BAYOOSOFT
  • Management Lösungen
    • IT-Security
      • Access Manager
      • gpg4o
    • MedTech
      • BAYOOSOFT Themis
      • Risk Manager
      • MEDiLEX
    • Telesolutions
      • HospiX
  • Über uns
    • BAYOOSOFT
      • Software Made in Germany
      • Wir sind die Mitdenker:innen!
      • Kontakt
    • News & Events
      • Veranstaltungen
      • Blog
      • Success Storys
    • BAYOONET Group
      • BAYOOTEC
      • BAYOOMED
  • Jobs & Karriere
  • Shop
  • Suche
  • Menü

Berechtigungsmanagement für KRITIS

Was fordert das IT-Sicherheitsgesetz?

Krankenhäuser mit mindestens 30.000 vollstationären Behandlungsfällen zählen zu den sogenannten kritischen Infrastrukturen (BSI-KritisV Anhang 5 Tabelle „Anlagenkategorien und Schwellenwerte“). Sie sind damit verpflichtet, eine Kontaktstelle einzurichten und müssen IT-Sicherheitsvorkommnisse melden (§ 8b (3) BISG). Zur Einhaltung des geforderten Sicherheitsniveaus und um notwendige Prozesse und Strukturen zu etablieren, müssen frühzeitig organisatorische und technische Maßnahmen ergriffen werden. Eine Übergansfrist für diese Krankenhäuser ist ausdrücklich nicht vorgesehen.

Was bedeutet KRITIS?

„Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Laut Gesetz zählen die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Medien und Kultur, Staat und Verwaltung sowie Finanz- und Versicherungswesen zu den kritischen Infrastrukturen.

Gesetzliche Vorgaben für Betreiber:innen kritischer Infrastrukturen finden sich im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) wieder. Das Gesetz hat die Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland zum Ziel. Die Sektoren Staat und Verwaltung sowie Medien und Kultur fallen nicht unter die gesetzlichen Verpflichtungen. [Quelle]

Wird ein Krankenhaus zwei Jahre in Folge als kritische Infrastruktur eingestuft, sind Betreiber:innen verpflichtet einen Nachweis der getroffenen technischen und organisatorischen Maßnahmen zur Störungsvermeidung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme, Komponenten oder Prozessen zu führen. Dabei kommen neben Audits auch Zertifizierungen oder ähnliche Nachweise in Frage.

Es gilt dabei zwischen Maßnahmen zu unterscheiden, die

  • zur Erhöhung der Ausfallsicherheit der kritischen IT-Komponenten und / oder

  • als Teil von Ersatzmaßnahmen zur Aufrechterhaltung der kritischen Prozesse im Falle eines Ausfalls der IT-Infrastruktur beitragen.

Bei der Auswahl solcher Maßnahmen empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Leitfaden „Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT“ explizit das Heranziehen existierender Standards und „Best Practice“-Empfehlungen.

Ein existierender Standard, der vom BSI empfohlen wird, ist die ISO 27002 als Leitfaden für das Informationssicherheits-Management. Im Leitfaden festgehalten sind Prinzipien und Orientierungshilfen für die Initiierung sowie Umsetzung, den Betrieb und die Verbesserung des Informationssicherheits-Managements innerhalb einer Organisation.

Dem Thema der Zugangskontrolle wird dabei ein eigenes Kapitel gewidmet. Zugangskontrolle bedeutet Maßnahmen zu ergreifen, die es Benutzer:innen ermöglicht, kontrolliert Zutritt zu (physisch) und / oder Zugriff auf (logisch) zu erhalten. Es sollen Regelwerke etabliert werden, nach denen Benutzer:innen nur den Zugriff erhalten, den sie für ihre tägliche Arbeit wirklich benötigen (Need-to-know-Prinzip).

Der BAYOOSOFT Access Manager kann Sie bei der Umsetzung dieser Anforderungen unterstützen. Die automatisierte Softwarelösung für transparentes und leicht verständliches Berechtigungs- und Identity Management verbessert die Informationssicherheit und schont den Einsatz von Ressourcen. Durch die zentrale und standardisierte Verwaltung von Benutzer:innen- und Zugriffsrechten verringern Sie außerdem potentielle Fehlerquoten, welche durch eine manuelle Vergabe schnell entstehen können.

