Einfluss des IT-Sicherheitsgesetzes auf die Aufbauorganisation von Krankenhäusern

INHALTSVERZEICHNIS

ABBILDUNGSVERZEICHNIS

TABELLENVERZEICHNIS

ABKÜRZUNGSVERZEICHNIS

GLOSSAR

1. EINLEITUNG
1.1. AUSGANGSSITUATION UND PROBLEMSTELLUNG
1.2. ZIELSETZUNG UND FORSCHUNGSFRAGE
1.3. VORGEHENSWEISE UND AUFBAU DER ARBEIT

2. KRANKENHAUSLANDSCHAFT IN DEUTSCHLAND

3. DEFINITION ZENTRALER BEGRIFFE
3.1. DER SICHERHEITSBEGRIFF
3.2. PATIENTENSICHERHEIT
3.3. RISIKOMANAGEMENT
3.4. BUSINESS CONTINUITY MANAGEMENT
3.5. DATENSCHUTZ
3.6. INFORMATIONSSICHERHEIT UND IT-SICHERHEIT
3.7. SICHERHEIT IM KRANKENHAUS-KONTEXT

4. NORMATIVE RAHMENBEDINGUNGEN
4.1. IT-SICHERHEITSGESETZ
4.1.1. Interpretationen
4.1.2. Schwachstellen im Gesetz
4.2. NIS-RICHTLINIE
4.3. DATENSCHUTZ-GRUNDVERORDNUNG
4.4. REGULARIEN ZU MEDIZINPRODUKTE
4.5. E-HEALTH-GESETZ

5. RELEVANTE INSTITUTIONEN UND STANDARDS
5.1. RELEVANTE INSTITUTIONEN
5.1.1. BSI
5.1.2. UP KRITIS
5.1.3. ENISA
5.1.4. DKG
5.1.5. ISACA
5.2. STANDARDS UND RAHMENWERKE
5.2.1. DIN ISO/IEC 27001 und folgende
5.2.2. COBIT 5
5.2.3. BSI IT-Grundschutz
5.2.4. DIN EN 80001
5.2.5. B3S
5.2.6. Standard of Good Practice for Information Security
5.2.7. HITRUST CSF

6. ORGANISATION IM KRANKENHAUS
6.1. ORGANISATIONSFORMEN
6.2. ABLAUFORGANISATION
6.3. ORGANISATION IM KRANKENHAUSKONTEXT
6.4. OUTSOURCING
6.5. KOOPERATIONEN UND VERBÜNDE

7. GESTALTUNG DER INFORMATIONSSICHERHEITS -ORGANISATION
7.1. SPEZIALISIERUNG
7.1.1. IT-Sicherheitsgesetz
7.1.2. Stellen und Abteilungen
7.2. KOORDINATION
7.2.1. IS-Management-Team
7.2.2. Interventionsteam für Informationssicherheitsvorfälle
7.2.3. Zusammenarbeit mit weiteren Bereichen
7.3. KONFIGURATION
7.3.1. Positionierung
7.3.2. Stellenart
7.4. ABHÄNGIGKEIT ZUR GRÖßE DES UNTERNEHMENS

8. ZUSAMMENGEFASSTE ERGEBNISSE AUS DER THEORIE

9. ERHEBUNG DES IST-STANDES
9.1. METHODE
9.1.1. Telefonische Befragung
9.1.2. Grundgesamtheit
9.1.3. Auswahl der Stichprobe
9.1.4. Aufbau und Inhalt der Befragung
9.1.5. Durchführung der Befragung
9.2. ERGEBNISSE DER BEFRAGUNG
9.2.1. Allgemeines zur Befragung
9.2.2. Standards und Rahmenwerke
9.2.3. Verantwortliche Person für Informationssicherheit
9.2.4. Krankenhausverbund
9.2.5. Rollen und Verantwortlichkeiten
9.2.6. Zusammenarbeit innerhalb der Organisation
9.2.7. Umsetzungsgrad der Anforderungen

10. ERGEBNISSE UND SCHLUSSFOLGERUNG
10.1. BEANTWORTUNG DER FORSCHUNGSFRAGE
10.2. EMPFEHLUNG
10.3. CONCLUSION
10.4. KRITISCHE BETRACHTUNG DER ARBEIT
10.5. AUSBLICK

11. LITERATURVERZEICHNIS

12. ANHANG
12.1. MUSTER DES FRAGEBOGENS ZUR TELEFONISCHEN BEFRAGUNG
12.2. EINLEITUNGSSTATEMENT ZUR BEFRAGUNG
12.3. ERGEBNISSE TABELLE STRUKTURIERT

ABBILDUNGSVERZEICHNIS

ABBILDUNG 1: ABLAUF ZUR OPERATIONALISIERUNG DER FORSCHUNGSFRAGE

ABBILDUNG 2: ENTWICKLUNG DER FALLZAHLEN UND EINRICHTUNGEN (1991 BIS 2017)

ABBILDUNG 3: 20 GRÖßTEN KLINIK-UNTERNEHMEN IN DEUTSCHLAND NACH ANZAHL DER STATIONÄREN FÄLLE IM JAHR

ABBILDUNG 4: ZUSAMMENWIRKEN DER INFORMATIONSSICHERHEIT MIT WEITEREN DISZIPLINEN

ABBILDUNG 5: REGULATORISCHE VORGABEN FÜR INFORMATIONSSICHERHEIT IM GESUNDHEITSSEKTOR

ABBILDUNG 6: VERTEILUNG KRITIS-KRANKENHÄUSER IN DEUTSCHLAND

ABBILDUNG 7: RELEVANTE STANDARDS UND RAHMENWERKE IM BEREICH INFORMATIONSSICHERHEIT FÜR DEN GESUNDHEITSSEKTOR

ABBILDUNG 8: VERGEBENE ISO-27001-ZERTIFIKATE WELTWEIT (2006-2017)

ABBILDUNG 9: RAHMENBEDINGUNGEN UND QUELLEN ZUR ERSTELLUNG DES B3S

ABBILDUNG 10: INTERNATIONALE RAHMENWERKE UND HITRUST CSF

ABBILDUNG 11: TRADITIONELLE AUFBAUORGANISATION IN KRANKENHÄUSERN

ABBILDUNG 12: EXEMPLARISCHE DARSTELLUNG KRITISCHER BEREICHE IM KRANKENHAUS

ABBILDUNG 13: SPEZIALISIERUNG: AUFGABEN, STELLEN UND ABTEILUNGEN

ABBILDUNG 14: ROLLEN BEI DER NACHWEISERBRINGUNG NACH §8A ITSIG

ABBILDUNG 15: KOORDINATION: ZUSAMMENARBEIT DURCH INTERDISZIPLINÄRE TEAMS

ABBILDUNG 16: KONFIGURATION: GRUNDAUFBAU DER STELLEN UND ABTEILUNGEN

ABBILDUNG 17: MÖGLICHE POSITIONIERUNGEN DES ISB IN DER AUFBAUORGANISATION

ABBILDUNG 18: MANAGEMENT DER INFORMATIONSSICHERHEIT NACH B3S

ABBILDUNG 19: AUSWAHL DER STICHPROBEN NACH QUOTEN

ABBILDUNG 20: ABLAUF DER BEFRAGUNG

ABBILDUNG 21: DURCHGEFÜHRTE BEFRAGUNGEN NACH QUOTE

ABBILDUNG 22: ERGEBNIS VERWENDETER STANDARDS ZUR NACHWEISERBRINGUNG NACH §8A ITSIG

ABBILDUNG 23: ERGEBNIS BERÜCKSICHTIGUNG STANDARDS (PRIMÄR, SEKUNDÄR, TOTAL)

ABBILDUNG 24: ERGEBNIS BEZEICHNUNG DER VERANTWORTLICHEN PERSON FÜR INFORMATIONSSICHERHEIT

ABBILDUNG 25: ERGEBNIS BESETZUNG DER ISB DURCH EXTERNEN ODER INTERNEN MITARBEITERINNEN

ABBILDUNG 26: ERGEBNIS ZUSÄTZLICHE AUFGABENGEBIETE DER VERANTWORTLICHEN FÜR INFORMATIONSSICHERHEIT

ABBILDUNG 27: ERGEBNIS ISB ALS STABSSTELLE / IM ZUGE DES IT- SICHERHEITSGESETZES

ABBILDUNG 28: ERGEBNIS UMFANG DER STELLE FÜR INFORMATIONSSICHERHEIT IN PROZENT PRO QUOTE

ABBILDUNG 29: ERGEBNISSE ROLLEN UND VERANTWORTLICHKEITEN

ABBILDUNG 30: ERGEBNIS MITGLIEDER DES IS-MANAGEMENT-TEAMS

ABBILDUNG 31: ERGEBNIS UMSETZUNGSGRAD DER ANFORDERUNGEN AUS DEM IT- SICHERHEITSGESETZ NACH CMMI

ABBILDUNG 32: ERGEBNIS NEUE STELLEN IM RAHMEN DES ITSIG

ABBILDUNG 33: KONZEPT ZUM AUFBAU EINER IS-ORGANISATION NACH DEN VORGABEN DES ITSIG FÜR KRANKENHÄUSER (EIGENE DARSTELLUNG)

TABELLENVERZEICHNIS

TABELLE 1: ANFALLENDE AUFGABEN AUS DEM IT-SICHERHEITSGESETZ

TABELLE 2: MITGLIEDER DES IS-MANAGEMENT-TEAM

TABELLE 3: MITGLIEDERINNEN DES INTERVENTIONSTEAMS FÜR INFORMATIONSSICHERHEIT

TABELLE 4: KENNZEICHNUNG VERSCHIEDENER STELLENARTEN

TABELLE 5: ZUSAMMENFASSUNG DER MERKMALE ZUR STELLE DES INFORMATIONSSICHERHEITSBEAUFTRAGTEN

TABELLE 6: ANZAHL BEFRAGUNGEN PRO QUOTE

TABELLE 7: ERGEBNISSE DER ÜBERPRÜFUNG DER MERKMALE ZUR STELLE DES INFORMATIONSSICHERHEITSBEAUFTRAGTEN

TABELLE 8: ERGEBNISSE KRANKENHAUSVERBUND (QUOTE 2 UND 4)

ABKÜRZUNGSVERZEICHNIS

Abbildung in dieser Leseprobe nicht enthalten

GLOSSAR

Asset

Als Assets werden in der ISO/IEC 27000er Familie alle informationellen Werte einer Organisation bezeichnet.

BSI

Bundesamt für Sicherheit in der Informationstechnik ist eine unabhängige Stelle des Bundesministeriums des Inneren. Entwickelt den BSI-Grundschutz, berät die kritischen Infrastrukturen und fordert Nachweise derer zur Einhaltung des IT- Sicherheitsgesetzes.¹

BSI-Kritisverordnung

Verordnung zur Konkretisierung und Umsetzung des IT-Sicherheitsgesetzes des Bundesministeriums des Innern.

B3S

Branchenspezifischer Sicherheitsstandard für Krankenhäuser des Branchenarbeitskreises der Medizinischen Versorgung, der im Rahmen des IT- Sicherheitsgesetzes erstellt wurde. Beschreibt Maßnahmen zur Umsetzung des IT-Sicherheitsgesetzes.

Datenschutzbeauftragten

Die Datenschutzbeauftragten sind gesetzlich zu benennende Personen für die Umsetzung des Datenschutzes im Unternehmen.

Einrichtung

Als Einrichtungen werden unterschiedliche Gesellschaften eines Verbundes verstanden, welche räumlich und ggfs. organisatorisch voneinander getrennt sind.

Fachverantwortliche

Fachverantwortliche sind Teil der IS-Organisation und repräsentieren einen bestimmten Bereich im Unternehmen. Sie stehen als Multiplikatoren für die Umsetzung der Informationssicherheit in Zusammenarbeit mit den ISB zur Verfügung.

Informationssicherheit

Ziel des Schutzes aller sich im Unternehmen befindlichen Informationen und Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität dieser Informationen.²

Informationssicherheits-Organisation

Umfasst alle Rollen und Verantwortlichkeiten und die Struktur zur Integration in die Unternehmensorganisation. Stellt den Aufbau der Stellen, die Koordination und die Zusammenarbeit der Informationssicherheit sicher.

Informationssicherheits-Leitlinie

Beschreibt die Ziele der Informationssicherheit im Unternehmen und wie und durch wen diese Umgesetzt werden. Sie bietet die Basis weiterer Richtlinien und Arbeitsanweisungen.

Informationssicherheits-Management-Team

Temporäres Team mit Mitgliedern sämtlicher Bereiche im Unternehmen, welches die Zusammenarbeit im Rahmen der Informationssicherheit unterstützt.

Informationssicherheitsbeauftragten

Kurz ISB, sind die von der Geschäftsführung benannten verantwortlichen Personen für Informationssicherheit in einem Unternehmen. Allumfassende Rolle für sämtliche Belange der Informationssicherheit innerhalb eines Unternehmens.

ISMS

Das Informationssicherheits-Managementsystem (ISMS) beinhaltet alle Prozesse und Verfahren, welche zur dauerhaften Aufrechterhaltung der Informationssicherheit in einem Unternehmen notwendig sind.³

Interventionsteam für Informationssicherheit

Temporäres Team, welches sich ad-hoc bei (drohenden) Informationssicherheitsvorfällen erheblicher Art zusammenfindet und sich mit der Behebung oder Vermeidung dieser beschäftigt.

ISO/IEC 27000 Familie

Standards zur Umsetzung von Informationssicherheit in Unternehmen. Darunter die ISO/IEC 27001/27002 zur Umsetzung eines ISMS. Die ISO/IEC 27799 erweitert dieses durch spezielle Anforderungen aus dem Gesundheitswesen.

IT-Sicherheit

Ist Teil der Informationssicherheit und beschäftigt sich mit der Sicherheit der Informations- und Telekommunikationstechnischen Systeme.

IT-Sicherheitsgesetz

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme der Bundesregierung für kritische Infrastrukturen.

Kontaktstelle

Definierte Person oder Personenkreis in einer kritischen Infrastruktur die den Kontakt zum BSI sicherstellen. Über diese Stelle werden vom BSI Informationen an kritische Infrastrukturen gesendet und diese müssen erhebliche Störungen an das BSI melden.

Krankenhausverbund

Ist ein Zusammenschluss min. zweier Krankenhäuser. Neben Krankenhäuser können auch weitere Einrichtungen, wie z. B. Pflegeheime, MVZ, Teil des Verbunds sein.

KRITIS

Kritische Infrastrukturen sind Unternehmen mit hoher Bedeutung für das Gemeinwesen. Bei Beeinträchtigung derer wäre die öffentliche Sicherheit gefährdet.⁴

Standards und Rahmenwerke

Allgemeine Bezeichnung für sämtliche Normen, Standards, Rahmenwerke. Sie bieten Handlungsempfehlungen und Beschreibungen zur Umsetzung bestimmter Themengebiete im Unternehmen und helfen gesetzliche Bestimmungen einzuhalten.

DANKSAGUNG

An dieser Stelle möchte ich mich bei allen bedanken, die mich während der Erstellung der Master-Thesis unterstützt und damit zum Gelingen beigetragen haben.

Zuerst möchte ich mich bei Herrn Scharinger bedanken, der meine Master-Thesis betreut hat und stetiges Vertrauen in mich setzte.

Einen weiteren Dank geht an Frau Mag. Strumpen, die immer mit Rat und Tat zur Seite stand.

Ein weiteres Dankeschön gilt allen Teilnehmerinnen und Teilnehmer meiner Befragung und die netten Kontakte und Gespräche, die daraus entstanden sind.

Einen ganz besonderen Dank geht an meine liebe Partnerin und Mutter unseres ungeborenen Sohnes, die mich stehts motiviert und unterstützt. Ohne diesen Antrieb hätte ich es nicht geschafft - Danke!

KURZBESCHREIBUNG

Die Arbeit beinhaltet die Erstellung eines Konzeptes zur Umsetzung einer Informationssicherheits-Organisation für Krankenhäuser unter Berücksichtigung der Vorgaben aus dem IT-Sicherheitsgesetz.

Das IT-Sicherheitsgesetz hat dazu geführt, dass Informationssicherheit in vielen Krankenhäusern Einzug hält. Diese kritischen Infrastrukturen sind nun verpflichtet, ein Mindestmaß an Informationssicherheit zu etablieren. Krankenhäuser unterlagen bisweilen keinen bis wenigen Regularien im Bereich der Informationssicherheit, weshalb dies für viele ein neues und unbekanntes Aufgabengebiet darstellt.

Die Arbeit untersucht die Anforderungen aus dem IT-Sicherheitsgesetz, welche durch einschlägige internationale und branchenspezifische Standards und Rahmenwerke ausführlich spezifiziert werden. Dies, zusammen mit der Berücksichtigung weiterer, die Informationssicherheit tangierender, Gesetze, bildet einen holistischen Ansatz für Krankenhäuser.

Das aus der Theorie erarbeitete und mit der Praxis abgestimmte Konzept bildet die Organisationsstruktur und ein Zusammenarbeitsmodell speziell für Krankenhäuser und nach den Vorgaben des IT-Sicherheitsgesetz ab.

Die Integration und Positionierung von Verantwortlichkeiten, insbesondere die der Informationssicherheitsbeauftragten (ISB), ist einer der Kernpunkte, um eine unternehmensweite Informationssicherheits-Politik und Kultur im Krankenhaus zu integrieren. Durch das Etablieren von interdisziplinären Teams und das Nutzen vorhandener organisatorischer Strukturen, wird die Zusammenarbeit im Unternehmen gewährleistet. Dies ermöglicht eine flächendeckende Integration der Informationssicherheit in allen Bereichen des Unternehmens. In komplexeren und größeren Krankenhäusern und Verbünden ist eine generischere Umsetzung der IS-Organisation zu erkennen. Die Vielzahl an Einrichtungen erfordert mehr Koordination auf Stelle der ISB, wohingegen in kleineren Unternehmen eine praxisnahe Orientierung vorliegt.

Stichworte:

Informationssicherheit

ISMS

Organisation

Informationssicherheitsbeauftragter

Gesundheitswesen

ABSTRACT

This thesis includes the creation of a concept for the implementation of an information security organization for hospitals, taking into account the requirements of the German IT Security Act.

In detail, this Act has led to the introduction of information security in many hospitals and, as a consequence of creating a security law, critical infrastructures are now obliged to establish a minimum level of information security. This represents for many institutions a new and unknown area of responsibility.

Furthermore, the thesis examines the requirements of the IT Security Act, which are specified in detail by relevant international and industry-specific standards and frameworks. Together with the consideration of other laws that affect information security, a holistic approach for hospitals can be introduced to the reader.

Additionally, the concept, developed from theory and proved by surveys conducted as part of the primary research, results in an organizational structure and a cooperation model specifically for hospitals, which is aligned with the requirements of the IT Security Act.

Likewise, the integration and positioning of responsibilities, in particular those of the Information Security Officer (ISB), is one of the key points for integrating a company-wide information security policy and culture in hospitals. A good cooperation within a company is ensured by establishing interdisciplinary teams and using existing organizational structures. However, in more complex and larger hospitals and alliances, a more generic implementation of the IS organization can be seen. The large number of institutions requires more coordination instead of ISB, whereas smaller companies have a more practical approach.

Key words:

Information Security

ISMS

Organization

Information Security Officer

Healthcare

1. EINLEITUNG

1.1. AUSGANGSSITUATION UND PROBLEMSTELLUNG

Die Informationssicherheit im Krankenhaus gewinnt immer mehr an Bedeutung. Das IT-Sicherheitsgesetz ist lediglich eine Reaktion auf die Entwicklung zunehmender Sicherheitsvorfälle und der steigenden Digitalisierung in Unternehmen. Nebst dem IT-Sicherheitsgesetz (ITSiG)⁵ zielt sowohl die europäische Richtline zur Gewährleistung einer hohen Netzwerk- und

Informationssicherheit (NIS-Richtlinie), als auch die europäische Datenschutzgrundverordnung (DSGVO)⁶ auf die Erhöhung der Informationssicherheit und des Datenschutzes in den Unternehmen ab.

Jüngste Ereignisse bestätigen dies. Der Cyber-Angriff mit Ransomware auf englische Kliniken hatte 2017 Einfluss auf die Behandlung von PatientInnen in ca. 40 Krankenhäusern.⁷ Auch in Deutschland gab es Beispiele. Eines der bekanntesten ist das Lukas-Klinikum in Neuss. Es musste 2016 mehrere Tage den Betrieb des Krankenhauses ohne IT fortführen.⁸ Dies bestätigt auch eine weltweite Statistik von Microsoft, in der 25 % der Befragten im Sektor Gesundheitswesen angaben, im Jahr 2017 Opfer eines Cyberangriffs geworden zu sein.⁹

Dies zeigt, dass viele Krankenhäuser noch nicht ausreichend auf derartige Angriffe vorbereitet sind. Die Etablierung eines Informationssicherheits­Managementsystems (ISMS) und die Implementierung einer dafür benötigten Organisation ist demnach ein aktuelles Thema.

2 Hierzu gibt es Standards und Normen, wie z. B. den BSI-Grundschutz und die ISO/IEC 27000 Familie. Auch branchenspezifische Handlungsempfehlungen bieten geeignete Umsetzungshinweise. All diese Werke beschreiben die Umsetzung einer geeigneten Aufbauorganisation. Die Interpretationen zur Verteilung der Rollen und Verantwortlichkeiten sind unterschiedlich und teilweise unspezifisch und wurden bisher unzureichend untersucht. Die Zuordnung der Rollen und Verantwortlichkeiten ist jedoch ein wichtiger Aspekt, um Informationssicherheit in einem Unternehmen zu etablieren. So nennen die Kliniken des Bezirks Oberbayern die Einrichtung eines multiprofessionellen IT- Sicherheitskomitees einen zentralen Erfolgsfaktor für die Verbesserung der IT- Sicherheit.¹⁰

Ein weiteres Indiz für die steigende Relevanz zeigt eine amerikanische Umfrage, in der 84 % der Krankenhäuser angaben, dass sie 2018 mehr Ressourcen für Cybersecurity zur Verfügung hatten als im Jahr davor.¹¹

Krankenhäuser unterlagen im Bereich der IT bzw. Informationssicherheit bisweilen keinen bis wenigen Regularien. Deshalb ist Informationssicherheit für viele Krankenhäuser ein neues und unbekanntes Aufgabengebiet. So fand das Thema in Krankenhäusern in wissenschaftlichen Untersuchungen seither nur wenig Berücksichtigung. Es wurde die Prozessgestaltung der Informationssicherheit in Krankenhäusern¹², die Kritische Infrastruktur und Gesetze im Allgemeinen¹³ oder die Veränderung der Informationssicherheitsorganisation mit Blick auf Bedrohungen erforscht.¹⁴ Eine Forschungslücke besteht bei der Umsetzung der Informationssicherheits-Organisation nach den Anforderungen des IT- Sicherheitsgesetzes in Krankenhäusern.

Das IT-Sicherheitsgesetz betrifft zum Zeitpunkt der Untersuchung 119 Krankenhäuser in Deutschland. Die insgesamte Anzahl der Kliniken ist im Zeitraum von 1991 bis 2018 um 19,5 % gesunken, gleichzeitig sind die zu 3 behandelnden Fälle um 33,4 % gestiegen.¹⁵ Eine Konsequenz daraus ist, dass sich die Anzahl der Krankenhäuser, welche die die Grenze von 30.000 Fälle pro Jahr überschreiten, erhöht. Demnach müssen sich in Zukunft immer mehr Krankenhäuser die Frage stellen, wie eine geeignete Aufbauorganisation in ihrem Unternehmen aussehen kann.

Zusätzlich erwartet die Deutsche Krankenhausgesellschaft ein Herabsetzen des Schwellenwertes, um bei steigender Digitalisierung auch das Ziel der Verbesserung der IT-Sicherheit zu gewährleisten.¹⁶

Aus den genannten Gründen ist eine Untersuchung der IS-Organisation, im speziellen in den kritischen Infrastrukturen des Gesundheitswesens, relevant. Zusätzlich bietet diese Untersuchung eine Basis für weitere kritische Infrastrukturen in anderen Branchen, die ähnlichen Anforderungen unterliegen. Die Ergebnisse lassen sich ebenfalls auf Krankenhäuser übertragen, welche nicht kritische Infrastruktur nach dem Gesetz sind.

1.2. ZIELSETZUNG UND FORSCHUNGSFRAGE

Ziel der Master-Thesis ist die Erstellungen eines Konzepts für eine Aufbauorganisation innerhalb von Krankenhäusern auf Basis der Anforderungen des IT-Sicherheitsgesetzes und unter Berücksichtigung des Stands der Technik im Bereich Informationssicherheit.

Die zentrale Forschungsfrage der Arbeit lautet:

Wie sieht ein Konzept zum Aufbau einer Informationssicherheits- Organisation nach den Vorgaben des IT-Sicherheitsgesetzes für Krankenhäuser aus?

Zur Beantwortung der Forschungsfrage wurden folgende Hilfsfragen definiert:

1. Was sind die Vorgaben aus dem IT-Sicherheitsgesetz und wie können diese umgesetzt werden?
2. Gibt es Merkmale anhand derer die IS-Organisation ableiten lässt?
3. Gibt es veränderte oder neue Verantwortlichkeiten und Zuständigkeiten durch das IT-Sicherheitsgesetz?
4. Wie ist die IS-Organisation aktuell in den Krankenhäusern implementiert?

Die Krankenhausbranche stellt mit seinen heterogenen Komponenten und dem direkten Einfluss auf den Gesundheitszustand des Menschen ein hochkomplexes und soziotechnisches System dar.

