minimiert.

Die klassische letzte Frage zum Schluss. Wenn mich das Ganze interessiert und ich mehr erfahren möchte oder individuelle Fragen habe, die hier nicht beantwortet wurden – wer hilft mir dann weiter?

In diesem Zusammenhang steht mein Team für Beratungen und Rückfragen gerne zur Verfügung. Ich weiß, dass dieses Thema oft ein bisschen überwältigend wirkt, aber wir sehen unsere Aufgabe darin, gemeinsam mit unseren Kunden möglichst unkompliziert und effizient Lösungen für komplexe Herausforderungen zu finden. Ich freue mich auf Anfragen und gemeinsame neue Projekte.

 

Bernd Hausmann, Leiter Organisation & IT-Security, Tel. 0511-27071-312, Bernd.Hausmann@itsc.de