BAYOOSOFT
  • Management Lösungen
    • IT-Security
      • Access Manager
      • gpg4o
    • MedTech
      • BAYOOSOFT Themis
      • Risk Manager
      • MEDiLEX
    • Telesolutions
      • HospiX
  • Über uns
    • BAYOOSOFT
      • Software Made in Germany
      • Wir sind die Mitdenker:innen!
      • Kontakt
    • News & Events
      • Veranstaltungen
      • Blog
      • Success Storys
    • BAYOONET Group
      • BAYOOTEC
      • BAYOOMED
  • Jobs & Karriere
  • Shop
  • Suche
  • Menü

Risikomanagement vom IT-Netzwerk mit dem BAYOOSOFT Risk Manager

KRITIS-Krux im Krankenhaus

Krankenhäuser mit mindestens 30.000 vollstationären Behandlungsfällen zählen zu den sogenannten kritischen Infrastrukturen (BSI-KritisV Anhang 5 Tabelle „Anlagenkategorien und Schwellenwerte“). Sie sind damit verpflichtet eine Kontaktstelle einzurichten und müssen IT-Sicherheitsvorkommnisse melden (§ 8b (3) BISG). Zur Einhaltung des geforderten Sicherheitsniveaus und um notwendige Prozesse und Strukturen zu etablieren, müssen frühzeitig organisatorische und technische Maßnahmen ergriffen werden. Eine Übergansfrist für diese Krankenhäuser ist ausdrücklich nicht vorgesehen.

Was bedeutet KRITIS?

„Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Laut Gesetz zählen die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Medien und Kultur, Staat und Verwaltung sowie Finanz- und Versicherungswesen zu den kritischen Infrastrukturen.

Gesetzliche Vorgaben für Betreiber kritischer Infrastrukturen finden sich im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) wieder. Das Gesetz hat die Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland zum Ziel. Die Sektoren Staat und Verwaltung sowie Medien und Kultur fallen nicht unter die gesetzlichen Verpflichtungen.

[Quelle]

Wird ein Krankenhaus zwei Jahre in Folge als kritische Infrastruktur eingestuft, ist der Betreiber verpflichtet einen Nachweis der getroffenen technischen und organisatorischen Maßnahmen zur Störungsvermeidung von Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT-Systeme, Komponenten oder Prozessen zu führen. Dabei kommen neben Audits auch Zertifizierungen oder ähnliche Nachweise in Frage.

Es gilt dabei zwischen Maßnahmen zu unterscheiden, die

  • zur Erhöhung der Ausfallsicherheit der kritischen IT-Komponenten

und / oder

  • als Teil von Ersatzmaßnahmen zur Aufrechterhaltung der kritischen Prozesse im Falle eines Ausfalls der IT-Infrastruktur

beitragen.

Wenn es kritisch wird

Bei der Auswahl solcher Maßnahmen empfiehlt das Bundesamt für Sicherheit in der Informationstechnik in seinem Leitfaden „Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT“ explizit das Heranziehen existierender Standards und „Best Practice“-Empfehlungen.

Dazu gehören internationale Normen wie auch der technische Standard IEC 80001-1 zur Integration von Medizinprodukten in IT-Netzwerke.

In der Norm IEC 80001-1 wird der Stand der Technik mit Bezug zum Risikomanagement von IT-Netzwerken beschrieben und es werden 3 Schutzziele definiert:

  • Sicherheit für Patienten und Mitarbeiter (safety)

  • Daten- und Systemsicherheit (security)

  • Effektivität (geordnete und unterbrechungsfreie Prozessabläufe; effectiveness)

Das Softwaremodul „Risikomanagement nach IEC 80001-1“ des BAYOOSOFT Risk Manager erlaubt Betreibern von kritischen Infrastrukturen genau diese regulativen Anforderungen zu erfüllen und ein Risikomanagement unter Berücksichtigung der Schutzziele über den gesamten Lebenszyklus Ihrer IT-Netzwerke betreiben.