Durch die angesprochene Komplexität kann das Ergebnis einen generischen Ansatz für eine Sicherheitsorganisation bieten und für andere Bereiche und Einrichtungen Erkenntnisse liefern.

1.3. VORGEHENSWEISE UND AUFBAU DER ARBEIT

Im folgenden Kapitel wird die Vorgehensweise zur Untersuchung der Forschungsfrage beschrieben.

In Kapitel 2 wird zunächst die Krankenhauslandschaft in Deutschland dargestellt. Anschließend werden in Kapitel 3 Grundbegriffe rund um das Thema Informationssicherheit eruiert und in den Kontext des Gesundheitswesens, respektive der Krankenhausbranche, gesetzt.

In den Kapiteln 4-8 findet die Erfassung des aktuellen Forschungsstandes statt, indem zunächst eine ausführliche, theoretische Voranalyse erstellt wird. Explizit werden Anforderungen hinsichtlich der IS-Organisation aus Gesetzen, Standards und Rahmenwerke und wissenschaftlicher Literaturen untersucht.

Eine Operationalisierung der Forschungs- und Hilfsfrage findet durch die Gestaltung der Organisation nach Fiedlers (2010) statt, auf die in Kapitel 7 detaillierter eingegangen wird. Der Ablauf ist in Abbildung 1 beschrieben.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Ablauf zur Operationalisierung der Forschungsfrage ¹⁷

Die gewonnenen Erkenntnisse werden mit der Forschungsfrage in Beziehung gesetzt und in Kapitel 8darauf basierend eine Empfehlung in Form eines Konzepts derIS-Organisation für Krankenhäuser erstellt.

In Kapitel 9wirdanschließend mittels strukturierter und standardisierter Befragung der Ist-Stand der Krankenhäuser in Deutschland zum Thema IS-Organisation aufgenommen. Durch die quantitative Befragung können Verhalten und Zusammenhänge in der Organisation anhand bestimmter Merkmale gemessen werden. ¹⁸ Das dient dazu, in Erfahrung zu bringen, wie die Informationssicherheit in der Organisation umgesetzt wurde oder wird und nach welchem Standard sich das Unternehmen richtet. Dabei wird untersucht, welche Abteilungen und Stellen betroffen, wie Rollen und Verantwortlichkeiten definiert sind und wie die Konfiguration der IS-Organisation aussieht.

Die Erkenntnisse aus den Fragebögen dienen dazu, das erstellte Konzept mit dem Ist-Stand abzugleichen und abschließend Empfehlungen für die IS-Organisation ableiten zu können(Siehe Kapitel 10).

2. KRANKENHAUSLANDSCHAFT IN DEUTSCHLAND

In diesem Kapitel wird ein grober Überblick über die Krankenhauslandschaft in Deutschland vermittelt. Für die weiterführende Untersuchung ist diese Analyse des Umfelds notwendig wegen dessen Wirkung auf die IS-Organisation von Krankenhäusern.

Deutsche Krankenhäuser beschäftigt seit langem der Kosten und Effizienzdruck, was zu immer mehr Optimierungen führt. Wie in Abbildung 2 zu sehen, steigen durch moderne Technik und dem demografischen Wandel die Fallzahlen in den vergangenen 20 Jahren stetig an. Dagegen sinkt die Verweildauer der PatientInnen pro Aufenthalt, was bei gleicher Fallanzahl eine Verringerung der Bettenkapazität zur Folge hat.^{19 20}

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Entwicklung der Fallzahlen und Einrichtungen (1991 bis 2017)

Zudem stehen Krankenhäuser Herausforderungen gegenüber, wie z. B. dem medizinischen und technischen Fortschritt, gesellschaftlichem Wertewandel, zunehmender Wettbewerbsintensität und gesetzlichen Rahmenbedingungen. ²¹ Die hat ebenso zu Schließungen von Krankenhäusern geführt. Viele der öffentlichen Kliniken wurden an private Träger verkauft, wodurch regionale und überregionale Klinikverbünde entstanden sind.

Wichtig zu erwähnen ist der Auftrag eines Krankenhauses. Dieser wurde durch die Gesetzgebung in Form des Versorgungsauftrages folgendermaßen festgelegt:

„Wiederherstellung, Aufrechterhaltung oder allgemein positive Beeinflussung des Gesundheitszustandes im Rahmen der flächendeckenden Versorgung von Patienten die eine vornehmlich stationäre Versorgung benötigen.“²²

Die dort als ,vornehmliche stationäre' beschriebene Versorgung spiegelt sich so auch in §6 Abs. 1 Satz 1 der BSI-Kritisverordnung (BSI-KritisV)²³ wider, welche in Kapitel 4.1 näher behandelt wird.

Einer der Hauptunterscheidungsmerkmale der Krankenhäuser ist die Art des Trägers. Traditionell wird zwischen drei Arten unterschieden:

- Öffentliche Träger (z. B.: Landkreis, Stadt)
- Private Träger (z. B.: Helios GmbH (Fresenius), Rhön-Klinikum AG)
- Freigemeinnützige Träger (z. B.: Agaplesion gAG)

Immer häufiger schließen sich Krankenhäuser zu Gruppen zusammen.

„Charakteristisch für eine solche Gruppe ist, dass es durch gesellschaftsrechtlichen Zusammenschluss zu einer einheitlichen Willensbildung kommt. Das geschieht in der Regel durch mehrheitliche Übernahme der Gesellschaftsanteile einer Krankenhaus-GmbH durch eine Muttergesellschaft, die den sogenannten Organkreis bildet und von der die Willensbildung ausgeht.“²⁴

Durch Zentralisierung und Optimierung sollen Synergieeffekte in den Primär-, Sekundär- und Tertiärleistungsbereichen zu wirtschaftlichen Vorteilen führen.²⁵

Abbildung 3 zeigt ein Ranking der 20 größten Klinik-Unternehmen in Deutschland nach Anzahl der stationären Fälle im Jahre 2012.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: 20 größten Klinik-Unternehmen in Deutschland nach Anzahl der stationären Fälle im Jahr 2012

Zu erkennen ist, dass sich drei bis vier Unternehmen absetzen, die eine drei- bis vierfach höhere Anzahl von Fällen aufweisen. Jedoch ist nach dem Gesetz nur das einzelne Krankenhaus für die Schwelle von 30.000 stationären Fällen zu beurteilen und nicht der Verbund. Hierauf wird in Kapitel 4.1 näher eingegangen.²⁶

3. DEFINITION ZENTRALER BEGRIFFE

In diesem Kapitel werden zentrale Begriffe erklärt, welche für das Verständnis der Arbeit wichtig sind.

3.1. DER SICHERHEITSBEGRIFF

Der Begriff (Unternehmens-) Sicherheit ist ein generischer Begriff und umschließt die Gesamtheit aller Sicherheitsdisziplinen in einem Unternehmen. Darin enthalten sind weitere Bereiche, die sich mit dem Thema Sicherheit beschäftigen. Nicht jeder Sicherheitsdisziplin ist zwingend eine Funktion oder Stelle im Unternehmen zugewiesen. Tätigkeiten zur Erfüllung der anfallenden Aufgaben können sich über verschiedene Personen und Abteilungen erstrecken.

Um den Begriff der Informationssicherheit im Krankenhauskontext zu beschreiben, ist es notwendig die Schnittstellen und Überschneidungen der angrenzenden Disziplinen zu definieren. Ebendiese sind in Abbildung 4 grafisch dargestellt und werden im folgenden Abschnitt beschrieben.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Zusammenwirken der Informationssicherheit mit weiteren Disziplinen²⁷

Wichtig zu erwähnen ist, dass die Grafik keine Funktionen oder Fachrichtungen beschreibt, sondern eine abstrakte Darstellung der angrenzenden Themengebiete

10 zeigt. So ist z. B. das Risikomanagement ein Teil der Informationssicherheit und des Qualitätsmanagements, jedoch Qualitätsmanagement kein originärer Bestandteil der Informationssicherheit, weswegen sich Qualitätsmanagement nicht in der Abbildung wiederfindet.

3.2. PATIENTENSICHERHEIT

Übergeordnet findet sich in den Unternehmenszielen in fast allen Krankenhäusern das Thema Patientensicherheit wieder. Patientensicherheit lässt sich als die „[.] Abwesenheit unerwünschter Ereignisse, die Aktivitäten zu ihrer Vermeidung und die Einhaltung von Standards.“²⁸ definieren. Unerwünschte Ereignisse können auf die unterschiedlichste Art und Weise entstehen. Dies können z. B. Fehler bei der Therapie oder Operationen sein. Eine Gefährdung der Patientensicherheit kann auch durch nichtvorhandene oder falsche Informationen zustande kommen, was ebenfalls in das Gebiet der Informationssicherheit fällt. Die Patientensicherheit wird in allen der in Abbildung 4 gezeigten Bereiche als allgegenwärtig angesehen und deshalb nicht als eigene dargestellt.

3.3. RISIKOMANAGEMENT

Das Risikomanagement im Krankenhaus behandelt alle im Unternehmen entstehenden Risiken. Diese lassen sich in unterschiedliche Kategorien, wie z. B. medizinisch/klinische, betriebswirtschaftliche oder (informations-) technische Risiken einteilen. Im klinischen Kontext ist Risikomanagement häufig mit dem Qualitätsmanagement verbunden.²⁹ Viele Krankenhäuser sind nach Qualitätsmanagement-Normen, wie KTQ oder ISO 9001, zertifiziert. Diese Normen enthalten ein umfangreiches Risikomanagement.

In der Informationssicherheit spielt das Risikomanagement eine entscheidende Rolle und ist Teil aller Standards und Rahmenwerke, die die Informationssicherheit betreffen. Die Risikoanalyse gilt hierbei als Basis für die Auswahl der zu implementierenden Sicherheitsmaßnahmen. Ein Informationssicherheits-Risiko kann dabei ebenfalls ein medizinisches Risiko darstellen, z. B. wenn eine Manipulation von Daten die Behandlung beeinflusst und somit die Patientensicherheit gefährdet.

3.4. BUSINESS CONTINUITY MANAGEMENT

Business Continuity Management (BCM) oder auch häufig als Notfall-, Krisen- und Kontinuitätsmanagement zusammengefasst, beschäftigt sich mit der Wiederherstellung der Verfügbarkeit von Prozessen und Ressourcen nach einer betrieblichen Störung.³⁰

Da nicht alle Risiken vermieden werden können bzw. dies auch nicht immer wirtschaftlich sinnvoll ist, sollte es für schwerwiegende Ereignisse einen „Plan B“ geben, der eine Fortführung der (kontinuitäts-) kritischen Krankenhausprozesse sicherstellt.³¹ Das BCM ist als krankenhausübergreifendes Thema zu sehen und betrifft sämtliche Prozesse, Bereiche und Funktionen, welche für die Aufrechterhaltung des Betriebes notwendig sind. Das BCM wird u.a. in der ISO/IEC 22301 behandelt, auf die häufig innerhalb informationssicherheitstechnischer Normen und Rahmenwerke verwiesen wird. Diese werden in Kapitel 5.2 näher beschrieben. Da BCM, wie Risikomanagement, lediglich ein Baustein von vielen in der Informationssicherheit darstellt, werden diese Normen nicht näher beschrieben.

3.5. DATENSCHUTZ

Der Datenschutz schützt jede einzelne Person und dessen Daten. Hierbei dürfen beim Umgang dieser Daten die Persönlichkeitsrechte nicht eingeschränkt werden.³² Der Datenschutz ist juristisch geprägt und befasst sich ausschließlich mit dem Schutz personenbezogener Daten. Somit gibt es zum einen eine nicht zu vernachlässigende Schnittmenge mit der Informationssicherheit, jedoch ebenso Interessenskonflikte, welche zu berücksichtigen sind. So weißen Jäschke und Rüter explizit auf die Interessenskonflikte zwischen, in diesem Falle, Datenschutz und Datensicherheit hin. Entwicklungen wie eine SIEM-Lösung sammeln Unmengen an personenbezogenen Daten zur Verbesserung der Informationssicherheit, was im Konflikt mit der Datensparsamkeit aus dem

Datenschutz steht. Als weiteres Beispiel sei die Firewall erwähnt, welche ggfs. verschlüsselten Traffic aufbricht, um Schadsoftware zu erkennen.³³

3.6. INFORMATIONSSICHERHEIT UND IT-SICHERHEIT

In der Literatur besteht keine Einigkeit über die Definition von Informationssicherheit. Häufig wird IT-Security oder IT-Sicherheit als Synonym verwendet. Gerade in älterer Literatur ist meist von IT-Security die Rede.³⁴

Auch die Kurzform des IT-Sicherheitsgesetzes trägt „IT-Sicherheit“ im Namen, wobei die Anforderungen und Maßnahmen über die der Informations-Technik (IT) hinausgeht und deshalb der Begriff der Informationssicherheit weitfassender und zutreffender ist. Der nach §8a Abs. 1 ITSiG einzuhaltende Stand der Technik wird vom Branchenstandard und den einschlägigen Standards und Rahmenwerke als Informationssicherheit bezeichnet. ³⁵ Der branchenspezifische Sicherheitsstandard (B3S) sagt:

„[.] Datenschutz und Datensicherheit gemeinsam sind Bestandteil, was man heute unter „Informationssicherheit“ versteht.“³⁶

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt in dem 2017 veröffentlichten Standard ,BSI 200-1 Management für Informationssicherheit (ISMS)‘ den Begriff Informationssicherheit als umfassender und besser geeignet als IT-Sicherheit.³⁷

So wird auch in dieser Arbeit die Informationssicherheit als übergreifenden Begriff definiert, wobei die IT-Sicherheit, oder IT-Security ein Teil der Informationssicherheit einnimmt und im Speziellen den Schutz der Informations und Telekommunikationstechnik (ITK) vor Bedrohungen sicherstellt. Eine weitere Gemeinsamkeit der Informationssicherheit mit IT-Sicherheit sind die Schutzziele. In der Literatur werden unterschiedliche Ausprägungen erwähnt. Die gängigsten und u.a. auch in §8a ITSiG genannten Schutzziele sind die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme.³⁸ Die Integrität wird gewährleistet, wenn es nicht möglich ist, die zu schützenden Daten unautorisiert und unbemerkt zu verändern.

Unter Authentizität wird die Echtheit und Glaubwürdigkeit eines Objektes verstanden, welche anhand einer eindeutigen Identität und charakteristischen Eigenschaften überprüfbar ist.

Die Vertraulichkeit ist gewährleistet, wenn es keine unautorisierten Informationsgewinnungen möglich sind.

Ein System gewährleistet Verfügbarkeit, wenn authentifizierte und autorisierte Subjekte in der Wahrnehmung ihrer Berechtigung nicht unautorisiert beeinträchtigt werden können.³⁹

Die Umsetzung der Schutzziele wird durch ein Informationssicherheits­Managementsystem (ISMS) gewährleistet. Innerhalb des ISMS werden Prozesse und Strukturen zum Aufbau eines integrierten Managementsystems für Informationssicherheit etabliert. Kernstück ist die Einhaltung des sich selbst auferlegten und definierten Regelwerks, welches zyklisch überprüft und kontinuierlich verbessert wird.⁴⁰ Es werden technische und organisatorische Maßnahmen zur Verbesserung und Einhaltung der Informationssicherheit definiert und umgesetzt. Die Implementierung eines ISMS wird in den Standards und Rahmenwerke beschrieben, welche in Kapitel 5.2 näher ausgeführt sind.⁴¹

3.7. SICHERHEIT IM KRANKENHAUS-KONTEXT

Gerade im Gesundheitswesen ist das Thema der Sicherheit aus unterschiedlichen Gesichtspunkten ein wichtiges. Werden die im Kapitel zuvor beschriebenen Schutzziele der Informationssicherheit mit den Zielen einer Gesundheitsorganisation kombiniert, ergibt sich ein neuer Blickwinkel auf das Thema Sicherheit. So ist die Patientensicherheit im Krankenhaus eines der höchsten Ziele, die es zu erreichen gibt. Die Integrität von Informationen haben direkten Einfluss auf die Qualität der Behandlung, da z. B. bei falschen Blutwerten verheerende Diagnosen erstellt und Fehlbehandlungen durchgeführt werden könnten. Oder die Verfügbarkeit von Systemen und deren Informationen, welche notwendig sind, um wichtige medizinische Entscheidungen zu treffen. Das Schutzziel der Vertraulichkeit reicht sogar bis in das alte Griechenland, wo der Eid des Hippogrades ÄrztInnen dazu veranlasst, anvertrauten Geheimnissen auch über den Tod der PatientInnen hinweg zu wahren.⁴² Dies gilt ebenfalls, wenn die Informationen in digitaler Form gespeichert werden.

Für die PatientInnen ist die Behandlungsqualität der wichtigste Entscheidungsfaktor. Jedoch können sie selbst die Behandlungsqualität nur schwer einschätzen. Deshalb gewinnen Sekundärfaktoren an Bedeutung. Nach Jäschke und Richard könnte dies auch der Datenschutz, respektive die Informationssicherheit, in einem Krankenhaus sein. Eine weitere Aussage ist, dass Datenschutz eine Art Hygienefaktor im Krankenhaus und nach der Zwei-Faktoren­Theorie nach Herzberg ein Basisdienst ist, der bei Fehlen zur Unzufriedenheit der PatientInnen führt.⁴³

Zusammengefasst ist Informationssicherheit im Krankenhaus ebenso notwendig für den Schutz der PatientInnen und deren Daten als auch den Schutz der Werte des Unternehmens. Zudem bietet Informationssicherheit ein Qualitätsmerkmal, welches von PatientInnen vorausgesetzt wird.

4. NORMATIVE RAHMENBEDINGUNGEN

In den folgenden Kapiteln werden normative Rahmenbedingungen beschrieben, welche Einfluss auf Krankenhäuser nehmen.

Zusätzlich zum IT-Sicherheitsgesetz gibt es weitere regulatorische Vorgaben, welche Themen im Bereich des Schutzes von Informationen und Daten behandeln. Die Gesetze haben wesentliche Auswirkungen auf die IS-Organisation im Krankenhaus und sind beim Aufbau dieser zu berücksichtigen, um einen holistischen Ansatz zu erhalten. Gerade auf europäischer Ebene gelten einige Richtlinien und Verordnungen, die zusammen mit nationalen Gesetzen in Abbildung 5 aufgelistet und im Folgenden beschrieben werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Regulatorische Vorgaben für Informationssicherheit im Gesundheitssektor44

4.1. IT-SICHERHEITSGESETZ

Mit dem im Juli 2015 in Kraft getretenem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), hat die Bundesregierung der Bundesrepublik Deutschland die bereits im Jahre 2011 festgelegte Cyber­Sicherheitsstrategie umgesetzt. Kernziel des Gesetzes ist die Verbesserung der Sicherheit und des Schutzes der IT-Systeme und Dienste, insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS).^{44 45} Neben den Sektoren Energie, Wasser und Ernährung wurde am 30.06.2017 mit dem Inkrafttreten der ersten Verordnung zur Änderung der BSI-Kritis-Verordnung (BSI-KritisV) die Sektoren Finanz- und Versicherungswesen, Transport und Verkehr aber auch das Gesundheitswesen miteingeschlossen. Nach BSI-KritisV Anlagekategorie Teil 3 zählen als kritische Infrastruktur alle Krankenhäuser ab einer Behandlung von 30.000 vollstationären Fällen pro Jahr.⁴⁶ Nach aktuellen Kennzahlen sind davon 119 von ca. 2.000 Krankenhäuser betroffen.⁴⁷

Für die Umsetzung des Gesetzes schreibt das IT-Sicherheitsgesetz spätestens bis 2 Jahre nach Inkrafttreten der Rechtsverordnung (BSI-KritisV) bestimmte Maßnahmen vor.

Zusätzlich können branchenspezifische Sicherheitsstandards (B3S) durch die Branchenverbände vorgeschlagen werden. Die Deutsche Krankenhausgesellschaft (DKG) hat im April 2019, den aus dem BAK MV verabschiedeten B3S dem BSI zur Prüfung vorgelegt. In diesem sind u.a. Rollen und Verantwortlichkeiten beschrieben und wie Informationssicherheit in die Organisation implementiert werden kann. Der B3S beschreibt z. B. die Benennung von Beauftragten für Informationssicherheit (ISB) und ein spezielles Informationssicherheits-Management-Team.⁴⁸

Diese und weitere Standards werden in 5.2 Standards und Rahmenwerke ausführlich beschrieben.

Die BSI-KritisV findet zudem im §11 Abs. 4a des themenfremden Gesetzes zur Stärkung des Pflegepersonals einen Passus, in dem die Förderungsfähigkeit bestimmter Maßnahmen zur Umsetzung der BSI-KritisV beschrieben ist.⁴⁹ So wurde für Krankenhäuser eine Möglichkeit der Querfinanzierung geschaffen, was eine zusätzliche Motivation zur Umsetzung der Anforderungen bietet.

4.1.1. INTERPRETATIONEN

Für die Bearbeitung der Forschungsfrage mit Blick auf die Aufbauorganisation im Krankenhaus wird innerhalb §6 Abs. 1 der BSI-KritisV explizit auf die stationäre Medizinische Versorgung hingewiesen.⁵⁰ Des Weiteren werden die Bereiche Aufnahme, Diagnose, Therapie, Unterbringung/ Pflege und Entlassung unterschieden. Daraus lässt sich ableiten, dass nach dem Gesetz der Fokus auf die Versorgung und Sicherstellung der stationären Patientenversorgung liegt. Im Umkehrschluss deutet dies darauf hin, dass Bereiche wie ambulante und teilstationäre Versorgung prinzipiell vom Gesetz ausgenommen sind und nicht in den Geltungsbereich fallen. Zu beachten ist jedoch, dass neben den genannten primären Bereichen, Aufnahme, Diagnose, Therapie, Unterbringung/ Pflege und Entlassung, sekundäre Bereiche zur Erfüllung der stationären Versorgung erforderlich sind. So ist z. B. ohne eine Speise-, Energie- oder Wasserversorgung die stationäre Versorgung von PatientInnen nicht möglich. Auch ein Ausfall von Medizin- und Informationstechnik bedeutet eine nicht akzeptable Einschränkung der stationären Patientenversorgung. Die vom BSI in Auftrag gegebene Sektorstudie aus dem Jahre 2016 beschreibt in Kapitel 3 detailliert die Kritikalität der Versorgungsdienstleistungen im Krankenhaus auf Prozess und Abteilungsebene.⁵¹ Dies ist eine wissenschaftliche Interpretation der kritischen Versorgungsdienstleistungen und kann als Grundlage für Krankenhäuser zur Identifikation des eigenen Geltungsbereichs dienen.

4.1.2. SCHWACHSTELLEN IM GESETZ

Der in der BSI-KritisV für Krankenhäuser definierte Schwellenwert von 30.000 vollstationären Fälle pro Jahr wurde als Bemessungsgrenze einer kritischen Infrastruktur festgelegt. Zu hinterfragen ist, ob die Fallzahl eine aussagekräftige Variable darstellt, um kritische Infrastrukturen zu definieren. Zudem hat die deutsche Krankenhausgesellschaft bereits eine Herabsenkung des Schwellenwertes prognostiziert.⁵² Auch im IT-Sicherheitsgesetz 2.0, dessen Entwurf bereits vorliegt, wird eine Herabsenkung des Schwellenwertes vermutet.⁵³

Zum Vergleich werden im Netz- und Informationssicherheitsgesetz der Republik Österreich nach §16 Abs. 2 die wesentlichen Dienste durch den Bundeskanzler bestimmt.^{54 55} Zur Beurteilung sind dabei folgende Faktoren zu berücksichtigen:

- Zahl der vom Dienst abhängigen Nutzer
- Abhängigkeit anderer Sektoren, Marktanteil, geografische, wirtschaftliche, gesellschaftliche und öffentliche Auswirkung eines Sicherheitsvorfalles
- Bedeutung des Betreibers an der Aufrechterhaltung des wesentlichen Dienstes

In Deutschland lässt sich eine unregelmäßige Verteilung der Kritis-Einrichtungen beobachten. So ist z. B. im Nord-Osten Deutschlands eine größere Fläche zu erkennen, in der kein Kritis-Krankenhaus definiert ist. Eine Definition anhand weiterer Faktoren, wie in Österreich, stellt eine Alternative zur Fallzahl dar, um eine Verbesserung der Abdeckung zu erzielen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Verteilung Kritis-Krankenhäuser in Deutschland

Das IT-Sicherheitsgesetz ist bei der Beschreibung der Maßnahmen zur Erfüllung der Anforderungen unspezifisch. Nach §8a Abs.1 ITSiG „[...] können Betreiber kritischer Infrastrukturen und ihre Branchenverbände branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen vorschlagen.“⁵⁶ Im Bereich der Krankenhäuser wurde der erste Entwurf eines B3S im Dezember 2018 veröffentlicht und bis August 2019 noch nicht durch das BSI freigegeben, konnte jedoch als Grundlage zur Nachweiserbringung gewählt werden. Die Nachweiserbringung musste bereits zum 30.06.2019 erfolgen. Eine Umsetzung der Maßnahmen nach dem B3S war zeitlich daher eine Herausforderung.

Des Weiteren ist zu erwähnen, dass die Wortwahl des IT-Sicherheitsgesetzes nicht adäquat ist, da in allen Standards und Rahmenwerke die Bezeichnung Informationssicherheit favorisiert wird. (Siehe auch Kapitel 3.6). Da Informationssicherheit über die Aufgaben und Verantwortlichkeit einer IT-Abteilung hinausgeht, begünstigt die Benennung des Gesetzes Missverständnisse in den Unternehmen.