Immer wissen, wer auf welche Daten Zugriff hat: Informationssicherheit entsteht auch dann, wenn Prozesse nachvollziehbar sind. Neben einem vollständigen Überblick über alle Berechtigungen, ermöglicht die richtige Softwarelösung das automatisiere Erteilen oder Entziehen von Zugriffsrechten zu gewünschten Start- und /oder Endzeiten.

Den Überblick bewahren – nicht immer einfach!

Sie kämpfen mit historisch gewachsenen Berechtigungsstrukturen? Unsere Experten unterstützen Sie mittels toolgestützter Analyse dabei, mögliche Schwachstellen zu identifizieren und unter Risikoaspekten zu bewerten.

Erfahren Sie mehr.

Ebenfalls empfiehlt das BSI im Rahmen des Leitfadens zum Schutz Kritischer Infrastrukturen die Vergabe von Passwörtern durch einen formalen Verwaltungsprozess zu kontrollieren. Besonders Verzeichnissysteme mit der Funktion Single Sign-On (SSO) fördern demnach den medizinischen Arbeitsablauf, indem sie Benutzer:innen nach einmaliger Anmeldung Zugriff gewähren. So können aufwändige Mehrfachanmeldungen sowie der leichtfertige Umgang mit Passwörtern vermieden werden.

Mittels Password Propagation wird Benutzer:innen ermöglicht, diverse Anwendungssysteme durch ein Master-Passwort zu bedienen. Ein Self Service Modul, das den Mitarbeiter:innen eine selbstständige Handhabe ermöglicht und gleichzeitig den operativen Aufwand in der IT-Abteilung signifikant verringert.

Das Modul Password Reset nutzt bereits erfolgreich das Universitätsklinikum Tübingen. Lesen Sie hier den Erfahrungsbericht.

Erfahrungsbericht

Das Fazit

Zugangskontrollen – physischer wie logischer Art – ermöglichen ein Informationssicherheits-Management nach ISO 27002 in Krankenhäusern. Ein standardisiertes Berechtigungsmanagement verschafft den IT-Beauftragten nicht nur einen Überblick über bestehende Zugriffsrechte, sondern entlastet zeitgleich die IT-Abteilung.

Als automatisierte Softwarelösung für transparentes und leicht verständliches Berechtigungsmanagement unterstützt Sie der BAYOOSOFT Access Manager an dieser Stelle. Das IT-Sicherheitsgesetz befolgend, bietet die anwenderfreundliche Lösung zudem Flexibilität, Kosten- und Zeitersparnis sowie eine revisionssichere Dokumentation.

Sie möchten mehr erfahren über Berechtigungsmanagement und unterstützende Tools?

Dann lernen Sie jetzt den BAYOOSOFT Access Manager im Rahmen einer Produktvorstellung kennen.

Sie haben spezielle Fragen? Nutzen Sie gerne unser Kontaktformular.

Anfragen
Folgen Sie uns schon?
  • Teilen auf Facebook
  • Teilen auf WhatsApp
  • Teilen auf LinkedIn
  • Per E-Mail teilen

Aktuelles

  • E-Mail-Verschlüsselung mit gpg4o21. September 2023 - 14:04
  • Cybersecurity, Identity and Access ManagementWie IT-Sicherheit die Digitalisierung voranbringt20. September 2023 - 16:34
  • Klinische Bewertung von MedizinproduktenKlinische Bewertung von Medizinprodukten und In-Vitro-Diagnostika: Warum sie so wichtig ist11. September 2023 - 17:17

Ansprechpartnerinnen bei BAYOOSOFT

Svenja Winkler
CEO
[email protected]

 

 

Franziska Weiß
Head of Sales
[email protected]

Darmstadt
Lise-Meitner-Straße 10
64293 Darmstadt

München
Aidenbachstraße 54
81379 München

Berlin 
Mariendorfer Damm 1-3
12099 Berlin

Produktspezifische Anfragen: via Kontaktformular
Kontakt: [email protected]
Jobs: [email protected]
Presse: [email protected]

Telefon: +49 (0) 6151 – 86 18 – 0
Fax: +49 (0) 6151 – 86 18 – 150

 

Support kontaktieren
  • Datenschutzerklärung
  • Impressum
Ende der MDR-Übergangsfrist 2017745 Wie Sie die Zeit effektiv nutzen könn... BAYOOSOFT @DMEA 2021
Nach oben scrollen