Exkurs: ISO 27002

Ein ebenfalls existierender Standard, der vom BSI empfohlen wird, ist die ISO 27002 als Leitfaden für das Informationssicherheits-Management. Im Leitfaden festgehalten sind Prinzipien und Orientierungshilfen für die Initiierung, Umsetzung, den Betrieb und die Verbesserung des Informationssicherheits-Managements innerhalb einer Organisation.

Dem Thema der Zugangskontrolle wird dabei ein eigenes Kapitel gewidmet. Zugangskontrolle bedeutet Maßnahmen zu ergreifen, die es Benutzern ermöglichen, kontrolliert Zutritt zu (physisch) und / oder Zugriff auf (logisch) zu erhalten. Es sollen Regelwerke etabliert werden nach denen Benutzer nur den Zugriff erhalten, den Sie für Ihre tägliche Arbeit wirklich benötigen (Need-to-know-Prinzip). Ebenfalls ist die Vergabe von Passwörtern durch einen formalen Verwaltungsprozess zu kontrollieren.

Der BAYOOSOFT ACCESS MANAGER kann Sie bei der Umsetzung dieser Anforderungen unterstützen. Die automatisierte Softwarelösung für transparentes und leicht verständliches Berechtigungs- und Identity Management verbessert die Informationssicherheit während gleichzeitig der operative Aufwand in der IT-Abteilung durch Self Service signifikant verringert wird.

Die prozessorientierte Lösung trägt dazu bei, dass Sie sich aus dem Dokumentendschungel befreien und die Dokumentationsarbeit soweit wie möglich von der Software erledigen lassen. An zentraler Stelle hinterlegen Sie alle abzubildenden Anforderungen, wie diejenigen an die Hersteller der Medizinprodukte sowie Netzwerkkomponenten, nehmen Änderungen vor und überwachen den Prozess.

Das zur Einhaltung der ISO 14971 bewährte Prinzip der Risikoanalyse und des Maßnahmenmanagements wird übertragen, um mögliche Gefährdungen, hervorgerufen von der Vernetzung von IT-Netzwerken und Medizinprodukten, zu reduzieren. Die strukturierte und praxiserprobte Oberfläche des BAYOOSOFT Risk Manager unterstützt Sie dabei mit der frühzeitigen Erkennung von Risiken. Dabei werden Informationen durch das selbstlernende System feingranular dynamisch miteinander verbunden und eine redundante Datenhaltung vermieden.

Strukturiertes Risikomanagement

Die Norm beschreibt darüber hinaus die Rolle eines IT-Risikomanagers, der die Informationen sammelt und in Form einer Risikomanagement-Akte dokumentiert sowie an die oberste Leitung als Verantwortliche berichtet.

Gerade hier müssen Fachkräfte aus IT, Risikomanagement und Medizintechnik zusammenarbeiten und die jeweiligen Kompetenzen bündeln. Das Risikomanagement für die kritischen Netzwerkstrukturen wird besonders auf die Aspekte Netzwerkzuverlässigkeit, Datenintegrität sowie eine strenge Bewertung der Risiken ausgerichtet. Für die zuständigen Risikoverantwortlichen ist dieser Aspekt oft Neuland und es besteht die Gefahr den Überblick zwischen Informationen und Ansprechpartnern zu verlieren.

“Durch den BAYOOSOFT Risk Manager konnten wir den zeitraubenden manuellen Arbeitsaufwand umgehen. Die Software führt uns fehlerfrei durch den Prozess, man kann nicht abweichen, nichts vergessen und kommt zu einem einwandfreien Resultat.”