4.2. NIS-RICHTLINIE

Die europäische Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie) vom 29.06.2016 ist eine weitere gesetzliche Regelung zum Schutz kritischer Infrastrukturen. Auch hier wird explizit auf den Bereich der Gesundheitsversorgung in Krankenhäuser hingewiesen. Europäische Richtlinien sind nicht unmittelbar wirksam und müssen erst durch nationale Gesetze umgesetzt werden. Mit dem IT-Sicherheitsgesetz ist Deutschland Vorreiter in Europa und deckt bereits die Anforderungen aus der NIS-Richtlinie ab.⁵⁷

4.3. DATENSCHUTZ-GRUNDVERORDNUNG

Mit der europäischen Datenschutz-Grundverordnung (DSGVO), welche seit dem 25.05.2018 anzuwenden ist, ist für alle Unternehmen ein weiteres Gesetz zu berücksichtigen, das Einfluss auf die Verarbeitung von Daten und Informationen hat. Ähnlich wie im IT-Sicherheitsgesetz werden technische und organisatorische Maßnahmen gefordert. Zu unterscheiden ist jedoch der Fokus der DSGVO auf den Schutz personenbezogener Daten. Ebenso wird in beiden Gesetzen der Erhalt der Verfügbarkeit, Integrität und Vertraulichkeit der Daten erwähnt. Dies hat zur Folge, dass für die Umsetzung der jeweiligen Anforderungen zwangsweise parallelen entstehen, welche innerhalb der Unternehmen bestenfalls zentral koordiniert werden.

Auch wenn die Maßnahmen ähnlich sind, sind mögliche Interessenskonflikte zwischen Informationssicherheit und Datenschutz zu berücksichtigen. Die DSGVO weist nach Art. 38 Abs. 6. darauf hin, dass die Aufgaben der Datenschutzbeauftragten nicht zu einem Interessenskonflikt führen dürfen.⁵⁸

4.4. REGULARIEN ZU MEDIZINPRODUKTE

Für Herstellung, Einrichtung, Betrieb, Anwendung und Sicherheit von Medizinprodukten gibt es eine Reihe an Gesetzgebungen. Gerade die im Jahre 2017 in Kraft getretene europäische Medizinprodukte-Verordnung löste ganze drei europäische Gesetze ab und hat Einfluss auf alle weiteren nationalen Gesetze.⁵⁹

In der Medizinprodukte-Betreiberverordnung werden konkrete Vorschriften zur Einrichtung, Betrieb und Anwendung von Medizinprodukten an die Betreiber, wozu auch Krankenhäuser zählen, gestellt. So werden in §6 Abs. 1 und 2 der Medizinprodukte-Betreiberverordnung Beauftragte für Medizinproduktesicherheit wie folgt vorgeschrieben:

Sachkundige und zuverlässige Person mit medizinischer, naturwissenschaftlicher, pflegerischer, pharmazeutischer oder technischer Ausbildung als Beauftragter für Medizinproduktesicherheit bestimmt ist.“⁶⁰ „Der Beauftragte für Medizinproduktesicherheit nimmt als zentrale Stelle in der Gesundheitseinrichtung folgende Aufgaben für den Betreiber wahr: die Aufgaben einer Kontaktperson für Behörden, Hersteller und Vertreiber im Zusammenhang mit Meldungen über Risiken von Medizinprodukten sowie bei der Umsetzung von notwendigen korrektiven Maßnahmen die Koordinierung interner Prozesse der Gesundheitseinrichtung zur Erfüllung der Melde- und Mitwirkungspflichten der Anwender und Betreiber und die Koordinierung der Umsetzung korrektiver Maßnahmen und der Rückrufmaßnahmen durch den Verantwortlichen nach § 5 des Medizinproduktegesetzes in den Gesundheitseinrichtungen.“⁶¹

Im Vergleich zum IT-Sicherheitsgesetz werden bereits im Gesetz alle der drei Punkte, Spezialisierung, Koordination und Konfiguration, aus der Gestaltung einer Organisation nach Fiedler angesprochen (Siehe Kapitel 1.2 Zielsetzung und Forschungsfrage).

Informationssysteme oder medizintechnische Geräte können ebenfalls Medizinprodukte sein und diesen Regularien unterliegen, weshalb dies beim Aufbau der IS-Organisation zu berücksichtigen gilt.

4.5. E-HEALTH-GESETZ

Das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen sowie zur Änderung weiterer Gesetze (E-Health-Gesetz), das Anfang 2016 in Kraft getreten ist, soll die digitale Vernetzung der Akteure im Gesundheitswesen vorantreiben. Dies soll durch konkrete Maßnahmen, wie z. B. den Medikationsplan oder die Einführung der Telematik Infrastruktur geschehen. Förderungen und Sanktionen sollen die Umsetzung sicherstellen.⁶² Weitere Ergänzende Gesetze sind in Planung und folgen in naher Zukunft um die Digitalisierung im Gesundheitswesen weiter vorantreiben. Das fördert die intersektorale Vernetzung und Digitalisierung des Gesundheitswesens und zeigt die wachsende Wichtigkeit der Informationssicherheit in diesem Sektor. Diese externen Interessensgruppen sind als Schnittstellen innerhalb der IS-Organisation zu berücksichtigen.

5. RELEVANTE INSTITUTIONEN UND STANDARDS

Die in den folgenden Kapiteln beschriebenen Institutionen sind bei der Erstellung, Umsetzung oder Überprüfung der in Kapitel 4 beschriebenen Regularien beteiligt bzw. entwerfen Standards und Rahmenwerke, die bei der Umsetzung der gesetzlichen Anforderungen unterstützen (siehe Kapitel 5.2).

5.1. RELEVANTE INSTITUTIONEN

Die Zusammenarbeit mit externen Behörden und Institutionen wird im IT- Sicherheitsgesetz verlangt und in den einschlägigen Standards und Rahmenwerken detaillierter beschrieben. Die folgenden Kapitel geben einen Überblick der wichtigsten Institutionen.

5.1.1. BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Teil des Geschäftsbereichs des Bundesministeriums des Inneren und ist eine unabhängige Stelle für Fragen zur IT-Sicherheit. Mit dem IT-Grundschutz entwickelt das BSI konkrete Vorgehensweisen zur Umsetzung von Sicherheitsmaßnahmen. Kritische Infrastrukturen sind verpflichtet dem BSI kritische Vorfälle zu melden und müssen nach §8a ITSiG mindestens alle zwei Jahre dem BSI Nachweise zur Umsetzung der Maßnahmen aus dem Gesetz liefern. 6364

5.1.2. UP KRITIS

Als öffentlich-private Kooperation zwischen Betreibern von kritischen Infrastrukturen, deren Verbände und den zuständigen staatlichen Stellen wurde der Umsetzungsplan Kritische Infrastrukturen (UP KRITIS) gebildet.^{63 64 65} Er organisiert u.a. Branchenarbeitskreise (BAK) der einzelnen KRITIS-Sektoren, die für die Entwicklung der branchenspezifischen Sicherheitsstandards (B3S) nach §8a Abs. 2 des IT-Sicherheitsgesetzes verantwortlich sind.

5.1.3. ENISA

Die Europäische Agentur für Netz- und Informationssicherheit ist (ENISA) wurde 2004 von der Europäischen Union gegründet und unterstützt diese bei der Beratung speziell im Bereich der Cybersecurity. Sie arbeitet eng mit den Mitgliedern der EU zusammen und entwirft u.a. Handlungsempfehlungen für die Umsetzung von IT-Sicherheitsmaßnahem.⁶⁶

Im Dezember 2018 ist durch den Rechtsakt zur Cybersicherheit in der EU die ENISA weiter gestärkt und ein dauerhaftes Mandat in der EU eingeräumt worden. Sie soll die Mitgliedsstaaten bei der Cybersicherheit unterstützen und einen europäischen Zertifizierungsrahmen für die Cybersicherheit von Produkten, Verfahren und Diensten schaffen.⁶⁷

5.1.4. DKG

Der Deutsche Krankenhausgesellschaft e.V. (DKG) repräsentiert als deutscher Dachverband die Interessen der Krankenhäuser. Durch die unterschiedlichen Verbände wirkt er u.a. bei der Entwicklung von Gesetzen mit. Zusätzlich veröffentlicht die DKG als Branchenverband den B3S.

5.1.5. ISACA

Die Information Security Audit and Control Association (ISACA) ist ein Berufsverband für IT-Revisoren und Wirtschaftsprüfer, welcher unabhängig und international tätig ist. In Deutschland wird dieser durch den ISACA Germany Chapter e.V. vertreten.⁶⁸ ISACA hat u.a. das COBIT-Framework entwickelt, auf das in Kapitel 5.2.2 näher eingegangen wird. Des Weiteren entwickelte ISACA die weltweit anerkannten Berufszertifizierungen Certified Information Security Auditor und Certified Information Security Manager.

5.2. STANDARDS UND RAHMENWERKE

Die im IT-Sicherheitsgesetz gestellten Anforderungen sind unspezifisch und lassen Raum für Interpretation. Standards und Rahmenwerke bieten ein Gerüst für die Umsetzung der Anforderungen und gehenauf die Einführung einer geeigneten Organisationsstruktur ein.

Innerhalb der Handlungsempfehlung des UP KRITIS wird explizit darauf hingewiesen, dass dies kein reines IT-Thema sei und über die Aufgabenbereiche der jeweiligen IT-Abteilungen hinausreiche. Bei der Umsetzung der in der Handlungsempfehlung beschriebenen Anforderungen wird empfohlen auf bestehende Normen und Konzepte zurückzugreifen. So sind explizit der BSI- Standard und die ISO/IEC 27000 Familie Reihe genannt.⁶⁹

Für Informationssicherheit sind eine Vielzahl an Standards und Rahmenwerke (häufig auch engl. Framework) vorhanden. Anders als bei Gesetzen ist die Einhaltung derer freiwillig. Um gesetzliche Bedingungen zu erfüllen ist es jedoch sinnvoll sich an diese zu halten, da Standards und Rahmenwerke einen Entlastungsnachweis darstellen können.^{70 71}

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Relevante Standards und Rahmenwerke im Bereich Informationssicherheit für den Gesundheitssektor

In den folgenden Kapiteln wird eine Übersicht der wichtigsten Standards und Rahmenwerke vermittelt, welche für die Bearbeitung der Arbeit relevant sind. Eine vollständige Übersicht wurde auf Grund der Komplexität nicht erstellt. In Abbildung 7sind alle in der Arbeit berücksichtigten Standards und Rahmenwerke aufgelistet.

Sie sind nach International und/oder National und allgemein- und/ oder gesundheitsspezifisch eingeordnet.

5.2.1. DIN ISO/IEC 27001 UND FOLGENDE

Die internationale Norm ISO/IEC 27001 beschreibt die Umsetzung, Pflege und kontinuierlichen Verbesserung eines ISMS und liegt ebenfalls als Deutsche Industrie Norm (DIN) vor. Sie enthält Maßnahmen und Vorgaben zur Implementierung eines ISMS und spezifiziert diese mit Kontrollmaßnahmen, welche im Annex A der Norm beschrieben sind.⁷² Die ISO/IEC 27002 ist mit der ISO/IEC 27001 verknüpft und liefert detailliertere Umsetzungshinweise der im Annex A der Norm beschriebenen Kontrollen.

Die ISO/IEC 27001 ist in Deutschland weit verbreitet und findet sich als Referenz in Branchenstandards, wie den B3S wieder. Viele weitere Rahmenwerke, wie z. B. COBIT6 oder der BSI-Grundschutz, bieten Schnittstellen und Zertifizierungen auf Basis der ISO/IEC 27001 an und sind zu dieser kompatibel.

Die ISO/IEC 27000 Familie bietet im Vergleich zu anderen Rahmenwerken einen abstrakten und generischen Ansatz, was eine generalistische und branchenunabhängige Umsetzung ermöglich, jedoch die Implementierung und Einarbeitung in die Norm für Laien erschwert.

Wie in der Abbildung 8 zu erkennen, ist die Anzahl der ISO/IEC 27001 Zertifizierungen weltweit von 2006 bis 2017 auf das fast siebenfache angestiegen. Dies lässt zum einen eine wachsende Popularität und Verbreitung der Norm und zum anderen die Wichtigkeit des Themas der Informationssicherheit für die Unternehmen vermuten.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8: Vergebene ISO-27001-Zertifikate weltweit (2006-2017)

Die ISO/IEC 27000 Familie enthält insgesamt über 20 Standards, welche Anforderungen spezieller Themenbereiche beschreiben. So deckt z. B. die ISO/IEC 27005 das Risikomanagement der Informationssicherheit ab.

Speziell hervorzuheben ist die ISO/IEC 27799, welche die medizinische Informatik und deren Sicherheitsmanagement im Gesundheitswesen unter Verwendung der ISO/IEC 27002 beschreibt.^{73 74} Alle in der ISO/IEC 27002 enthaltenen Kontrollen wurden innerhalb der ISO/IEC 27799 auf spezielle Anforderungen im Gesundheitskontext untersucht und um weitere Maßnahmen zur Umsetzung ergänzt. Sie bietet einen detaillierten und umfangreichen Rahmen zur Umsetzung der Informationssicherheit in Krankenhäusern.

5.2.2. COBIT 5

COBIT 5 (Control Objectives for Information and Related Technology) ist ein internationales Rahmenwerk für IT-Governance und IT-Management der ISACA, welches anerkannte Prinzipien, Praktiken, analytische Instrumente und Modelle beinhaltet.⁷⁵ Innerhalb des Rahmenwerkes gibt es unter den Professional Guides das „COBIT 5 for Information Security“, welche Leitlinien zum Management von Informationssicherheit beinhaltet.⁷⁶

COBIT 5 legt hierbei einen besonderen Wert auf die Separierung von Governance (Unternehmensführung) und Management. So stellt nach COBIT 5 die Governance sicher, dass Bedürfnisse der Stakeholder und die definierten Unternehmensziele erzielt werden. Dies soll durch gezielte Priorisierung und Überwachung der Leistung gewährleistet werden, wobei stehts die vereinbarten Ziele und Richtlinien einzuhalten sind.⁷⁷

Hingegen hat das Management die Aufgabe der Planung, Erstellung, des Betriebs und der Überwachung der mit der Governance abgestimmten Aktivitäten, die zur Erreichung der Unternehmensziele dienen.⁷⁸

Im weiteren Verlauf der Arbeit wird zur Vereinfachung COBIT 5 als Synonym für das Professional Guide „COBIT 5: For Information Security“ verwendet.

5.2.3. BSI IT-G RUNDSCHUTZ

Der IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellte Vorgehensweise zur Erreichung eines mittleren bis sehr hohen Sicherheitsniveaus. Die Umsetzung wird insgesamt in vier beschrieben:

- BSI-Standard 200-1: Managementsysteme für Informationssicherheim (ISMS)
- BSI-Standard 200-2: IT-Grundschutz Methodik
- BSI-Standard 200-3: Risikoanalyse auf Grund der Basis von IT- Grundschutz
- BSI Standard 100-4: Notfallmanagement

Der BSI-Standard ist kompatibel mit der ISO/IEC 27001 und eine Zertifizierung nach ISO/IEC 27001 auf Basis des IT-Grundschutzes ist möglich. Das BSI beschreibt innerhalb seines IT-Grundschutz-Kompendiums, welches im BSI- Standard 200-2 behandelt wird, in seinen aktuell insgesamt 94 Bausteinen konkrete Umsetzungsmaßnahmen für sämtliche Bereiche der Informationssicherheit.⁷⁹ Diese werden stetig erweitert und aktualisiert und bieten somit eine technische und organisatorische Beschreibung des Stands der Technik. In der weiteren Bearbeitung wird die Gesamtheit des BSI-Standards (200-1 bis 3 und 100-4) als BSI-Grundschutz bezeichnet.

5.2.4. DIN EN 80001

Die DIN EN 80001-1 beschreibt:

„[.] Prozesse, Aufgaben und Verantwortlichkeiten für das Risikomanagement in medizinischen IT-Netzwerken und weist dabei auf die gemeinsame Verantwortung von Herstellern und Betreibern hin.“⁸⁰

Sie ist nicht gesetzlich gefordert und Medizinprodukte können bisweilen ohne weitere Prüfung in IT-Netzwerken betrieben werden. Die zunehmende Vernetzung der medizintechnischen Produkte wird die Relevanz einer solchen Norm in Zukunft immer mehr bestätigen. Gerade in Bezug auf das Risikomanagement und den Verantwortlichkeiten gibt es eine Überschneidung mit der Informationssicherheit und ist deshalb für die Bearbeitung der Arbeit relevant.

5.2.5. B3S

Der branchenspezifische Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (B3S) wurde, wie in §8a des ITSiG beschrieben, durch Branchenverbände erstellt und dem BSI zur Eignungsprüfung vorgelegt.⁸¹ Zum Zeitpunkt der Erstellung dieser Arbeit, ist dieser noch nicht vom BSI freigegeben. Wie Abbildung 9 dargestellt, bedient sich der B3S gängiger Standards und Rahmenwerke und ergänzt diese mit Handlungsempfehlungen speziell für Krankenhäuser. Durch seine Praxisnähe wird eine hohe Berücksichtigung in den Krankenhäusern vermutet.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 9: Rahmenbedingungen und Quellen zur Erstellung des B3S⁸²

5.2.6. STANDARD OF GOOD PRACTICE FOR INFORMATION SECURITY

Das Information Security Forum (ISF) beschreibt in seinem „Standard of Good Practice for Information Security“ (SOGP) Themen der Informationssicherheit mit praktischen Leitlinien und Umsetzungshinweisen. SOGP berücksichtigt gängige Standards, Rahmenwerke und gesetzliche Vorgaben, wie ISO/IEC 27001, COBIT, CIS (Center for Information Security), NIST (National Institute of Standards and Technology), PCI DSS (Payment Card Industry Data Security Standard) und DSGVO. Diese Zusammenstellung bietet eine fundierte Basis und wird innerhalb der Bearbeitung der Arbeit berücksichtigt.⁸³

5.2.7. HITRUST CSF

Die Health Information Trust Alliance (HITRUST) ist ein privates Unternehmen aus Frisco, Texas (USA), welches mit seinem Framework HITRUST CFR Informationssicherheit zu einem zentralen Punkt bei der Implementierung von informationstechnischen Systemen innerhalb von Institutionen des Gesundheitswesens wird. Es berücksichtigt internationale und US-amerikanische anerkannte Standards, wie ISO, PCI, COBIT, HIPAA und NIST, um somit ein allumfassendes Framework zu schaffen (Siehe Abbildung 10: Internationale Rahmenwerke und HITRUST CSF).⁸⁴

In den 13 Security-Controls-Kategorien befindet sich die Kategorie „5. Organization of Information Security“ innerhalb derer auf verschiedene Punkte des Aufbaus einer Informationssicherheits-Organisation eingegangen wird.^{85 86} Das HITRUST CSF bietet als einziges Framework eine Unterscheidung der umzusetzenden Maßnahmen anhand bestimmter Messgrößen, unter anderem anhand derBettenanzahl des Krankenhauses.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 10: Internationale Rahmenwerke und HITRUST CSF

Aus diesem Grund wurde international hauptsächlich auf das HITRUST CSF verwiesen, da es viele gängige Standards, wie z. B.NIST oder PCI miteinschließt.

6. ORGANISATION IM KRANKENHAUS

Die Organisation sorgt im Unternehmen für eine koordinierte Umsetzung der unternehmerischen Ziele und stellt sicher, dass die damit verbundenen Aufgaben nicht isoliert vollzogen werden.⁸⁷

Eine ganzheitliche Betrachtung des Unternehmens ist bei der Organisation notwendig. Dabei wird zwischen der Aufbau - und der Ablauforganisation unterschieden.⁸⁸

Die Aufbauorganisation zeigt die Struktur eines Unternehmens, indem die zu erledigenden Aufgaben in Stellen und diese wiederum in Abteilungen zusammengefasst werden, während die Ablauforganisation die Arbeitsabläufe und Prozesse im Unternehmen, welche sich über mehrere Abteilungen der Ablauforganisation erstrecken, darstellt.⁸⁹

Beide Organisationsarten sind eng miteinander verzahnt und lassen sich nicht eindeutig abgrenzen. Aufbau- und Ablauforganisation sind „[.] das Ergebnis einer gedanklichen Trennung, durch die ein stufenweises Vorgehen bei der komplexen organisatorischen Gesamtaufgabe möglich wird.“⁹⁰ Deshalb findet die Ablauforganisation zwangsweise ebenfalls Berücksichtigung bei der Bearbeitung der Forschungsfrage.

Organisation im unternehmerischen Kontext ist das verbindliche Einhalten von Regeln innerhalb eines längeren Zeitraumes. Es wird in der Literatur auch als sozio-technisches System gesehen, innerhalb dessen die MitarbeiterInnen mit den zur Verfügung stehenden Ressourcen zusammenwirken und somit einen Mehrwert für das Unternehmen bieten.⁹¹

6.1. ORGANISATIONSFORMEN

Bei der Linienorganisation erhält in der Regel eine Stelle nur von einem Vorgesetzen Weisungen. Als Sonderform kann die Organisation durch Die Primärorganisation, die sich mit der Bearbeitung routinemäßigen Aufgaben beschäftigt, lässt sich klassisch in die Funktionale-, die Divisionale- und die Matrixorganisation unterteilen. In den Unternehmen sind meist Mischformen zu finden.⁹²

Innerhalb der funktionalen Organisationsform ist das Unternehmen nach der Art der Verrichtung, z. B. Forschung und Entwicklung, Beschaffung, Produktion, etc., aufgeteilt. Dies ist auch die ursprüngliche Form eines klassischen Industrieunternehmens.⁹³

Die divisionale Organisation unterscheidet auf den oberen Hierarchieebenen nach Objekten oder auch Produktgruppen, z. B. Herrenkleidung, Damenkleidung und Kinderkleidung.⁹⁴

Die Matrixorganisation weißt als Charakteristika die Strukturierung nach zwei Dimensionen, meist auf der zweiten Hierarchieebene, auf. Sie soll die Vorteile der funktonalen und divisionalen Organisation vereinen, indem die Systeme kombiniert werden und sich die Dimensionen überlagern.⁹⁵

Auf weitere Sonderformen der Primärorganisationen wird nicht eingegangen, da diese als nicht relevant für die Bearbeitung der Forschungsfrage angesehen werden.

Neben den Primärorganisationen beschäftigen sich die Sekundärorganisation mit der „[.] Erfüllung besonderer, bedeutsamer Aufgaben, die keine Routineaufgaben sind.“⁹⁶

Sie besteht neben der Primärorganisation und unterstützt diese. Somit lassen sich spezielle und unternehmerisch wichtige Funktionen bereichsübergreifend planen, koordinieren, umsetzen und kontrollieren.⁹⁷

Ein Beispiel der Sekundärorganisation ist die Stabsstellenorganisation oder Stabliniensystem, die als unterstützende Instanz die Linienorganisation bei ihrer Aufgabe behilflich ist.⁹⁸

Die Effektivität einer Stabsstelle hängt von der Bereitschaft der Zusammenarbeit mit der Linienorganisation zusammen.⁹⁹ Daher ist es wichtig eine Organisationsform zur Zusammenarbeit zu etablieren.

6.2. ABLAUFORGANISATION

Die Ablauforganisation wird häufig mit der Prozessorganisation gleichgesetzt. Ein Prozess ist nach dem EFQM-Modell (European Foundation for Quality Management)

„[.] eine Folge von Schritten, welche aus einer Reihe von Inputs einen Output erzeugt und dadurch einen Mehrwert schafft.“ ¹⁰⁰

In nahezu allen Prozessen werden Informationen verarbeitet, die Einfluss auf den jeweiligen Output des Prozesses nehmen. Da die Informationssicherheit in allen Prozessen und Unternehmungen der Organisation integriert werden muss, ist nicht die Frage nach einem bestimmten Prozess, sondern wie Informationssicherheit durch die Anpassung der Organisation in alle Prozesse vordringen kann.

Um Prozesse zu optimieren, in diesem Fall hinsichtlich der Informationssicherheit, ist eine Analyse derer notwendig. Es ist festzustellen, welche Akteure innerhalb der Prozesse bei Input, Verarbeitung und Output beteiligt sind. Die Erfassung der Prozesse muss durch kundige MitarbeiterInnen erfolgen. Zu diesem Zweck ist eine verantwortliche Person für den Prozess zu definieren. Diese Person sollte über Kompetenzen verfügen, die Prozesse anzupassen, um eine Optimierung nachhaltig zu gestalten.¹⁰¹

6.3. ORGANISATION IM KRANKENHAUSKONTEXT

Krankenhäuser sind einer dynamischen Umwelt ausgesetzt. Anforderungen und gesetzliche Rahmenbedingungen unterstehen einem ständigen Wandel, an den sich die Institutionen anpassen müssen. Zu bemerken ist jedoch, dass sich in vielen Fällen die Aufbauorganisation bisher lediglich geringfügig änderte.¹⁰² Wie in Abbildung 11 ersichtlich, ist in den meisten Krankenhäusern eine klassische funktionale Aufbauorganisation anzutreffen.Diese ist in die Bereiche medizinische Versorgung, Pflege und Verwaltung gegliedert.¹⁰³

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 11: Traditionelle Aufbauorganisation in Krankenhäusern¹⁰⁴

Gerade die Gliederung der medizinischen Bereiche in einzelne funktionale Abteilungen ist in den meisten Landeskrankenhausgesetzen vorgeschrieben und in den Landeskrankenhausplänen so abgebildet. Als Beispiel wird an dieser Stelle auf den Landeskrankenhausplan in Baden-Württemberg verwiesen.¹⁰⁵

DerTeil der Organisation (Geltungsbereich), der für das IT-Sicherheitsgesetz und die weitere Arbeit relevant ist, kann anhand einer Kritikalitätsanalyse erstellt werden. Hierfür werden kritische Prozesse auf, die für die Erfüllung dieses Prozesses benötigten, kritischen Anwendungen und Systeme untersucht. Diese Analyse zur Identifizierung der kritischen Bereiche ist in Abbildung 12 exemplarisch dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 12: Exemplarische Darstellung kritischer Bereiche im Krankenhaus

Sind die kritischen Bereiche zur Sicherstellung der stationären Patientenversorgung identifiziert, kann daraus der Geltungsbereich abgeleitet werden. Dieser ist für die Umsetzung der Informationssicherheit essenziell und ist im Rahmen eines ISMS zu definieren. Der Geltungsbereich kann die gesamte Einrichtung bzw. den ganzen Verbund einschließen oder sich auf Standorte, Einrichtungen oder organisatorische Einheiten begrenzen.^{106 107}

6.4.OUTSOURCING

Das Auslagern von bisher innerhalb des Unternehmens durchgeführten Leistungen nach außen, also an Dienstleister, wird als Outsourcing bezeichnet. Dies wird in den unterschiedlichsten Bereichen vorgenommen. Es lassen sich einzelne Tätigkeiten, ganze Prozesse, Abteilungen oder Geschäftsbereiche Outsourcen. Beispiele hierfür sind, IT-Betrieb, Medizintechnik, Speise und Wäscheversorgung, Personal- oder Patientenabrechnung oder sogar Teile des Kerngeschäftes, wie z. B. Operationen oder Intensivstationen (Siehe auch Abbildung 12).¹⁰⁸ Dies erschwert die Kontrolle der durch den Dienstleister durchgeführten Prozesse und Leistungen, was zu einer Vernachlässigung und fehlender Überprüfung und somit zu höheren Risiken führt. Das Risiko wird lediglich augenscheinlich verlagert, denn die Auswirkung auf die kritischen Versorgungsdienstleistung bleibt gleich bzw. ist durch fehlende Information intransparent. Verfahren zur Sicherstellung der Informationssicherheit müssen deshalb gerade bei Outsourcing erfolgen. Die Abgrenzung und Definition von Schnittstellen an angrenzende Organisationen ist im Geltungsbereich des ISMS zu beschreiben und bei der IS-Organisation zu berücksichtigen.

6.5. KOOPERATIONEN UND VERBÜNDE

Immer mehr Krankenhäuser schließen sich in Verbünde oder Kooperationen zusammen, um dem steigenden Leistungsdruck zu begegnen (Siehe auch Kapitel 2). So sind Kooperationen meist ein lockerer und Verbünde ein dauerhafter und engerer Zusammenschluss.109 Dabei gibt es unterschiedliche Unternehmensformen, auf die nicht näher eingegangen wird. Relevant ist, dass alle Zusammenschlüsse ähnliche Merkmale bei der Strukturierung ihrer Organisation aufweisen, um einen Wettbewerbsvorteil zu erzielen. Eine häufige Maßnahme, um eine Effizienzsteigerung zu erzielen ist die Zentralisierung von Diensten, wie z. B. Personal, Informationstechnik, Stabsstellen, etc. Die Aufbauorganisation von Verbünden oder gar Konzernen unterscheiden sich daher von kleineren oder einzelnen Krankenhäusern. Dies ist bei der Integration einer IS- Organisation zu berücksichtigen.¹⁰⁹

7. GESTALTUNG DER INFORMATIONSSICHERHEITS- ORGANISATION

In diesem Kapitel wird die bisher beschriebene und gesichtete Literatur auf die Forschungs-und Hilfsfragenprojiziert und innerhalb einer Analyse ein Konzeptzur Veranschaulichung einer Informationssicherheits-Organisation erstellt, die den Anforderungen des IT-Sicherheitgesetzes entspricht.

7.1.SPEZIALISIERUNG

Wie in Abbildung 13 dargestellt, wird innerhalb des Kapitels Spezialisierung die Frage „ Welche Aufgaben fallen an, und welche Stellen und Abteilungen sind erforderlich, um sie zu erfüllen?“^{110 111} analysiert.

Die Basis hierfürlegt das IT-Sicherheitsgesetz mit grundlegendenAnforderungen und Aufgaben, die an die Krankenhäuser gestellt werden. Die ausgewählten Standards und Rahmenwerke, welche sich durch ihren Detaillierungsgrad und Branchenorientierung unterscheiden, bieten Beschreibungen und Anhaltspunkte für die Stellen und Abteilungen, die für die Erfüllung der benötigten Tätigkeiten relevant sind.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 13: Spezialisierung: Aufgaben, Stellen und Abteilungen

7.1.1. IT-SICHERHEITSGESETZ

Bezugnehmend auf die Forschungs- und Hilfsfragen lassen sich aus dem IT- Sicherheitsgesetz Aufgaben ableiten, die weiter spezifiziert werden, um konkrete Handlungsempfehlungen anzustellen. Diese sind in Tabelle 1 zusammengefasst und im Folgenden beschrieben.

Tabelle 1: Anfallende Aufgaben aus dem IT-Sicherheitsgesetz¹¹²

Abbildung in dieser Leseprobe nicht enthalten

So werden für die die Umsetzung des Gesetzes spätestens bis 2 Jahre nach Inkrafttreten der Rechtsverordnung bestimmte Maßnahmen vorgeschrieben. Diese sind nach § 8a ITSiG:

angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“¹¹³

Bei dem Begriff „Stand der Technik“, handelt es sich um einen gängigen juristischen Begriff. Weil sich die technische Entwicklung schneller verändert als die Gesetzgebung, ist dieser im Gesetz nicht näher spezifiziert.¹¹⁴ Zum einen wurde deshalb der bereits beschriebene B3S erstellt und zum anderen werden durch Institute (Siehe Kapitel 5.1) Standards und Rahmenwerke veröffentlicht (Siehe Kapitel 5.2), welche den Stand der Technik interpretieren und abbilden.

Da ein Gesetz keine konkreten Umsetzungshinweise beschreibt, sondern welcher Zielzustand zu erreichen ist, wird für die weitere Aufgabenanalyse auf die in Kapitel 5.2 beschriebenen einschlägigen Standards und Rahmenwerke zurückgegriffen. Der Detaillierungsgrad der Aufgabenanalyse geht auf grundsätzliche Tätigkeiten und deren Rollen und Verantwortlichkeiten ein und wird nicht bis auf einzelne Arbeitsschritte heruntergebrochen, da dies für die Untersuchung keinen Mehrwert bietet.

7.1.2. STELLEN UND ABTEILUNGEN

Der in Kapitel 4.1.2 bereits erläuterte missverständliche Begriff der IT-Sicherheit suggeriert, dass die IT-Abteilung für die Umsetzung der Maßnahmen verantwortlich ist.

„Da sich das IT-Sicherheitsgesetz auf die sogenannten Kritischen Infrastrukturen bezieht, ist die Umsetzung der Maßnahmen nicht ausschließlich in den IT- Abteilungen zu suchen, vielmehr bedarf die Umsetzung einer Feinjustierung aller Bereiche und Abteilungen, inkl. dem Management und der Geschäftsführung.“ ¹¹⁵

Deshalb ist für die Informationssicherheit die Definition von Rollen und Verantwortlichkeiten für den Erfolg einer effektiven IS-Organisation notwendig.

Zu beachten ist, dass diese klar definiert sind und Interessenskonflikte soweit möglich vermieden werden. Eine Möglichkeit der Umsetzung ist z. B. die Definition durch eine RACI-Matrix.¹¹⁶ Diese Verantwortlichkeiten werden durch die Geschäftsführung innerhalb der Informationssicherheits-Leitlinie und weiterer Richtlinie und Konzepte festgelegt und an alle MitarbeiterInnen veröffentlicht.

Die Informationssicherheits-Leitlinie, auch IS-Leitlinie oder IS-Policy, wird in allen Standards und Rahmenwerken erwähnt und als ein Kernstück zur Integration der Informationssicherheit im Unternehmen gesehen. Die IS-Leitlinie kann als mächtiges Dokument und als Anker für Informationssicherheit genutzt werden.¹¹⁷

Um die Sicherheitsziele sicherzustellen ist eine Einbindung der Informationssicherheit bereits bei der Planung in sämtlichen Bereichen zu berücksichtigen. Explizit erwähnt Czech hierbei die Bereiche Einkauf, Projekte und Risikomanagement.¹¹⁸

Informationssicherheitsbeauftragte

Eine Schlüsselrolle in der Literatur nimmt die verantwortliche Person für Informationssicherheit ein. Fast alle Normen beschreiben eine vom obersten Management benannte verantwortliche Person, welche zwar unterschiedliche Namengebungen hat, jedoch in der Grundgesamtheit identischen Aufgaben aufweist.

Sie ist die Verbindung zwischen der Geschäftsleitung und dem Informationssicherheitsprogramm im Unternehmen und unterstützt die Geschäftsführung in allen Belangen zum Thema Informationssicherheit.¹¹⁹

Die übergeordnete Aufgabe besteht in der Implementierung, Überwachung, Betrieb und kontinuierlichen Weiterentwicklung des ISMS und der Koordination aller damit verbundenen Tätigkeiten im Unternehmen.

Die ISO/IEC 27002 beschreibt lediglich, dass viele Unternehmen „einen Manager für Informationssicherheit“ ¹²⁰ ernennen. Alle weiteren Aufgaben werden neutral genannt, aber keiner spezifischen Rolle zugeordnet.

Im BSI-Grundschutz wird die Bezeichnung der IT-Sicherheitsbeauftragten Person durch den Begriff der Informationssicherheitsbeauftragten Person (ISB) oder kurz IS-Beauftragten Person ersetzt, da dies treffender sei. Des Weiteren nennt das BSI Alternativen, wie den Chief Information Security Officer (CISO), der mit dieser Bezeichnung in fast allen englischsprachigen Standards und Frameworks, wie COBIT 5 oder HITRUST, zu finden ist. Das BSI setzt zudem die ISB, den CISO mit dem ISM (Information Security Manager) gleich, wohingegen COBIT 5 klar unterscheidet. Der ISM ist dabei den ISB unterstellt und arbeitet ihm nach COBIT 5 zu.¹²¹

In der deutschen Literatur wird die verantwortliche Person für Informationssicherheit im Bereich des Gesundheitswesens meist ISB und so auch in der weiteren Bearbeitung als Synonym genannt.

Bei größeren Unternehmen haben die ISB eine koordinierende Rolle. In kleineren Unternehmen ist diese Position meist einer Person mit einer weiteren Rolle zugewiesen, die sie neben ihrer Haupttätigkeit erfüllt. Das HITRUST ISF beschreibt die Stelle der ISB als ,Full-Time‘.

Neben weitreichenden Kenntnissen in der Informationssicherheit sollte dieser auch ein breites Wissen in der Informationstechnologie besitzen.^{122 123}

Ähnlich wie bei den DSB, gibt es keine Vorgaben, ob die Position eine beschäftigte Person der Einrichtung sein muss. Demnach kann für die Position der ISB ebenso eine externe Person benannt werden.¹²⁴

Beauftragte Person für Datenschutz

Neben der ISB gibt es weitere (Stabs-)stellen, mit denen eine Zusammenarbeit notwendig ist. So gibt es mit den Datenschutzbeauftragten eine deutliche Überschneidung der Ziele und auch bei der Dokumentation und Zertifizierung.

Spätestens mit der DSGVO ist nicht nur in Deutschland die DSB bekannt. Anders als in der Informationssicherheit wurde im Datenschutz explizit in Art. 37 Abs. 1 DSGVO und §38 Abs. 1 BDSG-neu die datenschutzbeauftrage Person vorgeschrieben.¹²⁵ In internationalen Standards und Rahmenwerke ist die Position der DSB meist nicht explizit ausgewiesen.

Fachverantwortliche für Informationssicherheit

Krankenhäuser haben eine Vielzahl an Informationstechnischer Systeme und Komponenten. Diese reichen über den klassischen Bereich der Informationstechnik hinaus. Der B3S unterscheidet hierbei zwischen Informationstechnik, Kommunikationstechnik, Versorgungstechnik,

Medizintechnik/-produkte und kritischen Anwendungssystemen.¹²⁶ Gerade in diesen technischen oder techniknahen Bereichen ist ein hohes Know-how und Bewusstsein für Informationssicherheit notwendig, um ein ebenso hohes Sicherheitsniveau zu erlangen oder zu halten. Technische und organisatorische Sicherheitsanforderungen müssen stetig auf dem aktuellen Stand der Technik gehalten und implementiert werden.¹²⁷

Auch innerhalb der primären Geschäftsprozesse, also in den Bereichen, in denen die Informationssysteme von z. B. Pflege und ÄrztInnen genutzt werden, müssen Maßnahmen zur Implementierung und Aufrechterhaltung von Informationssicherheit umgesetzt werden.

Für diese Aufgabe sieht die ISO/IEC 27002 die Benennung einer hauptverantwortlichen Person pro Wert/ Asset (z.B .Prozess oder (IT-) System) vor um Aufgaben und Verantwortungsbereiche klar zu definieren und somit Risiken zu vermeiden.¹²⁸ Auch das BSI (Geschäftsprozess- und fachverantwortliche AnsprechpartnerInnen)¹²⁹ und der B3S (Prozess- und Anwendungsverantwortlichen)¹³⁰ definiert diese Verantwortlichkeiten.

Die Benennung der Rollen und Verantwortlichkeiten kann je nach Organisation sehr unterschiedlich ausfallen. So können ggfs. auf bereits vorhandene Strukturen und Regelungen zurückgegriffen werden. Diese sind z. B. existierende Multiplikatoren und Verantwortliche, welche aus bereits bestehenden gesetzlichen Anforderungen oder etablierten Normen entstanden sind.

So ist im Krankenhausumfeld eine Zertifizierung des Qualitätsmanagementsystems sehr häufig zu finden, bei der meist QM- Beauftragte in den einzelnen Abteilungen benannt werden. Auch DatenschutzkoordinatorInnen oder MultiplikatorInnen sind eine Möglichkeit, welche weiterentwickelt werden kann. Im Krankenhausumfeld lässt sich dementsprechend drei Kategorien der Fachverantwortlichen für Informationssicherheit unterscheiden:

- Fachverantwortliche in technischen oder techniknahen Bereichen (IT, Medizintechnik, Haustechnik).
- Asset- bzw. Anwendungsverantwortliche von z. B. Applikationen und technischen Systemen.
- (Geschäfts-) Prozessverantwortliche in den Fachabteilungen als MultiplikatorIn für Informationssicherheit.

In der weiteren Bearbeitung wird die Gesamtheit dieser drei Bereiche als Fachverantwortliche bezeichnet. Eine Differenzierung wird in speziellen Teilen der Arbeit vorgenommen.

Geschäftsführung

Die Gesamtverantwortung für die Informationssicherheit wird von der Geschäftsführung getragen. Sie soll ein Framework für Informationssicherheit etablieren, leiten, kontrollieren, steuern und kommunizieren. Die Geschäftsführung ist die Person oder die Personen, die für die Führung des Unternehmens verantwortlich sind.¹³¹

Dabei wird in den Standards und Frameworks der (Geschäfts-) Führung eine große Abhängigkeit am Erfolg zugestanden. Die Geschäftsführung definiert Ziele für die Informationssicherheit und stellt die notwendigen Ressourcen zur Erreichung dieser bereit. So benennt die Geschäftsführung auch die ISB. Zudem hat sie die Wirksamkeit des ISMS zu überprüfen und die kontinuierliche Verbesserung voranzutreiben.

Dabei gibt es in den Standards und Rahmenwerken eine große Übereinstimmung, welche Aufgaben der Geschäftsführung zugeschrieben werden.

Viele der umzusetzenden Maßnahmen zur Erhöhung der Informationssicherheit im Unternehmen bringt mit sich, dass sich die Handlungsfreiheit bei den Betroffenen einschränkt. Deshalb ist der Erfolg eines ISMS zu einem großen Teil von der Führung und dem Management abhängig. Eine Abwägung der Risiken unter der Betrachtung von Benutzbarkeit und Sicherheit ist ein weiterer Kernpunkt.¹³²

Die Geschäftsführung nimmt demnach wichtige Aufgaben innerhalb der der IS- Organisation wahr und ist bei der Konzepterstellung zu berücksichtigen.

Risikoverantwortliche

Risikomanagement wurde als Fach in Kapitel 3.3 beschrieben und wird hier im Rahmen der Stellen und Abteilungen nochmals aufgegriffen. Da Risiken überall im Unternehmen entstehen können, gibt es verschiedene Verantwortlichkeiten. Zum einen liegt die Hauptverantwortlichkeit für das Informationssicherheits­Risikomanagement bei den ISB. Je Risiko ist eine Verantwortliche Person zu benennen. Dies können die Fachverantwortliche für Informationssicherheit sein. Eine weiterer Verantwortungsbereich sollte des Weiteren ein unternehmensweites Risikomanagement sein, in dem zentralisiert alle Risiken im Unternehmen kumuliert werden.

Audit

Die betroffenen Krankenhäuser haben nach §8a Abs. 3 ITSiG¹³³ alle zwei Jahre Nachweise, z. B. in Form von Audits, Prüfungen oder Zertifizierungen zu erstellen. Hierzu hat das BSI eine Orientierungshilfe zum Nachweis gemäß §8a Abs. 3 BSIG veröffentlicht, in der Kriterien beschrieben sind, wie der Nachweis erbracht werden kann.¹³⁴

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 14: Rollen bei der Nachweiserbringung nach §8a ITSiG

Wie in Abbildung 14 zu sehen, beauftragt der Betreiber eine prüfende Stelle, welche unabhängig und neutral ist. Dies kann durch eine Zertifizierung durch eine akkreditierte Stelle, eine (interne) Revision, WirtschaftsprüferIn oder auch eine Selbsterklärung durch den Betreiber erfolgen.^{135 136}

Dies entspricht der in den Standards und Rahmenwerke beschriebenen Überprüfung der Effektivität des ISMS, was durch eine unabhängige externe oder interne Stelle durchgeführt werden kann.¹³⁷

Externe Interessensgruppen

Die Kommunikation mit externen Partnern wird, nicht nur aus wirtschaftlicher Sicht notwendig, sondern auch um eine gute Patientenversorgung zu realisieren. Technisch wird dies über die Telematik Infrastruktur ermöglicht. Hierüber werden eine Vielzahl an Medizinischen- und Gesundheitsdaten der PatientInnen übertragen. Daher ist rechtlich auch die Auftragsverarbeitung mit Externen festzulegen.¹³⁸

Insbesondere ist bei der Auslagerung von Organisationseinheiten (Siehe auch Kapitel 6.4) die Informationssicherheit zu betrachten, da Informationen im Auftrag verarbeitet werden und somit z.T. sogar das eigene Unternehmen verlassen. Da das Unternehmen keine Weisungsbefugnis gegenüber externen Dienstleistern besitzt, müssen alle Regelungen zur Einhaltung der Informationssicherheit vertraglich vereinbart und überprüft werden.Zur Berücksichtigung dieser externen Interessensgruppen sind die internen und externen Schnittstellen zu diesen zu definieren. So ist z.B.der Einkauf eine zentrale Schnittstelle zu vielen Lieferanten, die auch Informationen verarbeiten.

Die Stakeholder-Analyse ist ein Instrument, um Interessensgruppen zu identifizieren und kann beim Aufbau der IS-Organisation helfen.

7.2. KOORDINATION

In diesem Kapitel wird die Frage „Wie kann die Zusammenarbeit der MitarbeiterInnen und Gruppen gewährleistet werden?“^{139 140} erörtert.

Die in Kapitel 7.1.2 identifizierten Aufgaben, Stellen und Abteilungen, welche für eine erfolgreiche Integration und Umsetzung der Informationssicherheit im Krankenhaus notwendig sind, stammen aus den unterschiedlichsten Bereichen. Die Durchdringung von Informationssicherheit ist demnach kein starres Konstrukt oder eine einzelne Abteilung, sondern viel mehr eine koordinierende Stelle, welche mit allen Bereichen im Unternehmen agiert.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 15: Koordination: Zusammenarbeit durch interdisziplinäre Teams

Im Konzept der Business Harvard School von Michael Porter für ein wertschöpfungsorientiertes Gesundheitswesen (Value-Based Health Care), wird gleich im ersten der sechs Schritte zur Umsetzung des Konzeptes, die Bildung von Integrierten Behandlungseinheiten (Integrated Practices Units) beschrieben. Dies definiert, primär aus medizinischer Sicht, dass ein patienten- und prozessorientiertes, interdisziplinäres Zusammenarbeiten verschiedener Fachdisziplinen und organisatorischen Einheiten entscheidend für den Erfolg des Konzeptes ist.¹⁴¹ Das lässt sich ebenso auf die, in Abbildung 4, aufgezeigten unterschiedlichen Disziplinen der Informationssicherheit übertragen. So nennen die Kliniken des Bezirks Oberbayern die Einrichtung eines multiprofessionellen IT- Sicherheitskomitees als einen zentralen Erfolgsfaktor für die Verbesserung der IT- Sicherheit.¹⁴² Wie in Abbildung 15 dargestellt, werden im Folgenden aus den unterschiedlichen Bereichen für die Bewältigung der Aufgaben interdisziplinäre Teams identifiziert um die Zusammenarbeit in der IS-Organisation zu gewährleisten.

In den untersuchten Standards und Rahmenwerken finden sich unterschiedliche Konstellationen und Teams, welche jedoch ähnlich Aufgaben erledigen. Gerade bei umfassenden Frameworks, wie z. B. COBIT 5, das hauptsächlich ein GRC- Framework darstellt, werden umfassende Rollen, Stellen und Teams definiert, auf die innerhalb des Rahmenwerkes querverwiesen wird. Der generische Ansatz der ISO/IEC 27001/ 27002 hingegen beschreibt dies allgemeiner, indem lediglich alle Zuständigkeitsbereiche festgelegt und zugeordnet werden sollen.¹⁴³

Generell ist es für den Erfolg des Teams bedeutungslos, wie es heißt und welche Abteilungen enthalten sind. Vielmehr müssen die Teams mit den richtigen Rollen bestückt werden, die die Kompetenzen (Fachliche und Entscheidungskompetenz) beinhalten. Da jede Organisation individuell aufgebaut ist, können Rollen in unterschiedlichen Unternehmen in verschiedenen Abteilungen strukturiert sein.

Deshalb bilden die in den folgenden Kapiteln aufgezeigten Teams und die darin enthaltenen Rollen und Abteilungen eine Orientierungshilfe zur Strukturierung der Teams. Diese sind individuell für das jeweilige Unternehmen zusammenzustellen. Deren Bezeichnung ist aus der deutschsprachigen Literatur entnommen.

7.2.1. IS-MANAGEMENT -TEAM

Eine Grundgemeinsamkeit der Standards und Rahmenwerke bildet das Informationssicherheitsmanagement-Team (IS-Management-Team).

Es handelt sich um ein interdisziplinäres Team, welches die Aufgabe der Überwachung, Überprüfung und Steuerung des ISMS in einem Unternehmen wahrnimmt. Dies wird sichergestellt, in dem es sich in regelmäßigen Abständen Informationssicherheitsaktivitäten bespricht und steuert. So beschreibt SOGP die Frequentierung von min. drei Mal im Jahr und die ISO 27799 monatlich.144145

In den internationalen Standards und Rahmenwerken ist die Unternehmensleitung innerhalb des IS-Management-Teams vertreten oder hat gar den Vorsitz, um eine sichtbare Unterstützung des Managements für Sicherheitsinitiativen zu zeigen.^{144 145 146} In den deutschen Werken, B3S und BSI-Grundschutz, sind die ISB hingegen Vorsitz und berichten der Geschäftsführung über die Ergebnisse und Aktivitäten. Im HITRUST CSF wird das dort vergleichbare Security Management Forum erst ab einer Bettenanzahl von 750 Krankenhausbetten vorgesehen.¹⁴⁷

Die Besetzung des IS-Managementteams ist in Tabelle 2, aufgelistet. Es wird in permanente und temporäre MitgliederInnen unterschieden, da nicht jeder Bereich immer für die Zusammenarbeit als notwendig erachtet wird.

Tabelle 2: Mitglieder des IS-Management-Team¹⁴⁸

Abbildung in dieser Leseprobe nicht enthalten

Im Krankenhausumfeld wird das IS-Management-Team um die Vertretung medizintechnischen Bereiches erweitert. Die DIN EN ISO 80001-1 beschreibt dafür eine verantwortliche Person für med. Risikomanagements (Med-IT- Risikomanager).¹⁴⁹ Aus PatientInnen- und somit auch aus Krankenhaussicht, stellt die Vernetzung der medizintechnischen Geräte ein relativ junges und sehr hohes Risiko dar. Um diese Risiken bestmöglich zu steuern, bietet das IS- Managementteam die Möglichkeit einer direkten Kopplung von Medizintechnik, Risiken und Management.

COBIT 5 erachtet die permanente Anwesenheit der Compliance Abteilung für sinnvoll, um Compliance-Risken direkt absprechen zu können.¹⁵⁰

Das Risikomanagement innerhalb der Krankenhäuser wird teilweise in ein klinisches Risikomanagement weiter unterteilt. So wurde vom Gesetzgeber die Einführung eines Fehlermeldesystems im Krankenhaus vorgeschrieben. Viele Krankenhäuser haben deshalb ein Critical Incident Reporting System (CIRS) im Einsatz, in dem anonym (beinahe-) Vorfälle gemeldet werden.¹⁵¹ Vorfälle können ebenfalls die Informationssicherheit tangieren. Diese Schnittstelle sollte bei der Funktion des Riskmanagements berücksichtigt werden.