Knut Lauter

Klinikum recht der Isar der Technischen Universität München

zur Success Story

Die bewährte Struktur im BAYOOSOFT Risk Manager vereinfacht und professionalisiert diese Arbeit ohne Kompromisse für die Sicherheit und einwandfreie Dokumentation der IT-Netzwerke eingehen zu müssen. Für die Erfassung der einzelnen IT-Komponenten und Hersteller sowie die Festlegung von Änderungserlaubnissen und Überwachungstätigkeiten gibt die Softwarelösung eine feste Ordnung vor. Alle Anforderungen an Ihre medizinischen IT-Netzwerke, sowie an die Kommunikation und Überwachung werden systematisch erfasst und dauerhaft nachvollziehbar miteinander verbunden. Ein besonderes Augenmerk wird auf die Sicherstellung der drei Schutzziele Sicherheit, Effektivität sowie Daten- und Systemsicherheit gelegt.

Zusammenfassung

Für das Einrichten einer Kontaktstelle, den Aufbau eines Meldesystems für IT-Sicherheitsvorfälle, die Einhaltung eines angemessenen Sicherheitsniveaus sowie der Erbringung der notwendigen Nachweise entstehen Kliniken als Betreibern kritischer Infrastrukturen hohe personelle und organisatorische Aufwände.

 An dieser Stelle unterstützt Sie der BAYOOSOFT Risk Manager als Prozessbeschleuniger auf effiziente und akkurate Weise den Anforderungen der IEC 80001-1 gerecht zu werden – selbstverständlich unter Berücksichtigung der Schutzziele Sicherheit für Patienten und Mitarbeiter, Daten- und Systemsicherheit sowie Effektivität.

Statt Zeit in die Form zu investieren, konzentrieren Sie sich ganz auf den Inhalt.

Erfahren Sie mehr über den Einsatz des BAYOOSOFT Risk Manager in Kritischen Infrastrukturen!

Melden Sie jetzt sich zu einem unserer offenen Webinare oder einer individuellen Produktvorstellung an.

Anstehende Medical Solutions Veranstaltungen

  • Prozesse digitalisieren mit BAYOOSOFT Management Lösung (de) – 25.10.2023
    • Prozesse digitalisieren mit BAYOOSOFT Management Lösung (de) – 29.11.2023
      • Prozesse digitalisieren mit BAYOOSOFT Management Lösung (de) – 13.12.2023
        Hinweis

        Wir haben zur Zeit Probleme mit unseren Formularen. Falls Ihnen eine Fehlermeldung angezeigt wird, senden sie gerne eine Mail mit Ihrem Anliegen direkt an [email protected]

        Klicke oder ziehe eine Datei in diesen Bereich zum Hochladen.
        Um das Formular absenden zu können, müssen Sie Marketing-Cookies akzeptieren.
        Klicken Sie hier um Marketing-Cookies zu erlauben.
        Wird geladen
        • Datenschutzerklärung

        Aktuelles

        • E-Mail-Verschlüsselung mit gpg4o21. September 2023 - 14:04
        • Cybersecurity, Identity and Access ManagementWie IT-Sicherheit die Digitalisierung voranbringt20. September 2023 - 16:34
        • Klinische Bewertung von MedizinproduktenKlinische Bewertung von Medizinprodukten und In-Vitro-Diagnostika: Warum sie so wichtig ist11. September 2023 - 17:17

        Ansprechpartnerinnen bei BAYOOSOFT

        Svenja Winkler
        CEO
        [email protected]

         

         

        Franziska Weiß
        Head of Sales
        [email protected]

        Darmstadt
        Lise-Meitner-Straße 10
        64293 Darmstadt

        München
        Aidenbachstraße 54
        81379 München

        Berlin 
        Mariendorfer Damm 1-3
        12099 Berlin

        Produktspezifische Anfragen: via Kontaktformular
        Kontakt:         [email protected]
        Jobs: [email protected]
        Presse: [email protected]

        Telefon: +49 (0) 6151 – 86 18 – 0
        Fax: +49 (0) 6151 – 86 18 – 150

         

        Support kontaktieren
        • Datenschutzerklärung
        • Impressum
        Softwareentwicklung nach IEC 62304: Welche Anforderungen müssen Sie erfül... Partnerschaft mit HEX Approach
        Nach oben scrollen