Generell ist eine permanente Teilnahme aller Bereiche positiv aus Sicht der Informationssicherheitssicht zu bewerten. Aus praktischer Sicht wird das organisatorisch nicht immer möglich sein. Auch der wirtschaftliche Aspekt sollte berücksichtigt werden, bei dem sparsam mit Ressourcen umzugehen ist. Deshalb ist eine Aufteilung zwischen permanenten und temporären MitgliedernInnen ein Kompromiss.

7.2.2. INTERVENTIONSTEAM FÜR INFORMATIONSSICHERHEITSVORFÄLLE

Die Zusammenarbeit mit Behörden und speziellen Interessensgruppen wird in den meisten behandelten Standards und Rahmenwerken angesprochen. Mit Bezug auf das IT-Sicherheitsgesetz wird, wie in Tabelle 1: Anfallende Aufgaben aus dem IT- Sicherheitsgesetz zusehen, die Anforderung der Einrichtung einer Kontaktstelle zur Kommunikation mit dem BSI nach §8b Abs. 3 ITSiG und die Meldung von erheblichen Störungen an das BSI nach §8b Abs.4 ITSiG gefordert.

Demnach sind beim Melde- und Informationsportal des BSI eine ständige Kontaktperson und eine Vertretung zu benennen.¹⁵²

Zusammen ergibt dies eine bidirektionale Kommunikation mit dem BSI. Auf dem einen Wege (vom BSI zum Krankenhaus) gibt das BSI Hinweise und Warnungen vor Angriffen, Schwachstellen und Bedrohungen an die Krankenhäuser, was einem CERT (Computer Emergency Response Team) und dem Kontakt mit speziellen Interessensgruppen aus den Standards und Rahmenwerke gleichkommt. Auf dem anderen Wege (Vom Krankenhaus zum BSI) sind erhebliche Störungen an das BSI zu melden, welche dem Kontakt mit den Behörden und die Handhabung von Informationssicherheitsvorfällen gleichkommt.¹⁵³ Für beide Wege wird im Krankenhaus eine Stelle benötigt, die den Kontakt herstellt. Dies muss nicht zwingend eine einzelne Person sein, sondern kann sich über einen Personenkreis erstrecken.¹⁵⁴ Es ist ein Prozess zu etablieren, der eine schnellstmögliche Kommunikation ermöglicht.

Gerade bei kritischen Meldungen, ankommend wie ausgehend, ist schnelles Handeln notwendig um Risiken, Notfälle oder gar Katastrophen zu beherrschen oder zu verhindern. Dies ist nur möglich, wenn alle notwendigen Informationen vorhanden sind, um kurzfristige Maßnahmen abzuleiten. Diese meist weitreichenden Entscheidungen sind von Leitungsfunktionen zu treffen. Die Zusammenarbeit zwischen (IT-) Experten- und Managementfunktionen kann in temporären und interdisziplinären (ad-hoc) Teams organisiert werden. Dies kann durch einen Interventionsteam für Informationssicherheitsvorfälle, oder auch Information Security Incident Response Team (ISIRT) nach ISO/IEC 27002 gewährleistet werden.¹⁵⁵ Teilwese werden sich die Funktionen und MitarbeiterInnen mit denen des IS-Management-Teams überschneiden. Nach COBIT 5 kann das IS-Management-Team, respektive Information Security Steering Committee, bei dringenden Fragen und Anliegen die Frequentierung der Meetings erhöhen, was ein ISIRT im weiteren Sinne gleichkommt.¹⁵⁶

Während kritischen Vorfällen können Interessenskonflikte vermieden werden, indem eine andere Person, z. B. CFO oder Revision diese Position einnimmt.

Sowohl für die interne als auch die externe Kommunikation ist die Einbindung von KommunikationsexpertInnen eine Entlastung der Beteiligten und kann durch eine professionelle und zielgerichtete Wortwahl das Risiko von Imageschäden minimieren, was eine Berücksichtigung der Unternehmenskommunikation zur Folge hat. In Tabelle 3 sind alle MitgliederInnen des Interventionsteams für Informationssicherheit aufgelistet und beschrieben.

Tabelle 3: MitgliederInnen des Interventionsteams für Informationssicherheit¹⁵⁷

Abbildung in dieser Leseprobe nicht enthalten

7.2.3. ZUSAMMENARBEIT MIT WEITEREN BEREICHEN

Neben dem IT-Sicherheitsgesetzes gibt es weitere regulatorische Anforderungen, die es zu beachten gilt, um eine konsistente Zusammenarbeit zu gewährleisten (Siehe Kapitel 4.). Bei einigen dieser Gesetze müssen ebenso Vorfälle gemeldet werden, welche mit dem Bereich der Informationssicherheit in Wechselwirkung stehen.

Dies ist zum einen Art.33 der DSGVO - "Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“ ¹⁵⁸. Zum anderen besteht die Pflicht zur Meldung von Vorkommnissen bei Medizinprodukten, nach §3 der Medizinprodukte-Sicherheitsplanverordnung¹⁵⁹ des Medizinproduktegesetzes (MPG), an das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Im Einzelfall kann dies bedeuten, dass ein Vorfall an gleich mehrere Behörden gemeldet werden muss. Wird z. B. ein als Medizinprodukt eingestuftes Patientendatenmanagementsystem kompromittiert und PatientInnen hierdurch gefährdet und Daten abgegriffen, so muss dieser Vorfall an alle drei zuvor genannten Behörden gemeldet werden. Auch wenn dies keine Forderung ist, die aus dem IT-Sicherheitsgesetz hervorgeht, so ist ein ganzheitlicher und übergreifender Prozess sinnvoll und minimiert das Risiko eines Compliance- verstoßes.

Bereiche, wie z. B. Hygienevorfälle, sind ebenfalls meldepflichtig, jedoch besteht hierzu meist keine Korrelation hinsichtlich Informationssicherheit, weshalb dies nichtweiter berücksichtigt wird.

Umsetzung großer Aktivitäten und Maßnahmen werden in Unternehmen in Projekten zusammengefasst. So werden Veränderungen, welche abteilungs- bzw. organisationsübergreifend sind, in Projekten organisiert. Diese Art der Projektorganisation ist zeitlich begrenzt und weist eine von der regulären (Linien­) Organisation abweichende Organisation auf. So wird die Integration der Informationssicherheit in allen Phasen der Projektmanagement-Methodik durch sämtliche Standards und Rahmenwerke empfohlen. 160161162

7.3. KONFIGURATION

In diesem Kapitel wird die Frage: „Wie muss der Grundaufbau der Stellen und Abteilungen aussehen?“^{160 161 162 163 164} beantwortet. Dabei handelt es sich um die Stelle bzw. Abteilung, in der primär das Thema Informationssicherheit umgesetzt wird. Die ISB spielen hierbei eine zentrale Rolle (Siehe Abbildung 16). Wie in Kapitel 6.1 bereits genannt, gibt es unterschiedliche Arten von Organisationsformen. Aufgrund der Erkenntnisse aus den Stellen und Abteilungen (7.1.2) und der Zusammenarbeit (7.2- Koordination) wird der Grundaufbau der Organisation abgeleitet.

Da sich die Informationssicherheit in eine bestehende Organisationsform integrieren muss, wird der in Kapitel 6.3 behandelte gängige Aufbau eines Krankenhauses als Basis vorausgesetzt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 16: Konfiguration: Grundaufbau der Stellen und Abteilungen

7.3.1. POSITIONIERUNG

So stellt sich zunächst die weitere Frage der Positionierung derISB innerhalb der Organisation.

In Abbildung 17 werden eine Vielzahl an möglichen Positionierungen dargestellt, um eine Übersicht zu erlangen. Diese dient nicht der Vollständigkeit.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 17: Mögliche Positionierungendes ISB in der Aufbauorganisation

Eine gängige Positionierung derISB oder derfrüheren IT-Sicherheitsbeauftragten ist unter der Leitung der IT-Abteilung. Jedoch ist dies nicht mehr zeitgemäß und zu beobachten ist, dass bei regulierten Unternehmen, was spätestensseit demIT- Sicherheitsgesetz der Fall ist, die Position höhergestellt wird.^{165 166}

Jäschke und Domnik beschreiben, dass die Positionierung häufig sehr unterschiedlich ist, jedoch der Berichtsweg in der Regel direkt an die Geschäftsführunggeht.¹⁶⁷

In den internationalenStandards und Normen werden die ISB bzw. CISO im Senior bzw. Executive Management/Level gesehen, was bereits die Bezeichnung CISO, ergo C-Level, ausdrückt. Hier werden die ISB auf die oberste Managementebene des Unternehmens gesetzt und berichten idealerweise direkt an die Geschäftsführung. Im deutschen Krankenhausumfeld ist die im englischsprachigen Raum weit verbreitete C-Suite jedoch meist nur in großen Unternehmen oder gar Konzernen anzutreffen. Dabei ist zu berücksichtigen, dass die ISB/CISO nicht zwingend an die Geschäftsführung (Management Board) berichten, sondern an andere C-Level-Manager, wie z. B. CEO, CIO, CRO.¹⁶⁸ Innerhalb des ISF SOGP wird als alternative zur Geschäftsführung ein Berichtsweg an eine unabhängige Risikomanagementfunktion empfohlen.¹⁶⁹

Im Branchenstandard B3S wird vorgeschlagen die ISB vergleichbar der Stelle der DSB zu integrieren. Zusätzlich wird erwähnt, dass die ISB der Krankenhausführung direkt unterstellt werden können. In der Abbildung 18 ist zudem zu erkennen, dass die ISB zwischen der Geschäftsführung, dem Fachbereich und dem IS-Management-Team vermitteln.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 18: Management der Informationssicherheit nach B3S¹⁷⁰

Der branchenunabhängige BSI-Grundschutz hat die konkretesten Vorschläge zur Integration der ISB. So wird eine direkte Zuordnung zur obersten Leitungsebene mit direktem Berichtsweg zur Leitung des Unternehmens beschrieben.¹⁷¹ Zusätzlich werden im BSI-Standard unterschiedliche Aufbauorganisationen je nach Unternehmensgröße empfohlen, die ISB und weitere Organe vorsehen.¹⁷² Dabei sind jedoch keine Merkmale beschrieben, die die Unternehmensgröße definieren.

Generell sollte ausgeschlossen werden, dass ein grundsätzlicher Interessenskonflikt besteht. Eine Positionierung oder Teilung der Stelle mit IT- Aufgaben wird in den Normen deshalb nicht empfohlen. Wie bereits in Kapitel 3.5 angesprochen, ist die Vereinigung der DSB mit den ISB umstritten. Ist die Position und Person nicht in der IT oder in Entscheidungsstränge des Unternehmens eingebunden, so wird eine Zusammenfassung der Aufgabe von der Bundesbeauftragten für den Datenschutz und die Informationssicherheit sogar befürwortet.¹⁷³

Es gibt jedoch auch Aufsichtsbehörden, die hier anderer Meinung sind und einen Interessenskonflikt sehen. Im Zweifel sollte der zuständigen Behörde Gründe dargelegt werden, welche nicht für einen Interessenskonflikt sprechen.^{174 175 176}

Eine Aufteilung der Verantwortlichkeit und Management kann ein Kompromiss darstellen und eine höhere Effizienz beim Management von Informationssicherheit und Datenschutz ergeben. So können z. B. die ISB auch die Rolle des Datenschutzmanagements übertragen werden, ohne die Rolle der Datenschutzbeauftragten. Somit ist weiterhin eine unabhängige Überwachung und Kontrolle durch die DSB gewährleistet, jedoch werden die Maßnahmen zur Umsetzung der Anforderungen aus dem Datenschutz ganzheitlich dem Bereich der Informationssicherheit übertragen.

7.3.2. STELLENART

Zur Auswahl der geeigneten Stellenart werden die in Tabelle 4 definierten Kriterien herangezogen.

Wie bei den DSB sollen die ISB frei von Weisungen sein und somit unabhängig handeln können, um Objektivität gewährleisten zu können.175176 Wie in Kapitel 6.1 beschrieben, besteht die Stabsstelle neben der Primärorganisation und unterstützt diese. Somit lassen sich spezielle und unternehmerisch wichtige Funktionen, wie die der Informationssicherheit, bereichsübergreifend planen, koordinieren, umsetzen und kontrollieren.¹⁷⁷

Tabelle 4: Kennzeichnung verschiedener Stellenarten¹⁷⁸

Abbildung in dieser Leseprobe nicht enthalten

Die zu erledigenden Aufgaben der ISB wurden bereits in 7.1.2 erläutert. Eine der Hauptaufgaben ist die Unternehmensleitung bei deren

Aufgabenwahrnehmung bezüglich der Informationssicherheit zu beraten und diese bei der Umsetzung zu unterstützen.“¹⁷⁹, was ebenso für die Stellenart einer Stabsstelle spricht.

Ein Argument gegen die Stabsstelle ist die Teilkompetenz. So kann nach Fiedler eine Stelle folgende Befugnisse besitzen:

- „Recht, Entscheidungen zu treffen (Entscheidungsbefugnis)
- Weisungsrecht gegenüber anderen Stellen (Weisungsbefugnis)
- Recht auf Versorgung mit Informationen (Informationsbefugnis)
- Recht, bestimmte Sachmittel zu nutzen (Verfügungsbefugnis)“¹⁸⁰

Bei einer Stabsstelle fehlen jedoch Weisungs- und Entscheidungsbefugnis.¹⁸¹ Werden den ISB also Weisungs- oder Entscheidungsbefugnisse durch die Leitung übertragen, ist dies nach dieser Definition keine Stabsstelle in Reinform. In der Regel werden Anweisungen in Form von Richtlinien, Verfahren oder Arbeitsanweisungen durch die Geschäftsführung erlassen und die ISB handeln lediglich in deren Rahmen. In größeren Unternehmen können den ISB MitarbeiterInnen unterstellt sein, die Weisungen durch diese erhalten. Besitzt ein Unternehmen mehrere Gesellschaften so können die ISB in der obersten Gesellschaft, meist die Holding, angesiedelt werden und haben somit organisationsübergreifende Aufgaben. Die konkrete Umsetzung der zentral vorgegebenen Vorschriften in den einzelnen Unterorganisationen nehmen meist Informationssicherheitsbeauftragte der Unterorganisation oder IT- Sicherheitsbeauftragte vor. Dies ist jedoch häufig von der Größe des Unternehmens abhängig. Eine Weisungsbefugnis der ISB gegenüber diesen Mitarbeiterinnen ermöglicht in der Praxis eine effektivere und effizientere Arbeitsweise.

7.4. ABHÄNGIGKEIT ZUR GRÖßE DES UNTERNEHMENS

In größeren Unternehmen können die ISB die beratende Stelle für alle MitarbeiterInnen nicht allein abdecken und haben daher Delegierte in Form von z. B. Sicherheitsverantwortlichen in den einzelnen Organisationseinheiten.¹⁸²

Die Bildung einer eigenen Abteilung oder Stabsstelle für Informationssicherheit ist in Klinikketten gut umsetzbar, jedoch trifft dies nicht für alle Krankhäuser zu.¹⁸³ Deshalb ist zu unterscheiden, ob das Krankenhaus, welches unter das IT- Sicherheitsgesetz fällt, in einem Krankenhausverbund ist oder nicht.

In Klinikverbünden ist jedoch eine differenzierte Aufbauorganisation hinsichtlich der Informationssicherheit zu erwarten. Für diesen Fall wird ein weiteres Kriterium zur Unterscheidung der Größe benötigt.

Die im IT-Sicherheitsgesetz verwendete Messgröße der Fallzahl ist für die Bemessung der Unternehmensgröße nur bedingt aussagekräftig, da diese sich lediglich auf die Versorgung der stationären Patientenversorgung fokussiert.

Generell ist davon auszugehen, dass die Einführung der Informationssicherheits­Organisation nicht nur in den Bereichen der stationären Versorgung, sondern auch in z. B. teilstationären oder ambulanten Bereichen vollzogen wird. Zudem gibt es Unternehmen, welche nicht ausschließlich Krankenhäuser, sondern auch weitere Einrichtungen und Geschäftsfelder, wie z. B. Alten- und Pflegeeinrichtungen, Bildungseinrichtungen, Servicedienste, etc. betreiben. Auch hier ist davon auszugehen, dass die Informationssicherheits-Organisation zumindest teilweise in diesen Bereichen umgesetzt wird oder wurde.

Gerade bei einer Zentralisierung von Diensten und Bereichen lassen sich Prozesse technisch so wie organisatorisch nicht immer voneinander abgrenzen. Auch wenn der Geltungsbereich der Einführung der Informationssicherheit lediglich auf die stationäre Patientenversorgung definiert wurde. Als Beispiel sei die Durchführung einer Risikoanalyse eines zentralen Rechenzentrums in einem großen Klinikverbund genannt. In diesem Rechenzentrum werden alle Anwendungen betrieben, unabhängig davon ob diese für den stationären, teilstationären, ambulanten oder (alten-)pflegerischen Bereich eingesetzt werden. Die Anforderungen (Brandschutz, Zutrittskontrolle, (Not-)Stromversorgung, Protokollierung, etc.) an die zentrale Infrastruktur (Raum, Netzwerk, Server, Betrieb) des Rechenzentrums ist für alle der darin befindlichen Systeme identisch, da sich der Schutzbedarf zwangsweise am höchsten klassifizierten System orientiert. Eine Herabstufung des Sicherheitsniveaus und/ oder eine Separierung einzelner Systeme ist technisch und organisatorisch häufig entweder sehr aufwendig und wirtschaftlich nicht realisierbar.¹⁸⁴

Im Landeskrankenhausplan der Bundesländer Niedersachsen, Rheinlandpfalz und Thüringen wird die Versorgungsstufe des Krankenhauses u.a. nach der Bettenanzahl unterschieden. Auch in dem in Kapitel 5.2.7 beschriebenen HITRUS CSF Framework werden Informationssicherheitsmaßnahmen anhand der Bettenanzahl gestaffelt.¹⁸⁵ Jedoch werden auch bei der Bettenanzahl nicht die ambulante Versorgung oder weitere Einrichtungen berücksichtigt.

Da in der Literatur ein Bezug von Bettengröße und Maßnahmen zur Informationssicherheit hergestellt werden konnte, wird diese trotz Unschärfe als Bezugsgröße in der weiteren Bearbeitung verwendet.

Ein weiteres Merkmal, welches von der Größe des Unternehmens abhängig sein kann, ist die Besetzungsart und Umfang der Stelle der ISB. So ist davon auszugehen, dass kleinere Einrichtungen weniger Ressourcen für Informationssicherheit aufwänden als große. So ist eine externe Besetzung der Stelle oder eine Aufteilung der Stelle in, z. B. Teilzeit eine mögliche Variante die Ressourcen effektiv zu nutzen.

8. ZUSAMMENGEFASSTE ERGEBNISSE AUS DER THEORIE

In Kapitel 7 wurden die Forschungs- und Hilfsfragen mit Hilfe der Literatur analysiert und aus theoretischer Sicht beantwortet. Im folgenden Kapitel werden die Ergebnisse in komprimierter Form zusammengefasst.

Ausgehend von der Frage, welche Aufgaben anfallen, wurden die Anforderungen aus dem IT-Sicherheitsgesetz interpretiert und die Empfehlungen und Anleitungen für eine Informationssicherheits-Organisation innerhalb der einschlägigen Standards und Rahmenwerke auf Anwendbarkeit analysiert. Rollen und Verantwortlichkeiten sind in der IS-Leitlinie durch die Geschäftsführung festgelegt und an alle MitarbeiterInnen kommuniziert.

Die daraus resultierenden Aufgaben und Maßnahmen zur Umsetzung der technischen und Organisatorischen Maßnahmen werden größtenteils durch die hauptamtlichen Informationssicherheitsbeauftragten (ISB) koordiniert. Bei der Umsetzung wird er durch die Fachverantwortlichen der Geschäftsprozesse und Systeme und den RisikoeigentümerInnen unterstützt.

Das Überwachen und Überprüfen der Maßnahmen wird durch die Zusammenarbeit der unterschiedlichsten Rollen und Bereiche durch das IS- Management-Team gewährleistet. Durch die Integration der Informationssicherheit in alle Phasen der Projektmanagement -Methodik ist bei neuen Vorhaben die Zusammenarbeit gewehrleistet.

Die Kommunikation mit dem BSI wird durch die Kontaktestelle sichergestellt, welche hauptamtlich durch ISB vertreten werden.

Erhebliche Störungen werden durch die ISB bzw. die Kontaktstelle gemeldet und innerhalb des Interventionsteam für Informationssicherheit, welches ad-hoc einberufen werden kann, kurzfristig bearbeitet. Dieses Team bearbeitet ebenfalls kritische Meldungen des BSI.

Die Nachweiserbringung, welche alle zwei Jahre gegenüber dem BSI zu leisten ist, wird von der Geschäftsführung initiiert und innerhalb eines Audits oder Prüfung erbracht. Hierfür wird ein Hinzuziehen der internen Revision und einer externen unabhängigen Stelle empfohlen.

Für eine unabhängige und weisungsfreie Ausübung der Tätigkeiten ist eine Positionierung der Informationssicherheit als Stabsstelle bei einer traditionellen Organisation in den Krankenhäusern sinnvoll. Weitere Merkmale für die Stelle der ISB sind in Tabelle 5 zusammengefasst.

Tabelle 5: Zusammenfassung der Merkmale zur Stelle des Informationssicherheitsbeauftragten

Abbildung in dieser Leseprobe nicht enthalten

Nicht zu vernachlässigen ist die Abhängigkeit der IS-Organisation zur Unternehmensgröße. Gerade in Verbünden mit mehreren Einrichtungen oder Krankenhäusern ist eine unterschiedliche Organisation zu erwarten.

9. ERHEBUNG DES IST-STANDES

Im empirischen Teil dieser Arbeit werden die gewonnen Erkenntnisse zur Informationssicherheits-Organisation mittels einer Erhebung des IST-Standes überprüft.

9.1. METHODE

Zur Erhebung des Ist-Standes wird eine quantitative Befragung mittels strukturierter Fragebögen durchgeführt.

Zu berücksichtigen ist, dass 60 der 119 zu befragenden Krankenhäusern in einer Gemeinschaft mit mindestens einem weiteren Krankenhaus organisiert sind. Da Verbünde z.T. zentral organisiert sind, kann es zu Überschneidungen der zu befragenden Personen kommen.

Da es sich bei der Befragung über Informationssicherheit um ein sensibles Thema handelt, ist eine Anonymisierung der Daten notwendig, um die benötigte Akzeptanz zur Teilnahme zu erhalten.¹⁸⁶

9.1.1. TELEFONISCHE BEFRAGUNG

Als Erhebungsmethode wird eine telefonische Befragung durchgeführt.

Durch die geografische Entfernung zwischen den Krankenhäusern können somit diese Distanzen überwunden werden.¹⁸⁷

Zusätzlich muss davon ausgegangen werden, dass unterschiedliche Standards und Rahmenwerke verwendet werden. Deshalb ist es sinnvoll zu Beginn des Fragebogens nach der Berücksichtigung und Verwendung einschlägiger Standards oder Rahmenwerken zu Fragen. Durch eine telefonische Befragung kann auf diese Abweichung reagiert und die Fragen bzw. Antworten im Terminus des jeweiligen Standards angepasst werden.

Der Nachteil einer telefonischen Befragung ist zum einen der erhöhte Aufwand bei der Befragung und eine mögliche Beeinflussung durch Interaktionen der zu befragenden Person während des Telefonates, die bei einer schriftlichen Befragung entfällt.¹⁸⁸

Bei der telefonischen Befragung ist jedoch, gerade mit Blick auf die Vertraulichkeit des sensiblen Themas der Informationssicherheit, ein höherer Rücklauf als z. B. bei einer schriftlichen Befragung zu erwarten.¹⁸⁹

Des Weiteren können bei der telefonischen Befragung qualitative Informationen erfasst werden, die der Befragte als zusätzliche Kommentare erwähnt.

9.1.2. GRUNDGESAMTHEIT

Die Zielgruppe ergibt sich aus der Anzahl der Krankenhäuser, welche unter das IT-Sicherheitsgesetz fallen. Das Gesetz gibt eine Schwelle von 30.000 Stationären PatientInnen vor, die überschritten sein muss.¹⁹⁰ Die Grundgesamtheit beträgt demnach 119 Krankenhäuser in Deutschland. Quelle der Daten, die für die Erhebung notwendig sind, bietet die Internetseite des Deutsche Krankenhausverzeichnisses.¹⁹¹ Dort sind alle Krankenhäuser inkl. Angaben, wie z. B. Bettenzahl, Fallzahl, Adresse hinterlegt und frei abrufbar.

9.1.3. A USWAHL DER S TICHPROBE

Eine Reihe der abzufragenden Kriterien, wie Bettenanzahl, Anzahl der MitarbeiterInnen, etc., lassen sich durch Recherche mit akzeptablem Aufwand bereits Erheben, die bei der Befragung nicht mehr unnötig erfasst werden müssen. Auf Grund der in Kapitel 7.4 beschriebenen Abhängigkeit der Informationssicherheits-Organisation an der Unternehmensgröße, wird davon ausgegangen, dass sich die zu untersuchenden Merkmale innerhalb der Grundgesamtheit unterscheiden.¹⁹² Deshalb wird die Stichprobe mittels Quotenverfahren in unterschiedliche Quoten aufgeteilt. Das Hauptkriterium ist dabei die Unternehmensgröße, welche sich anhand zweier Merkmale unterscheiden lässt:

- Größe des Krankenhauses und
- Anzahl der Krankenhäuser je Unternehmen.

Größe des Krankenhauses anhand der Bettenanzahl

Je höher die Bettenanzahl, desto größer das Krankenhaus.

Anhand der Bettenzahl kann die Größe des Unterhebens abgeleitet werden. So hat z. B. das Städtische Klinikum Lüneburg gGmbH eine Anzahl von 510 Betten, ca. 1.300 MitarbeiterInnen und 30.276 stationäre Fälle pro Jahr.¹⁹³

Im Vergleich hat das Klinikum der Universität München eine Anzahl von 2.058 Betten, ca. 10.000 MitarbeiterInnen und 92.785 stationäre Fälle pro Jahr.¹⁹⁴

Als Grenzwert Für die Auswahl der Befragten wird auf den im HITRUST CSF vorgegebenen Wert von 750 Betten zurückgegriffen, da HITRUST auch organisatorische Maßnahmen an diesen Wert bindet.¹⁹⁵

Anzahl der Krankenhäuser je Unternehmen

Je höher die Anzahl der Krankenhäuser desto größer das Unternehmen.

Die Rems-Murr-Kliniken gGmbH ist ein lokaler Verbund von Krankenhäusern, welcher nach außen als eine Gesellschaft wirkt. In diesem Bespiel besteht die Gesellschaft aus zwei Krankenhäusern an unterschiedlichen Standorten, wobei lediglich eines der beiden unter das IT-Sicherheitsgesetz fällt, die Organisation des Unternehmens jedoch zentralistisch erfolgt.¹⁹⁶

Ein weiteres Beispiel ist die BBT-Gruppe (Barmherzige Brüder Trier), zu der insgesamt 10 Krankenhäuser, 14 MVZ (Medizinische Versorgungszentren), 17 Senioreneinrichtungen, 7 psychiatrische Einrichtungen, 9 Bildungseinrichtungen und 10 weitere Serviceeinrichtungen zählen. Auch hier fallen nicht alle Einrichtungen unter das IT-Sicherheitsgesetz. Die Krankenhäuser bzw. Einrichtungen sind dabei meist eigenständige Gesellschaften im Sinne der Rechtsform, werden jedoch durch eine zentrale Organisation geführt.¹⁹⁷

Da das Krankenhaus im Sinne unterschiedlicher Einrichtungen (Pflegeheim, MVZ, etc.) in der Regel die zentrale und komplexeste Organisation darstellt, wird dieses als Faktor für die Größe des Unternehmens verwendet. Einzelne, meist kleinere Einrichtungen, wie z. B. MVZ oder Bildungseinrichtungen, werden nicht für den Schwellwert berücksichtigt.

66 Weil nicht davon ausgegangen werden kann, dass Verbünde mit mehr als einem Krankenhaus eine zentrale IS-Organisation besitzen, wird eine Kombination der Kriterien vorgenommen.

Dies ergibt vier mögliche Kombinationen, welche in Abbildung 19 ersichtlich sind.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 19: Auswahl der Stichprobennach Quoten¹⁹⁸

Die Quotensind wie folgt nummeriert:

Quote 1: Krankenhaus =1 und Anzahl Betten <750

In dieser Quote befinden sich 13 einzelne Krankenhäuser, welche weniger als 750 stationäre Betten besitzen. Dies ergibt einen Anteil von 10,92 % an der Grundgesamtheit.

Quote 2: >1 Krankenhausund AnzahlBetten <750

In dieser Quote befinden sich 25 Krankenhäuser, welche neben sich selbst min. ein weiteres Krankenhaus in ihrem Verbund haben und das selbst weniger als 750 stationäre Betten besitzen. Dies ergibt einen Anteil von 20,17 % an der Grundgesamtheit.

Quote 3: Krankenhaus =1 und Anzahl Betten >=750

In dieser Quote befinden sich 46 einzelne Krankenhäuser, welche gleich oder mehr als 750 stationäre Betten besitzen. Dies ergibt einen Anteil von 38,66 % an der Grundgesamtheit.

Quote 4: >1 Krankenhaus und Anzahl Betten >=750

In dieser Quote befinden sich 36 Krankenhäuser, welche neben sich selbst min. ein weiteres Krankenhaus in ihrem Verbund haben und selbst gleich oder mehr als 750 stationäre Betten besitzen. Dies ergibt einen Anteil von 30,25 % an der Grundgesamtheit.

Bei der Auswahl der Stichproben aus den Quoten 2 und 4 ist darauf zu achten, dass pro Klinikverbund jeweils nur ein Krankenhaus befragt wird, da dort die identischen Antworten oder im schlimmsten Fall der identische Ansprechpartner befragt werden würde. Zusätzlich wird somit eine bessere Streuung erreicht.

Es werden insgesamt zehn Befragungen durchgeführt, die in Tabelle 6 prozentual auf die einzelnen Quoten verteilt dargestellt sind.¹⁹⁹

Das Ziel der Arbeit ist das aus der Literatur abgeleitete Konzept mit dem Ist-Stand stichprobenartig abzugleichen, um eine realistische Abschätzung zu erlangen ob das Konzept in der Praxis anwendbar ist. Deshalb wird der Stichprobeumfang aufgrund der in Kapitel 9.1.1 genannten Argumente auf zehn Befragungen festgelegt. Eine ausführlichere Studie mit einer größeren Stichprobe kann im Rahmen von weiteren Untersuchungen durchgeführt werden.

Tabelle 6: Anzahl Befragungen pro Quote²⁰⁰

Abbildung in dieser Leseprobe nicht enthalten

9.1.4. AUFBAU UND INHALT DER BEFRAGUNG

Die Befragung wird mittels eines strukturierten Fragebogens durchgeführt. Die Fragestellungen sind quantitativer Art und überprüfen das Konzept und die Ergebnisse aus dem Theorieteil (Siehe Kapitel 8).

Der Fragebogen wird der befragten Person nicht vorgelegt, sondern dient lediglich der Dokumentation des Fragenden und der anschließenden Auswertung. Die befragte Person bekommt die Fragen inkl. Antwortmöglichkeiten vorgelesen.

Die Antworten der Befragungen sind größtenteils vorgegeben. Teilweise kann die Antwortmöglichkeit wegen unterschiedlichen Namensgebungen von der vorgegebenen Antwort abweichen, weshalb die Befragung semistrukturiert mit einem Freitextfeld versehen ist.²⁰¹ Die im Freitext angegebene Antwort wird im Rahmen der Auswertung interpretiert, um diese anschließend vergleichbar zu machen.

Die Fragen sollen Aufschluss darüber geben, wie Krankenhäuser die Informationssicherheit hinsichtlich der Organisation nach dem IT- Sicherheitsgesetz implementiert haben. Dabei werden die Standards und Rahmenwerke, die Rollen und Verantwortlichkeiten, die Stellen und Abteilungen und der Grundaufbau der Organisation berücksichtig, um das Ergebnis aus Kapitel 8 zu überprüfen.

Ein Teil der Fragen ist abhängig von der Quote. Ein Frageblock kann ausschließlich von Krankenhäusern mit mindestens einem weiteren, im gleichen Verbund organisierten Krankenhaus beantwortet werden.

Der Aufbau des Fragebogens ist folgendermaßen strukturiert:

Fragen

1. Fragen zum berücksichtigten Standard bzw. Rahmenwerk.
2. Fragen zur verantwortlichen Person für Informationssicherheit (ISB).
3. Fragen ausschließlich für Quote 2 und 4 zum Krankenhausverbund.
4. Fragen zu Rollen und Verantwortlichkeiten.
5. Fragen zur Zusammenarbeit.
6. Fragen zur Umsetzung der Anforderungen.

Der Fragebogen ist im Anhang 12.1 zu finden.

9.1.5. DURCHFÜHRUNG DER B EFRAGUNG

Der Ablauf der Befragung ist grafisch als Prozess in Abbildung 20dargestellt und wird im Folgenden beschrieben.

Vor jeder Befragung steht die Auswahl eines Krankenhauses, welches in die in 9.1.3 beschriebene Quote einzuordnen ist. Als nächstes wird überprüft, ob das ausgewählte Krankenhaus zu einem bereits befragten Verbund gehört.

Beim Erstkontakt wird allen Befragten, das im Anhang 12.2 zu findende Einleitungsstatement entweder telefonisch oder schriftlich mitgeteilt, damit bei der Erhebung identische Voraussetzungen herrschen. Zusätzlich wird Anonymität zugesichert und die voraussichtliche Dauer der Befragung mitgeteilt.^{202 203}

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 20: Ablauf der Befragung

Da es innerhalb der Umfrage um die Informationssicherheit in Krankenhäusern geht, ist bei den Befragungen mit einem hohen Bewusstsein von Datenschutz zu rechnen. Daher sind eine vertrauliche Behandlung und das Einverständnis der zu befragenden Person zwingend notwendig.²⁰⁴ Die Bestätigung zur Einhaltung der Vertraulichkeit wird im Nachgang des Gesprächs dem Teilnehmer schriftlich per E-Mail bestätigt.

9.2.ERGEBNISSEDERBEFRAGUNG

In den folgenden Kapiteln werden die Ergebnisse der Befragung zusammengefasst und mit Bezug auf die Ergebnisse aus dem Theorieteil und der Forschungs-und Hilfsfragen bewertet.²⁰⁵

9.2.1. ALLGEMEINES ZUR BEFRAGUNG

Die Anzahl der Befragungen konnten eingehalten werden. Insgesamt wurden zwölf Krankenhäuser befragt. Die Aufteilung der Befragungen pro Quote ist in Abbildung 21 dargestellt.²⁰⁶

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 21: Durchgeführte Befragungen nach Quote

9.2.2. STANDARDS UND RAHMENWERKE

Damit die Befragung richtig interpretiert werden kann, wurde zuerst nach dem benutzten Standard bzw. Rahmenwerk gefragt. Somit können die Antworten direkt in Beziehung zur Literatur gebracht werden.

Für die Nachweiserbringung nach §8a Abs.3 ITSiG muss ein primärer Standard als Prüfgrundlage dem BSI mitgeteilt werden. Wie in Abbildung 22zu sehen wurde von allen befragten Krankenhäusern entweder die ISO/IEC 27001 (58%) oderder B3S (42 %) zur Nachweiserbringung verwendet. Zusätzlich wurde, neben dem primären Standard, auf weitere Standards bei der Implementierung zurückgegriffen. In Abbildung 22 ist die Aufteilung der verwendeten Standards nach Quote zu sehen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 22: Ergebnis verwendeter Standards zur Nachweiserbringung nach §8a ITSiG206

Ein Drittel (4) berücksichtigten den B3S und den BSI-Grundschutz, fünf Krankenhäuser die ISO/IEC 27001 und ein Krankenhaus die ISO 22301. Somit wurde weder primär noch sekundär ein rein internationaler Standard, wie z. B. NIST oder HITRUST CSF für die Umsetzung berücksichtigt.²⁰⁷

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 23: Ergebnis Berücksichtigung Standards (primär, sekundär, total)

Interpretation

Die ISO/IEC 27001 ist ein weitverbreiteter, generischer und zertifizierbarer Standard, wohingegen der B3S branchenspezifisch ist. Der B3S war zum Zeitpunkt der Nachweiserbringung zum 30.06.2019 noch nicht vom BSI verabschiedet, jedoch als Nachweis zugelassen. ²⁰⁸ Der BSI-Grundschutz gibt detaillierte technische und organisatorische Maßnahmen und ist sehr umfangreich, weshalb er bei der Umsetzung Berücksichtigung findet. So ist in den Quoten 1 und 2, die den kleineren Krankenhäusern zuzurechnen sind, vermehrt der B3S zum Einsatz gekommen und bei den Quoten 3 und 4 die ISO/IEC 27001. Dies deutet darauf hin, dass in kleinen Krankenhäusern der B3S und bei größeren Krankenhäusern die ISO/IEC 27001 bei der Nachweiserbringung berücksichtigt wird.

9.2.3. VERANTWORTLICHE PERSON FÜR INFORMATIONSSICHERHEIT

In diesem Kapitel werden die Ergebnisse zur Befragung nach der verantwortlichen Person für Informationssicherheit ausgewertet. Im speziellen wurden die Ergebnisse aus der Tabelle 5: Zusammenfassung der Merkmale zur Stelle des Informationssicherheitsbeauftragten, überprüft.

Bezeichnung der verantwortlichen Stelle für Informationssicherheit

Ein Drittel der befragten Krankenhäuser bezeichnet die verantwortliche Stelle für Informationssicherheit als Informationssicherheitsbeauftragte oder Informationssicherheitsbeauftragten(ISB). Bei einem Viertel der Befragten werden die verantwortlichen Personen IT-Sicherheitsbeauftragte und bei einem Krankenhaus als Chief Information Security Officer (CISO) bezeichnet (Siehe Abbildung 24).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 24: Ergebnis Bezeichnung der verantwortlichen Person für Informationssicherheit

Besetzungsart der Stelle

Wie in Abbildung 25 zu sehen, sind ein Drittel der Stellen durch externe MitarbeiterInnen besetzt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 25: Ergebnis Besetzung derISB durch externen oder internen MitarbeiterInnen

In Quote 3 ist die Stelle keinmal und in Quote 4 einmal durch einen Externen besetzt.

Zusätzliche Aufgabengebiete

Zwei Drittel der intern angestellten ISB haben weitere Aufgaben neben der Informationssicherheit (Siehe Abbildung 26). Die Hälfte davon hat u.a. das Thema Datenschutz als weitere Tätigkeit.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 26: Ergebnis Zusätzliche Aufgabengebiete derVerantwortlichen

fürInformationssicherheit²⁰⁹²¹⁰

Integration in die Organisation

Insgesamt sind elf von zwölf (92 %) der Verantwortlichen als Stabsstelle in die Organisation integriert und berichten allesamt an die Geschäftsführung bzw. den Vorstand des jeweiligen Unternehmens (Siehe Abbildung 27). Lediglich innerhalb eines Unternehmens ist die Rolle der verantwortlichen Person für Informationssicherheit mit der Stelle der IT-Leitung vereint.²¹¹

Bis auf ein Krankenhaus haben alle die Verantwortlichkeit derISB im Zuge des IT- Sicherheitsgesetzes definiert.²¹²

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 27: Ergebnis ISB als Stabsstelle / im Zuge des ITSicherheitsgesetzes

In zwei der Befragten Krankenhäusern sind den ISB weitere MitarbeiterInnen unterstellt. Diese befinden sich in Quote 3, mit zwei MitarbeiterInnen und in Quote 4, mit 5 MitarbeiterInnen.²¹³

Stellenumfang der ISB

In Abbildung 28 ist der Umfang der Stelle der ISB in Prozent gemessen an einer 100 % Stelle zu sehen.

In Quote 1 liegt der Umfang zwischen 5-10 %. Zurückzuführen ist dies auf die externe Besetzung der Stellen und der Stelle der IT-Leitung. In Quote 2 liegt der Umfang beidurchschnittlich 47%, Quote 3bei88 % und Quote 4 bei 73 %.

Wie viel Prozent ist der Umfang der Stelle des Verantwortlichen gemessen an einer 100% Stelle?²¹⁴

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 28: Ergebnis Umfangder Stelle für Informationssicherheit in Prozent pro Quote

Interpretation

Die Ergebnisse der Befragung werden im folgenden Text mit den Ergebnissen aus dem Literaturteil verglichen. Insbesondere wird dabei auf die Tabelle 7 Bezug genommen. Stimmen die aus der Befragung gewonnen Ergebnisse mit der aus der Literatur überein, wird das Feld grün markiert, ansonsten rot.

Eine mehrheitliche Benennung der Stelle als Informationssicherheitsbeauftragte bzw. Informationssicherheitsbeauftragten konnte bestätigt werden. Zudem erwähnte ein Krankenhaus, dass es sich für die Umbenennung von IT- Sicherheitsbeauftragten in ISB einsetzt, da diese Bezeichnung als treffender erscheint. Lediglich in einem Krankenhaus, in dem die Stelle extern besetzt ist, ist die englische Bezeichnung CISO im Einsatz. Ansonsten ist in den Unternehmen keine C-Suite, vorgekommen. B3S und BSI-Grundschutz bezeichnen beide die Stelle als ISB. Da die am häufigsten berücksichtigte Norm ISO/IEC 27001 keine Bezeichnung der Stelle vorschlägt, wurde auf die Bezeichnung des B3S bzw. BSI- Grundschutz zurückgegriffen.

Tabelle 7: Ergebnisse der Überprüfung der Merkmale zur Stelle des Informationssicherheitsbeauftragten

Abbildung in dieser Leseprobe nicht enthalten

Bis auf eine Stelle wurden alle als Stabsstelle in das Unternehmen integriert. Zusätzlich berichten alle an die Geschäftsführung bzw. Vorstand, was die Ergebnisse aus der Literatur und des erstellten Konzepts bestätigt. Potenzielle Interessenskonflikte ließen sich in der Literatur ableiten und wurden durch die Umfrage bekräftigt. Dabei haben drei von sechs der intern Beschäftigten (50 %) weitere Tätigkeiten im Bereich IT oder Datenschutz.

Die Ergebnisse zum Umfang der Tätigkeiten für Informationssicherheit ergaben andere Ergebnisse als die der Literatur. So sind lediglich 25 % der ISB ausschließlich und in Vollzeit mit Informationssicherheit beschäftigt. Sechs der acht internen MitarbeiterInnen (75 %) haben weitere Aufgabenbereiche zusätzlich zum Thema Informationssicherheit. Vier der befragten Krankenhäuser beschäftigen externe MitarbeiterInnen, welche zwischen 5-20 % im Vergleich zu einer Vollzeitstelle für Informationssicherheit beauftragt sind.

Quote 3 und 4 weisen einen höheren Stellenumfang auf, was auf eine Abhängigkeit der Größe des Unternehmens am Ressourceneinsatz für Informationssicherheit hindeutet. Dies wird durch die unterstellten MitarbeiterInnen verstärkt, die in den Quoten 3 und 4 zu finden sind.

Wie bereits erwähnt, wird die Stelle der ISB sowohl extern als auch intern wahrgenommen. Zu erkennen ist ein vermehrter Einsatz von externen ISB in den Quoten 1 und 2. Dies deutet ebenso darauf hin, dass innerhalb kleinerer Krankenhäuser (Quote 1 und 2) weniger Ressourcen für die ISB aufgewendet werden als bei größeren. Eine Tendenz, dass in größeren Einrichtungen vermehrt internes Personal eingesetzt wird, ist zu erkennen.

9.2.4. KRANKENHAUSVERBUND

Alle Krankenhäuser aus den Quoten 2 und 4 beantworteten zusätzliche Fragen, da diese in einem Verbund mit mindestens zwei Krankenhäusern organisiert sind. Die Ergebnisse sind in Tabelle 8 zusammengefasst und werden im folgenden Text erläutert.

In allen der sechs befragten Krankenhäuser wird die Informationssicherheit zentral organisiert.

Zwei von drei Kliniken der Quote 4 haben Unterstützung durch dezentrale Koordinatoren in den jeweiligen Einrichtungen oder Krankenhäuser.

Die angegebenen Einrichtungen im Geltungsbereich sind gemischt. So haben vier (50 %) der Befragten angegeben, dass alle Einrichtungen innerhalb des Verbundes im Geltungsbereich berücksichtigt wurden. Zwei (25 %) der Befragten gaben ausschließlich die KRITIS-Einrichtungen als Geltungsbereich an.

Tabelle 8: Ergebnisse Krankenhausverbund (Quote 2 und 4)

Abbildung in dieser Leseprobe nicht enthalten

Interpretation

Aus den Befragungen zeigt sich die Zentralisierung der Verantwortlichkeit der Informationssicherheit im Verbund und bestätigt die Literatur. Die ISB nehmen in den Verbünden eine koordinierende Rolle ein und verstärken somit die Begründung für eine Stabsstelle. Da die Verbünde untereinander stark vernetzt sind, ist es nur schlüssig, dass Informationssicherheit zentral organisiert wird. Anders als bei physischen Bedrohungen sind Cyber-Bedrohungen nicht an örtliche Barrieren gebunden und bedrohen beim Befallen einer Einrichtung den kompletten Verbund. Dies zeigt z. B. der Angriff im Juli 2019 auf die DRK-Kliniken in Saarland und Rheinland-Pfalz, bei dem 15 Kliniken des Verbundes betroffen waren.²¹⁵ Deshalb ist eine Berücksichtigung aller an den Verbund angeschlossenen Einrichtung empfehlenswert, wenn keine entsprechende Trennung und Absicherung der Einrichtungen besteht.

9.2.5. ROLLEN UND VERANTWORTLICHKEITEN

Zusätzlich zu den ISB gibt es weitere in der Literatur beschriebene Rollen und Verantwortlichkeiten, die für die Integration der Informationssicherheit in die Organisation relevant sind (Siehe auch Kapitel 7.1.2.). Die Antworten der Befragung zu diesem Abschnitt sind in Abbildung 29 grafisch dargestellt.

In allen den befragten Krankenhäusern ist eine Leitlinie für Informationssicherheit vorhanden, in der grundlegende Rollen und Verantwortlichkeiten definiert sind.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 29: Ergebnisse Rollen und Verantwortlichkeiten

Fachverantwortliche in den techniknahen Bereichen sowie Asset-Verantwortliche sind bei 84 % der Befragten benannt. Zudem sind bei über der Hälfte (58 %) weitere MultiplikatorInnen innerhalb der (Fach-) Abteilungen definiert.

Interpretation

Speziell im Krankenhausumfeld sind neben der IT-Abteilung auch Medizintechnik und Haustechnik Betreiber kritischer Infrastrukturen bzw. Systemen, die informationssicherheitsrelevant sind (Siehe hierzu auch Kapitel 7.1.2). Die Ergebnisse bekräftigen somit die Aussagen der Literatur. Anders ist dies bei den MultiplikatorInnen in den weiteren Abteilungen. Hier haben leidlich sieben der zwölf Krankenhäuser Verantwortlichkeiten definiert.

9.2.6. ZUSAMMENARBEIT INNERHALB DER ORGANISATION

Alle der befragten Krankenhäuser gaben an, dass die Zusammenarbeit durch ein interdisziplinäres Team (IS-Management-Team) in ihrem Unternehmen unterstützt wird. In Abbildung 30 sind die Ergebnisse zur Befragung der Mitglieder des IS- Managementteams grafisch dargestellt. Es wurden alle zwölf Krankenhäuser befragt und eine Mehrauswahl war möglich.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 30: Ergebnis Mitglieder des IS-Management-Teams

Zwei der Befragten (17 %) gaben an, Informationssicherheit in bestehende Gremien oder Meetings zu integrieren. Diese waren u.a. ein Change Advisory Board (CAB), Risk Advisory Board (RAB), Regelmäßiges Meeting mit den IS- Koordinatoren und Jour Fixe mit dem Management-(Board).

Alle weiteren der zehn Befragten gaben an, dass die IT in diesem Gremium vertreten ist. Das Management ist bei der Hälfte der Befragten enthalten. In neun der Krankenhäuser ist der Datenschutz ein Teil des IS-Management-Teams. Die Bereiche Medizintechnik, Haustechnik und Risikomanagement wurden jeweils von einem Drittel der Befragten als Teil des IS-Management-Teams benannt.

Des Weiteren wurden als Freitext weitere Abteilungen genannt, die regelmäßig oder temporär Teil des IS-Management-Teams sind:

Unternehmenskommunikation, Personalabteilung, Einkauf, Vertreter der Einrichtungen, Projektmanagement.

Neben dem IS-Management-Team wurde zusätzlich nach der Integration des Managements in den Informationssicherheitsprozess gefragt, was von allen Krankenhäusern positiv bestätigt wurde.

Interpretation

Es ist davon auszugehen, dass in den bestehenden Gremien (CAB, RAB) weitere Vertreter der aus der Literatur abgeleiteten Abteilungen enthalten sind.

Die IT ist der größte Betreiber kritischer Informationssysteme und deshalb Hauptbestandteil des IS-Management-Teams. Der Datenschutz hat eine große Überschneidung bei den organisatorischen und technischen Maßnahmen, 81 weshalb eine enge Zusammenarbeit wichtig für die Berücksichtigung der datenschutzrechtlichen Anforderungen ist. Dies wird durch die Ergebnisse bestätigt.

Insgesamt wurden die aus der Literatur (Siehe Tabelle 2)identifizierten Mitglieder bestätigt und jedes Mitglied mindestens einmal benannt. Die aus den Ergebnissen der Literatur abgeleiteten permanenten Mitglieder des IS-Management-Teams, wie Risikomanagement, Revision und Fachverantwortlichen waren bei den befragten nur selten oder gar nicht Mitglied des Teams.

Die bestehenden Zusammenarbeitsmodelle, Gremien, und Verantwortlichkeiten sind in den Krankenhäusern sehr unterschiedlich strukturiert. Demnach ist auch die Zusammenarbeit innerhalb der Informationssicherheit divers strukturiert. Fakt ist, dass in allen der befragten Krankenhäuser eine interdisziplinäre Zusammenarbeit vorhanden, welche unterschiedlich ausgeprägt ist.

9.2.7. UMSETZUNGSGRAD DER A NFORDERUNGEN

Zum Schluss der Befragung wurde nach dem Umsetzungsgrad der Anforderungen aus dem IT-Sicherheitsgesetz gefragt. Die Ergebnisse sind in Abbildung 31 grafisch dargestellt. 25 % der Befragten gaben an, dass die Prozesse innerhalb ihrer Organisation charakterisiert, jedoch noch oft reaktiv sind. Bei der Hälfte (50 %) der Krankenhäuser sind die Prozesse bereits definiert, der Organisation bekannt und proaktiv. Ein weiteres Viertel (25 %) gab an, dass die Prozesse bereits kontrolliert und messbar sind. Eine Abhängigkeit zur Quote ist hierbei nicht zu erkennen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 31: Ergebnis Umsetzungsgrad der Anforderungen aus dem IT- Sicherheitsgesetz nach CMMI

Im Rahmen der Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz gaben sechs Krankenhäuser (50 %) an, dass neue Stellen geschaffen wurden (Siehe Abbildung 32). Fünf Mal wurde die Stelle der ISB und zwei Mal innerhalb der IT-Sicherheit neu geschaffen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 32: Ergebnis neue Stellen im Rahmen des ITSiG219

Abbildung in dieser Leseprobe nicht enthalten

Interpretation

Die Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz sind noch nicht vollständig abgeschlossen. Die Implementierung des ISMS ist bei 75 % der Krankenhäuser noch nicht kontrolliert und messbar. Fast alle der verantwortlichen ISB wurden erst im Zuge des ITSiG benannt (Siehe Abbildung 27) und 50 % gaben an, das neue Stellen geschaffen wurden. Eine Veränderung der IS-Organisation ist im weiteren Verlauf der Optimierung und kontinuierlichen Verbesserung des ISMS deshalb zu erwarten. Verbesserung und Implementierung weiterer Prozesse bedarf mehr Ressourcenbindung für das Thema Informationssicherheit. Gerade bei der Umsetzung von Maßnahmen ist die IT-Abteilung beteiligt, was auch die zwei neuen Stellen in der IT-Sicherheit erklärt.

10. ERGEBNISSE UND SCHLUSSFOLGERUNG

10.1. BEANTWORTUNG DER FORSCHUNGSFRAGE

Das Ergebnis beschreibt ein innerhalb der Arbeit erstelltes Konzept zur Integration einer IS-Organisation nach den Anforderungen des IT-Sicherheitsgesetzes, welche durch die Befragung unterschiedlicher Krankenhäuser mit dem Ist-Stand verglichen wurde.

In diesem Kapitel werden die Forschungs- und Hilfsfragen mit Hilfe der Verknüpfung aus Theorie und Empirie beantwortet.

Wie sieht ein Konzept zum Aufbau einer Informationssicherheits-Organisation nach den Vorgaben des IT-Sicherheitsgesetzes für Krankenhäuser aus?

Das Konzept ist in Abbildung 33 grafisch dargestellt und wird im folgenden Text beschrieben.

Das Konzept leitet sich primär aus den Vorgaben des IT-Sicherheitsgesetzes ab, welche durch einschlägige Normen und Standards näher spezifiziert werden. Auch als Prüfungsgrundlage für die Nachweiserbringung, welche aus dem Gesetz resultiert, ist die Auswahl eines Standards empfehlenswert. Die Standards und Rahmenwerke unterscheiden sich anhand des Detaillierungsgrades und der Branchenabhängigkeit. Bei der Nachweiserbringung findet in deutschen Krankenhäusern mehrheitlich die ISO/IEC 27001 sowie der B3S Berücksichtigung. Zusätzlich bietet der BSI-Grundschutz bei der Umsetzung der Maßnahmen und Anforderungen weitere Anhaltspunkte und Empfehlungen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 33: Konzept zum Aufbau einer IS-Organisation nach den Vorgaben des ITSiG für Krankenhäuser (Eigene Darstellung)

Rollen und Verantwortliche / Stellen und Abteilungen

Für die Umsetzung der Anforderungen sind Rollen und Verantwortliche zu definieren, um die aus den Anforderungen resultierenden Aufgaben zu erfüllen. Die wichtigsten Rollen und Verantwortlichkeiten sind die verantwortliche Person für Informationssicherheit (ISB) und die Fachverantwortlichen für Informationssicherheit inkl. Risikoverantwortlichen. Die ISB wurden mehrheitlich im Zuge des Gesetzes etabliert und sind in den meisten Krankenhäusern seit ca. zwei Jahren im Einsatz. Zusätzlich sind gerade in den technischen und techniknahen Bereichen (IT, Medizintechnik und Hautechnik) Verantwortliche erforderlich und werden in der Praxis eingesetzt, um Maßnahmen zur Minimierung von Sicherheitsrisiken umzusetzen.

Die Definition der Rollen und Verantwortlichkeiten ist vom Management innerhalb einer Informationssicherheitsleitlinie zu bestimmten und im Unternehmen zu kommunizieren. Dies ist für alle der befragten Krankenhäuser zutreffend

Zusammenarbeit

Die IS-Organisation ist in die bestehende Organisation zu integrieren. Ein „[...] yet another committee [..J"22° (dt. noch ein weiteres Komitee) ist zu vermeiden indem vorhandene Teams und Strukturen, wie z. B. Qualitäts- Change- Risiko­Management-Boards genutzt werden.

Essenziell für eine funktionierende IS-Organisation ist die organisationsübergreifende Zusammenarbeit durch interdisziplinäre Teams. Ein derartiges Team ist in allen der befragten Krankenhäuser zu finden. Ein IS- Management-Team bearbeitet regelmäßig Informationssicherheits­Angelegenheiten. Die Zusammensetzung des Teams ist krankenhausspezifisch und individuell bestückt. Permanente Teilnahme der Rollen IT, Risikomanagement, Datenschutz, Medizintechnik, Fachvertreter und Revision sind zu empfehlen.

Ein weiteres, temporäres Interventionsteam hilft zusätzlich bei erheblichen Störungen den Betrieb der kritischen Versorgung weiter aufrecht zu erhalten. Die Zusammenarbeit kann ebenso durch bereits vorhandene Teams gewährleistet werden.

Die Kommunikation mit dem BSI wird durch die Kontaktstelle gewährleistet und dient als Schnittstelle zur internen IS-Organisation des Krankenhauses. Kommunikationswege sind durch die ISB zu definieren.

Die Nachweiserbringung erfolgt durch eine prüfende Stelle, weshalb eine dauerhafte Integration der (internen) Revision sinnvoll ist. Auditierung durch eine externe unabhängige Stelle bietet eine qualifiziertere Nachweiserbringung gegenüber dem BSI.

Stellenart und Positionieren

Die ISB sind die zentralen Verantwortlichen für Informationssicherheit und gewährleisten die Aufrechterhaltung des ISMS. Wegen ihrer koordinierenden Funktion sind die ISB als Stabsstelle in die Organisation zu integrieren. Die Besetzung der Stelle mit externen sowie internen Personals ist in der Praxis vorzufinden.

Zusätzlich sind Risiken und Bedrohungen and die Geschäftsführung zu kommunizieren, was durch die Stellenart Stabsstelle gewährleistet ist. Die Zusammenlegung der ISB mit weiteren Stellen ist individuell zu beantworten. Eine Kombination mit Tätigkeiten der IT sind zu vermeiden. Die Bündelung von Tätigkeiten zum Thema Datenschutz sind gängige Praxis und bieten eine effizientere und effektiviere Nutzung der Ressourcen bei der Umsetzung, da Abstimmungen entfallen und viele Tätigkeiten Überschneidungen aufweisen. Ein Interessenskonflikt ist potenziell vorhanden, weshalb die Entkopplung der Verantwortlichkeit, von der der Umsetzung empfohlen wird. So können das Managen von Datenschutz und Informationssicherheit in Persona erfolgen, die Überwachung und Hauptverantwortung ist jedoch durch eine weitere Person sicherzustellen.

Abhängigkeit der Organisation zur Größe des Unternehmens

In kleineren Krankenhäusern und Verbünden ist die Besetzung durch externe ISB gängige Praxis und bietet Vorteile der Unabhängigkeit (kein Interessenkonflikt) und eines flexiblen und bedarfsgerechten Ressourceneinsatzes. In größeren Krankenhäusern oder Verbünden sind ISB meist Vollzeit ausgelastet und es bedarf ggfs. zusätzlicher MitarbeiterInnen. Deshalb ist eine Besetzung der Stelle durch intern angestellte MitarbeiterInnen zu bevorzugen.

In Verbünden ist eine zentrale Koordination der Informationssicherheit notwendig, um ein einheitlich hohes Sicherheitsniveau zu erlangen oder zu halten. Mit der Größe des Unternehmens steigt die Komplexität der Organisation, sowie die Granularität der Rollen und Verantwortlichkeiten. Dadurch steigt auch der Ressourcenbedarf innerhalb der Informationssicherheit. Bei großen Verbünden mit vielen Einrichtungen werden Aufgaben der ISB auf weitere Stellen aufgeteilt.

10.2. EMPFEHLUNG

Durch die steigenden Anforderungen an die Sicherheit und allgegenwärtige Bedrohungen von extern und intern ist für alle Unternehmen eine adäquate IS- Organisation zu empfehlen.

Die Etablierung von Rollen und Verantwortlichkeiten, das Sicherstellen der Zusammenarbeit und die Erfüllung der gesetzlichen Anforderungen bilden die Basis der Informationssicherheit in den Krankenhäusern. Gerade die Zusammenarbeit ist ein wichtiger Faktor, um Informationssicherheit effektiv in das Unternehmen zu integrieren. Die Aufgaben und Verantwortlichkeiten können aus dem Konzept abgeleitet werden, jedoch sind die Personen individuell zu bestimmen, welche diese Tätigkeiten ausführen. Da sich die Krankenhäuser in ihrer Struktur voneinander unterscheiden, ist eine Analyse der vorhandenen Strukturen und der Stakeholder zur Bestimmung der notwendigen Personen zu empfehlen.

Internationale, darunter auch branchenspezifische Standards und Rahmenwerke, bieten für viele Bereiche der Informationssicherheit ausführliche Empfehlungen für die Umsetzung einer geeigneten Informationssicherheitspolitik. Ein Blick in andere Länder und Standards ist für alle Krankenhäuser lohnend.

10.3. CONCLUSION

Das IT-Sicherheitsgesetz hat dazu geführt, dass Informationssicherheit in vielen Krankenhäusern Einzug hält.

Neue Stellen und Verantwortlichkeiten, im Speziellen der zentralen Verantwortlichkeit der ISB, sind entstanden und sorgen für eine Verbesserung des Sicherheitsniveaus in den kritischen Infrastrukturen.

Die Einführung einer IS-Organisation spielt dabei eine ausschlaggebende Rolle. Das in dieser Master-Thesis erarbeitete Konzept zum Aufbau einer IS- Organisation nach den Vorgaben des ITSiG für Krankenhäuser bietet die Struktur für Prozesse, Aufgaben und Umsetzung technischer und organisatorischer Maßnahmen. Es berücksichtigt dabei die gesetzlichen Anforderungen, die Aufbauorganisation und die interdisziplinäre Zusammenarbeit, intern wie extern und bietet eine Ergänzung der Standards und Rahmenwerke mit branchenspezifischem Fokus.

Eine Lücke zur Literatur besteht bei der Zusammensetzung des IS-Management- Teams. Die Integration der Zusammenarbeit in die bestehende Struktur stellt eine Herausforderung dar und ist individuell zu betrachten. Das Konzept bietet hierfür Ansätze zur Umsetzung.

Die Rollen und Verantwortlichkeiten der Informationssicherheit sind nicht von der Größe des Unternehmens abhängig, jedoch wie diese strukturiert und organisiert sind. In komplexeren und größeren Krankenhäusern und Verbünden ist eine generischere Umsetzung der IS-Organisation zu erkennen. Eine Vielzahl an Einrichtungen erfordert mehr Koordination auf Stelle der ISB, wohingegen in kleineren Unternehmen eine praxisnahe Orientierung vorliegt.

Die Maßnahmen zur Umsetzung der Anforderungen sind in vielen Krankenhäusern noch nicht vollständig umgesetzt, weshalb ein weiterer Ausbau der IS- Organisation zu erwarten ist. Das erarbeitete Konzept bietet Empfehlungen zum Ausbau dieser IS-Organisation in Krankenhäusern auch außerhalb kritischer Infrastrukturen.

10.4. KRITISCHE BETRACHTUNG DER ARBEIT

Im empirischen Teil der Arbeit wurde untersucht, inwiefern sich das theoretische Konzept von der Praxis unterscheidet. Um eine Anonymisierung der Befragung zu ermöglichen und zusätzlich keine Doppelbefragungen zu erhalten, wurde die ressourcenintensive telefonische Befragung durchgeführt. Dies führte zu einer geringeren Stichprobenanzahl. Um die Repräsentativität zu verbessern, ist eine Erhöhung der Stichprobenanzahl notwendig, was in weiteren Arbeiten betrachtet werden kann. Eine zusätzliche Möglichkeit wäre die Anpassung der Grundgesamtheit und damit die Befragung aller Krankenhäuser, was eine breitere Streuung ermöglicht. Dadurch kann der Unterschied zwischen kritischen und nicht kritischen Infrastrukturen untersucht werden.

Im Zuge der Empirie wurden Merkmale für die Messung der Größe von Krankenhäusern und Verbünde untersucht, um zu analysieren, wie sich bestimmte Themen im Verhältnis zur Unternehmensgröße verändern. Weder die Bettenanzahl noch die Fallzahl boten hierfür eine repräsentative Kennzahl. Ebenso wenig waren Umsatz, Anzahl der MitarbeiterInnen und Einrichtungsanzahl eine optimale Lösung. Eine Entwicklung einer Kennzahl anhand derer die Größe eines Betreibers von Gesundheitseinrichtungen bewertet und somit z. B.

Organisatorische Maßnahmen abgeleitet werden können, ist eine potenzielle Forschungslücke.

10.5. AUSBLICK

Die steigende Digitalisierung verlagert immer mehr Informationen in die digitale Welt. Dies und die Vernetzung des Gesundheitswesens bringen Risiken und Bedrohungen mit sich, die es zuvor nicht gegeben hat. Das IT-Sicherheitsgesetz 2.0 liegt bereits als Referentenentwurf vor und weist auf neue Veränderungen innerhalb der kritischen Infrastrukturen und deren Organisation hin.

All dies lässt die Informationssicherheit in Unternehmen immer mehr an Bedeutung gewinnen. Eine skalierbare Informationssicherheits-Organisation ist in Zukunft für alle Unternehmen eine sicherheitsrelevante Maßnahme, um den beschriebenen Herausforderungen zu begegnen.

11. LITERATURVERZEICHNIS

11.1. GEDRUCKTE QUELLEN

Berger-Grabner, Doris. Wissenschaftliches Arbeiten in den Wirtschafts- und Sozialwissenschaften: Hilfreiche Tipps und praktische Beispiele. 3., aktualisierte und erweiterte Auflage. Lehrbuch. Wiesbaden: Springer Gabler, 2016.

Braunecker, Claus. How to do Empirie, how to do SPSS: Eine Gebrauchsanleitung Wien: facultas, 2016.

Calder, Alan. Nine Steps to Succes: An ISO27001: 2013 Implementation Overview 3rd ed. Ely: IT Governance Publishing, 2016.

Czech, Sascha. „Das IT-Sicherheitsgesetz.“ In Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, 131-138.

Darms, Martin, Stefan Haßfeld und Stephen Fedtke. IT-Sicherheit und

Datenschutz im Gesundheitswesen. Wiesbaden: Springer Fachmedien Wiesbaden, 2019.

Debatin, Jörg F., Axel Ekkernkamp, Barbara Schulte und Andreas Tecklenburg. Krankenhausmanagement: Strategien, Konzepte, Methoden. 2. Auflage. Berlin: Medizinisch Wissenschaftliche Verlagsgesellschaft, 2013.

Eckert, Claudia. IT-Sicherheit: Konzepte - Verfahren - Protokolle. 8., aktualisierte und korrigierte Aufl. München: Oldenbourg, 2013.

Eren, Evren und Markus Schindler. „IT-Risikomanagement im Krankenhaus - Praktische Hinweise zur Einführung und Umsetzung.“ In Umfassendes Risikomanagement im Krankenhaus: Risiken beherrschen und Chancen erkennen. Hrsg. von Karl Ehrenbaum und Wolfgang Hellmann, 271-294. Berlin: MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG, 2015.

Fiedler, Rudolf. Organisation kompakt. 2., aktualisierte und verbesserte Auflage. München: Oldenbourg Verlag, 2010.

Fiegl, Reinhard. „Informationssicherheit und Organisationsformen: Entwicklung eines Modells zur gesamtheitlichen Betrachtung.“ Master-Thesis Donau Universität Krems, 2009.

Freimuth, Christoph. Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen. Berlin: Drucker & Humblot, 2017.

Große, Sandra. „Pflichten des Datenschutzes.“ In Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, 59-64.

Hiles, Andrew und Kristen Noakes-Fry. Business continuity management: Global best practices. 4. Auflage. Brookfield: Rothstein Associates, 2014.

Humphreys, Edward. Implementing the ISO/IEC 27001. 2nd ed. Norwood: Artech House, 2016.

Jäschke, Thomas, Hrsg. Datenschutz und Informationssicherheit im Gesundheitswesen: Grundlagen, Konzepte, Umsetzung. Unter Mitarbeit von Urs-Vito Albrecht. 2., aktualisierte und erweiterte Auflage. Berlin: Medizinisch Wissenschaftliche Verlagsgesellschaft, 2018.

Jäschke, Thomas und Jan Domnik. „Der Informationssicherheitsbeauftragte.“ In Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, 123­130.

„Einführung eines Managementsystems für Informationssicherheit.“ In Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, 153­158.

Jäschke, Thomas und Nina Richard. „Datenschutz - ein Alleinstellungsmerkmal?“ In Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, 19-24.

„Die aktuelle Lage der Informationssicherheit im Gesundheitswesen.“ In Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, 139­144.

Jäschke, Thomas und Fabian W. Rüter. „Datenschutz vs. Datensicherheit.“ In Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, 55­58.

Jäschke, Thomas und Susann Zorbach. „Kooperations- und Kommunikationspartner aus Anwendersicht.“ In Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, 173-196.

Jung, Hans. Allgemeine Betriebswirtschaftslehre. 13. Auflage. Berlin: De Gruyter Oldenbourg, 2016.

Karl Ehrenbaum und Wolfgang Hellmann, Hrsg. Umfassendes Risikomanagement im Krankenhaus: Risiken beherrschen und Chancen erkennen. Berlin: MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG, 2015.

Klimmer, Matthias. Unternehmensorganisation: Eine kompakte und praxisnahe Einführung mit Online-Training. 4. Auflage. Lehrbuch. Herne: NWB Verlag, 2016.

Lechner, Ulrike, Sebastian Dännart, Lieb Andreas und Rudel Steffi, Hrsg. Case | Kritis: Fallstudien zur IT-Sicherheit in kritischen Infrastrukturen. Berlin: Logos, 2018.

Martenstein, I. und A. Wienke. Aktuelle Gesetzgebung im Gesundheitswesen 2015/2016 119. Heidelberg: Springer Medizin, 2016. doi:10.1007/s00113-016- 0152-x.

Meilwes, Martin. „CIRS als erfolgreiches Instrument einer gerichteten Risikokommunikation im Krankenhaus.“ Master-Thesis Donau Universität Krems, 06.07.2012.

Nicolai, Christiana. Basiswissen Aufbauorganisation. 2nd ed. Berlin: UVK Verlagsgesellschaft, 2018.

Osborne, Mark. How to cheat at managing information security. Rockland, MA: Syngress, 2006.

Schlüchtermann, Jörg. Betriebswirtschaft und Management im Krankenhaus: Grundlagen und Praxis. 2., aktualisierte und erweiterte Auflage. Berlin: MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG, 2016.

Stöferle, Barbara. „Profil des Datenschutzbeauftragten.“ In Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen, 87-94.

Vacca, John R. Managing Information Security. 2nd ed. Burlington: Elsevier Science, 2014.

Wagner, Alexander. „Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus: Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse.“ Dissertation Ruhr-Universität, 2013.

Walker, Daniel and Miriam Alkalay, Hrsg. Lean Hospital: Das Krankenhaus der Zukunft. Berlin: MWV Medizinisch Wissenschaftliche Verlagsges. mbH & Co. KG, 2015.

11.2. INTERNETDOKUMENT

„2018 HIMSS Cybersecurity Survey.“ Zuletzt geprüft am 30.08.2019. https://www.himss.org/sites/himssorg/files/u132196/2018_HIMSS_Cybersecuri ty_Survey_Final_Report.pdf.

Barmherzige Brüder Trier gGmbH. „Unsere Geschäftsfelder.“ Zuletzt geprüft am 27.08.2019. https://www.bbtgruppe.de/zentrale/unsere-struktur/unsere- geschaeftsfelder/index.php.

Bitkom e.V. „Regulierungsmapping IT-Sicherheit: Gesetzliche Anforderungen auf nationaler und europäischer Ebene.“ Zuletzt geprüft am 02.09.2019, Berlin: Bitkom e.V., 2019. https://www.bitkom.org/sites/default/files/2019- 08/190816_regulierungsmapping.pdf.

Bundesamt für Sicherheit in der Informationstechnik - BSI. „Gesetz zur Umsetzung der NIS-Richtlinie.“ Zuletzt geprüft am 31.08.2019. https://www.bsi.bund.de/DE/DasBSI/NIS-Richtlinie/NIS_Richtlinie_node.html.

„Organisationsübersicht des BSI - Aufgaben.“ Zuletzt geprüft am 22.06.2019. https://www.bsi.bund.de/DE/DasBSI/Aufgaben/aufgaben_node.html.

„Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT: Leitfaden.“ Zuletzt geprüft am 01.09.2019, Bonn: BSI, 2013. https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Risikoanalyse%2 0Krankenhaus-IT%20(Langfassung).pdf?__blob=publicationFile.

„KRITIS-Sektorstudie Gesundheit.“ Zuletzt geprüft am 19.06.2019, Bonn: BSI, 2016. https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Sektorstudie_Ges undheit.pdf?__blob=publicationFile.

„Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG.“ Zuletzt geprüft am 19.08.2019, Bonn: BSI, 2019. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/Orientierung shilfe_8a_3_v10.pdf?__blob=publicationFile&v=4.

Deutsche Krankenhausgesellschaft. „Krankenhäuser als kritische Infrastrukturen: Umsetzungshinweise der Deutschen Krankenhausgesellschaft.“ Zuletzt geprüft am 04.11.2018, Berlin: Deutsche Krankenhausgesellschaft, 2017. https://www.dkgev.de/media/file/70091.ITSiG_Kritis_Umsetzungshinweise_BS IG_v0.9.pdf.

„Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus: Gesamtdokument.“ Zuletzt geprüft am 31.08.2019, Berlin: Deutsche Krankenhausgesellschaft, 2019. https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisieru ng_Daten/2.1.4._IT-Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT- Sicherheit_im_Krankenhaus/2019-04-02_B3S_KH_v1.0_- _Gesamtdokument.pdf.

„Deutsches Krankenhausverzeichnis.“ Zuletzt geprüft am 26.09.2018. https://www.deutsches-krankenhaus-verzeichnis.de/.

Dezernat II - Krankenhausfinanzierung und -planung. „Bestandsaufnahme zur Krankenhausplanung und Investitionsfinanzierung in den Bundesländern.“ Zuletzt geprüft am 01.09.2019, Berlin: Deutsche Krankenhausgesellschaft, März 2017. https://www.dkgev.de/fileadmin/default/Mediapool/1_DKG/1.7_Presse/1.7.1_P ressemitteilungen/2017/2017-04-18_PM-Anlage-DKG-

Bestandsaufnahme_Krankenhausplanung_Investitionsfinanzierung.pdf.

Europäische Kommission. „Rechtsakt zur Cybersicherheit.,“ Europäische Kommission. Zuletzt geprüft am 12.08.2019, Brüssel, 11.12.2018. https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_de.

European Union Agency for Network and Information Security. „About ENISA.“ Zuletzt geprüft am 22.06.2019. https://www.enisa.europa.eu/about-enisa.

Friedbert Meurer. „Cyberattacke auf Krankenhäuser: Großbritannien.“ Zuletzt geprüft am 11.08.2019. https://www.deutschlandfunk.de/grossbritannien- cyberattacke-auf-krankenhaeuser.1773.de.html?dram:article_id=386101.

HITRUST Alliance. „Introduction to the HITRUST Common Security Framework.“ Zuletzt geprüft am 27.08.2019: HITRUST Alliance, 2014.

https://hitrustalliance.net/content/uploads/2014/05/HITRUSTCSF-2014-v6_0- Executive-Summary-and-Introduction-FINAL.pdf.

„Healthcare Sector Cybersecurity Framework Implementation Guide v1.1.“ Zuletzt geprüft am 07.07.2019: HITRUST Alliance, 2016. https://www.us- cert.gov/sites/default/files/c3vp/framework_guidance/HPH_Framework_Imple mentation_Guidance.pdf.

„Im Überblick: Inverkehrbringen von Medizinprodukten.“ Zuletzt geprüft am 31.08.2019. https://www.bfarm.de/DE/Medizinprodukte/RechtlicherRahmen/inverk/_node.h tml.

ISACA. „COBIT 5 - Deutsch.“ Zuletzt geprüft am 16.08.2019. http://www.isaca.org/COBIT/Pages/COBIT-5-german.aspx.

ISACA Germany Chapter e.V. „Über uns.“ Zuletzt geprüft am 31.08.2019. https://www.isaca.de/de/ueberuns.

„Implementierungsleitfaden ISO/IEC 27001:2013: Ein Praxisleitfaden für die Implementierung eines ISMS nach ISO/IEC 27001:2013.“ Zuletzt geprüft am 21.07.2019, Berlin: ISACA Germany Chapter e.V., 2016. https://www.isaca.de/sites/default/files/attachements/isaca_leitfaden_i_gesamt _web.pdf.

Krämer, Nicolas und Ulla Dahmen. „Trojaner im KIS: Cyberangriff auf das Lukaskrankenhaus Neuss.“ Zuletzt geprüft am 11.08.2019, Melsungen: Bibliomed Medizinische Verlagsgesellschaft mbH, 2017. https://www.bibliomedmanager.de/zeitschriften/fw/heftarchiv/ausgabe/artikel/f w-1-2017-crime/31425-trojaner-im-kis/.

„Kritis Karte.“ Zuletzt geprüft am 12.08.2019. https://de.batchgeo.com/map/827f5003d6af5966a2fff6dbc15dd5cc.

Microsoft. „Umfrage zu Cyberangriffen weltweit nach Wirtschaftszweigen im Jahr 2017.“ Zuletzt geprüft am 30.08.2019: MMC, April 2018. https://de.statista.com/statistik/daten/studie/865041/umfrage/verteilung-von- cyberangriffen-nach-wirtschaftszweigen-weltweit/.

Ministerium für Arbeit und Sozialordnung, Familien und Senioren, Baden- Württemberg. „Krankenhausplan 2010 Baden-Württemberg: Beschluss der Landesregierung vom 9. November 2010.“ Zuletzt geprüft am 26.08.2019, Stuttgart: Ministerium für Arbeit und Sozialordnung, Familien und Senioren, Baden-Württemberg, 2015. https://sozialministerium.baden- wuerttemberg.de/fileadmin/redaktion/m- sm/intern/downloads/Downloads_Krankenh%C3%A4user/KH- Plan_Textteil_2010.pdf.

Rems-Murr-Kliniken gGmbH. „Unternehmen.“ Zuletzt geprüft am 27.08.2019. https://www.rems-murr-kliniken.de/unternehmen/info.html.

Statista Research Departement. „Ranking der 20 größten Klinik-Unternehmen in Deutschland nach Anzahl der stationären Fälle im Jahr 2012.“ Zuletzt geprüft am 26.08.2019, Hamburg: Statista Research Departement, 2015. https://de.statista.com/statistik/daten/studie/433300/umfrage/ranking-der-20- groessten-klinik-unternehmen-in-deutschland-nach-fallzahl/.

Statistisches Bundesamt. „Gesundheit - Grunddaten der Krankenhäuser.“ Zuletzt geprüft am 07.10.2018, Wiesbaden: Statistisches Bundesamt, 2017. https://www.destatis.de/DE/Publikationen/Thematisch/Gesundheit/Krankenhae user/GrunddatenKrankenhaeuser2120611177004.pdf?__blob=publicationFile.

Stiebel, Benjamin. „Angriff auf DRK-Kliniken: Altes Nutzerkonto war Einfallstor.“ Zuletzt geprüft am 31.08.2019, 23.08.2019. https://www.behoerden- spiegel.de/2019/08/23/angriff-auf-drk-kliniken-altes-nutzerkonto-war- einfallstor/.

Tenzer, F. „Bestand an vergebenen ISO-27001-Zertifikaten weltweit in den Jahren 2006 bis 2017.“ Zuletzt geprüft am 13.08.2019, Hamburg: Statistisches Bundesamt, 2018. https://de.statista.com/statistik/daten/studie/829313/umfrage/bestand-an- vergebenen-iso-27001-zertifikaten-weltweit/.

UP KRITIS Branchenarbeitskreis Medizinische Versorgung. „Handlungsempfehlungen zur Verbesserung der Informationssicherheit an

Kliniken.“ Zuletzt geprüft am 27.09.2018, Bonn: UP KRITIS Branchenarbeitskreis Medizinische Versorgung, 2017. https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Handlungsempfe hlungen_Kliniken.pdf?__blob=publicationFile.

11.3. NORMEN UND RAHMENWERKE

Bundesamt für Sicherheit in der Informationstechnik - BSI. BSI Standard 200-2: IT-Grundschutz Methodik. Berlin: BSI, 2017, Nr. 1.0. Zuletzt geprüft am 31.08.2019. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompe ndium/standard_200_2.html.

BSI-Standard 200-1: Management für Informationssicherheit (ISMS). Bonn: BSI, 2017, Nr. 1.0. Zuletzt geprüft am 20.07.2019. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompe ndium/standard_200_1.pdf?__blob=publicationFile&v=8.

Deutsche Krankenhausgesellschaft. Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus. Berlin: Deutsche Krankenhausgesellschaft, 2019. Zuletzt geprüft am 21.04.2019. https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisieru ng_Daten/2.1.4._IT-Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT- Sicherheit_im_Krankenhaus/2019-04-02_B3S_KH_v1.0_- _Gesamtdokument.pdf.

DIN Deutsches Institut für Normung e. V. Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukt beinhalten: Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten (IEC 80001-1:2010); Deutsche Fassung EN 80001-1:2011. Berlin: Beuth Verlag GmbH, 2011.

DIN EN ISO 27799: Medizinische Informatik - Informationssicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (ISO 27799:2016). Berlin: Beuth Verlag GmbH, 2016, ISO 27799:2016.

DIN EN ISO/IEC 27002. Berlin: Beuth Verlag GmbH, 2017 03.100.70, ISO/IEC 27002:2013(E).

HITRUST Alliance. HITRUST CSF. Frisco: HITRUST Alliance, 2014. Zuletzt geprüft am 07.07.2019. https://hitrustalliance.net/hitrust-csf/.

Information Security Forum Limeted. The Standard of Good Practice for Information Security 2018. Information Secuirty Forum Limited, 2018. ISACA. Cobit 5: For information security. Rolling Meadows, Illinois: Isaca, 2012.

11.4. GESETZ / VERORDNUNG

Gesetz zur Stärkung des Pflegepersonals . Pflegepersonal-Stärkungsgesetz (PpSG). Deutscher Bundestag. 2018 Bundesgesetzblatt. Zuletzt geprüft am 12.08.2019. http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jump To=bgbl118s2394.pdf.

Verordnung über das Errichten, Betreiben und Anwenden von Medizinprodukten . Medizinprodukte-Betreiberverordnung (MPBetriebV). Deutscher Bundestag 1. 1998. Zuletzt geprüft am 12.08.2019. https://www.gesetze-im- internet.de/mpbetreibv/MPBetreibV.pdf.

Verordnung über die Erfassung, Bewertung und Abwehr von Risiken bei Medizinprodukten . MPSV. Deutscher Bundestag. 24.06.2002. Zuletzt geprüft am 01.09.2019. https://www.gesetze-im- internet.de/mpsv/BJNR213110002.html#BJNR213110002BJNG000200000.

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme . IT- Sicherheitsgesetz. Deutscher Bundestag. 2015 Bundesgesetzblatt. 2015. Zuletzt geprüft am 21.04.2019. http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jump To=bgbl115s1324.pdf.

Erste Verordnung zur Änderung der BSI-Kritisverordnung . BSI-KritisV. Deutscher Bundestag Bundesgesetzblatt. 2017. Zuletzt geprüft am 07.10.2017. http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jump To=bgbl117s1903.pdf.

Verordnung (EU) 2016/679 . EU-Datenschutz-Grundverordnung (EU-DSGVO). Europäisches Parlament Amtsblatt der Europäischen Union 1. 2016. Zuletzt geprüft am 21.04.2019. http://data.europa.eu/eli/reg/2016/679/oj.

Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen . Netz- und Informationssystemsicherheitsgesetz - NISG. Republik Österreich. 2019. Zuletzt geprüft am 11.08.2019. https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Ge setzesnummer=20010536&FassungVom=2019-02-05.

12. Anhang

12.1. Muster des Fragebogens zur telefonischen Befragung

Abbildung in dieser Leseprobe nicht enthalten

12.2. EINLEITUNGSSTATEMENT ZUR BEFRAGUNG

Vorstellung:

Karsten Hellinger, 31 Jahre

Ich selbst habe viele Jahre in einer Krankenhaus-IT gearbeitet. Seit ca. 5 Jahren bin ich bei der Adiccon GmbH als Berater, unter anderem im Banken- und Gesundheitswesen, tätig.

Zu meiner Arbeit:

Innerhalb meines berufsbegleitenden Masterstudiums Management & IT mit der Spezialisierung Information Security Management an der Donau-Universität Krems, befasse ich mich mit dem Thema der „ Einflussnahme des IT- Sicherheitsgesetzes auf die Aufbauorganisation von Krankenhäusern “.

Hierbei möchte ich unterschiedliche Krankenhäuser und Verbünde befragen, wie Informationssicherheit innerhalb ihrer Organisation umgesetzt wird.

Im Speziellen sollen innerhalb einer strukturierten Befragung (ca. 20 Minuten) folgende grundsätzlichen Fragen beantwortet werden:

1. Spezialisierung: Welche Aufgaben fallen an, und welche Stellen und Abteilungen sind erforderlich, um sie zu erfüllen?
2. Koordination: Wie kann die Zusammenarbeit der MitarbeiterInnen und Gruppen im Sinne des Unternehmens zur Sicherstellung der Informationssicherheit gewährleistet werden?
3. Konfiguration: Wie muss der Grundaufbau der Stellen und Abteilungen aussehen?

Die erhobenen Daten werden anonymisiert und vertraulich behandelt. Es gibt keine auditive Aufzeichnung und es werden keine personenbezogenen Daten verarbeitet.

Selbstverständlich erhalten Sie bei Interesse nach der Fertigstellung die Ergebnisse der Untersuchung.

12.3. Ergebnisse Tabelle Strukturiert

Abbildung in dieser Leseprobe nicht enthalten

[...]

---

¹ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, „Organisationsübersicht des BSI - Aufgaben,“ zuletzt geprüft am 22.06.2019, https://www.bsi.bund.de/DE/DasBSI/Aufgaben/aufgaben_node.html.

² Vgl. Thomas Jäschke und Jan Domnik, „Der Informationssicherheitsbeauftragte,“ in Datenschutz und Informationssicherheit im Gesundheitswesen: Grundlagen, Konzepte, Umsetzung, hrsg. v. Thomas Jäschke, 2., aktualisierte und erweiterte Auflage (Berlin: Medizinisch Wissenschaftliche Verlagsgesellschaft, 2018), 123-130, S. 126.

³ Vgl. Martin Darms, Stefan Haßfeld und Stephen Fedtke, IT-Sicherheit und Datenschutz im Gesundheitswesen (Wiesbaden: Springer Fachmedien Wiesbaden, 2019), S. 18.

⁴ Vgl. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme , IT-Sicherheitsgesetz, Deutscher Bundestag, 2015 Bundesgesetzblatt (2015), zuletzt geprüft am 21.04.2019, http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl115s1324.pdf

⁵ Vgl. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme , IT-Sicherheitsgesetz, Deutscher Bundestag, 2015 Bundesgesetzblatt (2015), zuletzt geprüft am 21.04.2019, http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl115s1324.pdf

⁶ Vgl. Verordnung (EU) 2016/679 , EU-Datenschutz-Grundverordnung (EU-DSGVO), Europäisches Parlament Amtsblatt der Europäischen Union 1 (2016), zuletzt geprüft am 21.04.2019, http://data.europa.eu/eli/reg/2016/679/oj.

⁷ Vgl. Friedbert Meurer, „Cyberattacke auf Krankenhäuser: Großbritannien,“ zuletzt geprüft am 11.08.2019, https://www.deutschlandfunk.de/grossbritannien-cyberattacke-auf- krankenhaeuser.1773.de.html?dram:article_id=386101.

⁸ Vgl. Nicolas Krämer und Ulla Dahmen, „Trojaner im KIS: Cyberangriff auf das Lukaskrankenhaus Neuss,“ zuletzt geprüft am 11.08.2019, https://www.bibliomedmanager.de/zeitschriften/fw/heftarchiv/ausgabe/artikel/fw-1-2017- crime/31425-trojaner-im-kis/.

⁹ Vgl. Microsoft, „Umfrage zu Cyberangriffen weltweit nach Wirtschaftszweigen im Jahr 2017,“ zuletzt geprüft am 30.08.2019, https://de.statista.com/statistik/daten/studie/865041/umfrage/verteilung-von-cyberangriffen-nach- wirtschaftszweigen-weltweit/.

¹⁰ Vgl. Ulrike Lechner et al., Hrsg., Case | Kritis: Fallstudien zur IT-Sicherheit in kritischen Infrastrukturen (Berlin: Logos, 2018), S. 105.

¹¹ Vgl. „2018 HIMSS Cybersecurity Survey,“ zuletzt geprüft am 30.08.2019, https://www.himss.org/sites/himssorg/files/u132196/2018_HIMSS_Cybersecurity_Survey_Final_Re port.pdf, S. 12.

¹² Vgl. Alexander Wagner, „Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus: Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse“ (Dissertation, Ruhr-Universität, 2013).

¹³ Vgl. Christoph Freimuth, Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen (Berlin: Drucker & Humblot, 2017).

¹⁴ Vgl. Reinhard Fiegl, „Informationssicherheit und Organisationsformen: Entwicklung eines Modells zur gesamtheitlichen Betrachtung“ (Master-Thesis, Donau Universität Krems, 2009).

¹⁵ Vgl. Statistisches Bundesamt, „Gesundheit - Grunddaten der Krankenhäuser,“ zuletzt geprüft am 07.10.2018, https://www.destatis.de/DE/Publikationen/Thematisch/Gesundheit/Krankenhaeuser/GrunddatenKra nkenhaeuser2120611177004.pdf?__blob=publicationFile.

¹⁶ Vgl. Deutsche Krankenhausgesellschaft, „Krankenhäuser als kritische Infrastrukturen: Umsetzungshinweise der Deutschen Krankenhausgesellschaft,“ zuletzt geprüft am 04.11.2018, https://www.dkgev.de/media/file/70091.ITSiG_Kritis_Umsetzungshinweise_BSIG_v0.9.pdf, S. 11.

¹⁷ Eigene Darstellung, basierend auf: Rudolf Fiedler, Organisation kompakt, 2., aktualisierte und verbesserte Auflage (München: Oldenbourg Verlag, 2010), S. 5.

¹⁸ Vgl. Doris Berger-Grabner, Wissenschaftliches Arbeiten in den Wirtschafts- und Sozialwissenschaften: Hilfreiche Tipps und praktische Beispiele, 3., aktualisierte und erweiterte Auflage, Lehrbuch (Wiesbaden: Springer Gabler, 2016), S. 117.

¹⁹ Vgl. Jörg Schlüchtermann, Betriebswirtschaft und Management im Krankenhaus: Grundlagen und Praxis, 2., aktualisierte und erweiterte Auflage (Berlin: MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG, 2016), S. 16.

²⁰ Eigene Darstellung, basierend auf: Statistisches Bundesamt, „Gesundheit -Grunddaten der Krankenhäuser“.

²¹ Vgl. Schlüchtermann, Betriebswirtschaft und Management im Krankenhaus, S. 18.

²² Schlüchtermann, Betriebswirtschaft und Management im Krankenhaus, S. 20.

²³ Vgl. Erste Verordnung zur Änderung der BSI-Kritisverordnung , BSI-KritisV, Deutscher Bundestag Bundesgesetzblatt (2017), zuletzt geprüft am 07.10.2017, http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s1903.pdf

²⁴ Jörg F. Debatin et al., Krankenhausmanagement: Strategien, Konzepte, Methoden, 2. Auflage (Berlin: Medizinisch Wissenschaftliche Verlagsgesellschaft, 2013), S. 28-29.

²⁵ Vgl. ebd., S. 29.

²⁶ Statista Research Departement, „Ranking der 20 größten Klinik-Unternehmen in Deutschland nach Anzahl der stationären Fälle im Jahr 2012,“ zuletzt geprüft am 26.08.2019, https://de.statista.com/statistik/daten/studie/433300/umfrage/ranking-der-20-groessten-klinik- unternehmen-in-deutschland-nach-fallzahl/.

²⁷ Eigene Darstellung, basierend auf: Thomas Jäschke und Jan Domnik, „Der Informationssicherheitsbeauftragte“ in Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 124.

²⁸ Daniel Walker und Miriam Alkalay, Hrsg., Lean Hospital: Das Krankenhaus der Zukunft (Berlin: MWV Medizinisch Wissenschaftliche Verlagsges. mbH & Co. KG, 2015), S. 78.

²⁹ Vgl. Karl Ehrenbaum und Wolfgang Hellmann, Hrsg., Umfassendes Risikomanagement im Krankenhaus: Risiken beherrschen und Chancen erkennen (Berlin: MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG, 2015), S. 147.

³⁰ Vgl. Andrew Hiles und Kristen Noakes-Fry, Business continuity management: Global best practices, 4. Auflage (Brookfield: Rothstein Associates, 2014), S. 2.

³¹ Vgl. Evren Eren und Markus Schindler, „IT-Risikomanagement im Krankenhaus - Praktische Hinweise zur Einführung und Umsetzung,“ in Karl Ehrenbaum und Wolfgang Hellmann, Umfassendes Risikomanagement im Krankenhaus: Risiken beherrschen und Chancen erkennen (s. Anm. 29), S. 279.

³² Vgl. Darms, Haßfeld und Fedtke, IT-Sicherheit und Datenschutz im Gesundheitswesen, S. 8.

³³ Vgl. Thomas Jäschke und Fabian W. Rüter, „Datenschutz vs. Datensicherheit,“ in Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 57-58.

³⁴ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, BSI-Standard 200-1: Management für Informationssicherheit (ISMS) (Bonn: BSI, 2017), Nr. 1.0, zuletzt geprüft am 20.07.2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200 _1.pdf?__blob=publicationFile&v=8, S. 8.

³⁵ Vgl. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, 2015 Bundesgesetzblatt.

³⁶ Deutsche Krankenhausgesellschaft, Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (Berlin: Deutsche Krankenhausgesellschaft, 2019), zuletzt geprüft am 21.04.2019, https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT- Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/2019-04- 02_B3S_KH_v1.0_-_Gesamtdokument.pdf, S. 6.

³⁷ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, BSI-Standard 200-1: Management für Informationssicherheit (ISMS) (Bonn: BSI, 2017), Nr. 1.0, zuletzt geprüft am 20.07.2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200 _1.pdf?__blob=publicationFile&v=8, S. 8.

³⁸ Vgl. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, 2015 Bundesgesetzblatt.

³⁹ Vgl. Claudia Eckert, IT-Sicherheit: Konzepte - Verfahren - Protokolle, 8., aktualisierte und korrigierte Aufl. (München: Oldenbourg, 2013), S. 8-12.

⁴⁰ Vgl. Edward Humphreys, Implementing the ISO/IEC 27001, 2nd ed. (Norwood: Artech House, 2016), S. 5.

⁴¹ Vgl. ebd., S. 5-6.

⁴² Vgl. Darms, Haßfeld und Fedtke, IT-Sicherheit und Datenschutz im Gesundheitswesen, S. 2.

⁴³ Vgl. Thomas Jäschke und Nina Richard, „Datenschutz - ein Alleinstellungsmerkmal?,“ in Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 20.

⁴⁴ Eigene Darstellung, basierend auf: Bundesamt für Sicherheit in der Informationstechnik - BSI, „KRITIS-Sektorstudie Gesundheit,“ zuletzt geprüft am 19.06.2019, https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Sektorstudie_Gesundheit.pdf?__blob= publicationFile, S. 149.

⁴⁵ Vgl. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, 2015 Bundesgesetzblatt.

⁴⁶ Vgl. Erste Verordnung zur Änderung der BSI-Kritisverordnung Bundesgesetzblatt, Anhang 5 Teil 3.

⁴⁷ Vgl. „Deutsches Krankenhausverzeichnis,“ zuletzt geprüft am 26.09.2018, https://www.deutsches-krankenhaus-verzeichnis.de/.

⁴⁸ Vgl. Deutsche Krankenhausgesellschaft, Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (Berlin: Deutsche Krankenhausgesellschaft, 2019), zuletzt geprüft am 21.04.2019, https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT- Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/2019-04- 02_B3S_KH_v1.0_-_Gesamtdokument.pdf, S. 60.

⁴⁹ Vgl. Gesetz zur Stärkung des Pflegepersonals , Pflegepersonal-Stärkungsgesetz (PpSG), Deutscher Bundestag, 2018 Bundesgesetzblatt hier S. 2397-2398, zuletzt geprüft am 12.08.2019, http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl118s2394.pdf

⁵⁰ Vgl. Erste Verordnung zur Änderung der BSI-Kritisverordnung Bundesgesetzblatt.

⁵¹ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, „KRITIS-Sektorstudie Gesundheit,“ S. 93-133.

⁵² Vgl. Deutsche Krankenhausgesellschaft, „Krankenhäuser als kritische Infrastrukturen,“ S. 11.

⁵³ Vgl. Bitkom e.V., „Regulierungsmapping IT-Sicherheit: Gesetzliche Anforderungen auf nationaler und europäischer Ebene,“ zuletzt geprüft am 02.09.2019, https://www.bitkom.org/sites/default/files/2019-08/190816_regulierungsmapping.pdf, S. 4.

⁵⁴ Vgl.Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen , Netz- und Informationssystemsicherheitsgesetz - NISG, Republik Österreich (2019), zuletzt geprüft am 11.08.2019, https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=2001 0536&FassungVom=2019-02-05.

⁵⁵ Eigene Darstellung, basieren auf: „Kritis Karte,“ zuletzt geprüft am 12.08.2019, https://de.batchgeo.com/map/827f5003d6af5966a2fff6dbc15dd5cc.

⁵⁶ Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, 2015 Bundesgesetzblatt.

⁵⁷ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, „Gesetz zur Umsetzung der NIS- Richtlinie,“ zuletzt geprüft am 31.08.2019, https://www.bsi.bund.de/DE/DasBSI/NIS- Richtlinie/NIS_Richtlinie_node.html.

⁵⁸ Vgl. Verordnung (EU) 2016/679 Amtsblatt der Europäischen Union.

⁵⁹ Vgl. „Im Überblick: Inverkehrbringen von Medizinprodukten,“ zuletzt geprüft am 31.08.2019, https://www.bfarm.de/DE/Medizinprodukte/RechtlicherRahmen/inverk/_node.html.

⁶⁰ Verordnung über das Errichten, Betreiben und Anwenden von Medizinprodukten , Medizinprodukte-Betreiberverordnung (MPBetriebV), Deutscher Bundestag 1 hier S. 3 (1998), zuletzt geprüft am 12.08.2019, https://www.gesetze-im-internet.de/mpbetreibv/MPBetreibV.pdf.

⁶¹ Ebd.

⁶² Vgl. I. Martenstein und A. Wienke, Aktuelle Gesetzgebung im Gesundheitswesen 2015/2016 119 (Heidelberg: Springer Medizin, 2016). doi:10.1007/s00113-016-0152-x, S. 248-249.

⁶³ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, „Organisationsübersicht des BSI - Aufgaben“.

⁶⁴ Vgl. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, 2015 Bundesgesetzblatt.

⁶⁵ Vgl. UP KRITIS Branchenarbeitskreis Medizinische Versorgung, „Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken,“ zuletzt geprüft am 27.09.2018, https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Handlungsempfehlungen_Kliniken.pdf ?__blob=publicationFile, S. 10.

⁶⁶ Vgl. European Union Agency for Network and Information Security, „About ENISA,“ zuletzt geprüft am 22.06.2019, https://www.enisa.europa.eu/about-enisa.

⁶⁷ Vgl. Europäische Kommission, „Rechtsakt zur Cybersicherheit,“ Europäische Kommission, zuletzt geprüft am 12.08.2019, https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec- 11_de.

⁶⁸ Vgl. ISACA Germany Chapter e.V., „Über uns,“ zuletzt geprüft am 31.08.2019, https://www.isaca.de/de/ueberuns.

⁶⁹ Vgl. UP KRITIS Branchenarbeitskreis Medizinische Versorgung, „Handlungsempfehlungen zur Verbesserung der Informationssicherheit an Kliniken,“ S. 2.

⁷⁰ Vgl. Darms, Haßfeld und Fedtke, IT-Sicherheit und Datenschutz im Gesundheitswesen, S. 153.

⁷¹ Eigene Darstellung, basierend auf: Bundesamt für Sicherheit in der Informationstechnik -BSI, „KRITIS-Sektorstudie Gesundheit,“ S. 154.

⁷² Vgl. Alan Calder, Nine Steps to Succes: An ISO27001: 2013 Implementation Overview, 3rd ed. (Ely: IT Governance Publishing, 2016), S. 15.

⁷³ F. Tenzer, „Bestand an vergebenen ISO-27001-Zertifikaten weltweit in den Jahren 2006 bis 2017,“ zuletzt geprüft am 13.08.2019, https://de.statista.com/statistik/daten/studie/829313/umfrage/bestand-an-vergebenen-iso-27001- zertifikaten-weltweit/.

⁷⁴ Vgl. Darms, Haßfeld und Fedtke, IT-Sicherheit und Datenschutz im Gesundheitswesen, S. 168.

⁷⁵ Vgl. ISACA, „COBIT 5 - Deutsch,“ zuletzt geprüft am 16.08.2019, http://www.isaca.org/COBIT/Pages/COBIT-5-german.aspx.

⁷⁶ Vgl. ISACA, Cobit 5: For information security (Rolling Meadows, Illinois: Isaca, 2012), S. 13-16.

⁷⁷ Vgl. ISACA, Cobit 5: For information security (Rolling Meadows, Illinois: Isaca, 2012), S. 23.

⁷⁸ Vgl. ISACA, Cobit 5: For information security (Rolling Meadows, Illinois: Isaca, 2012), S. 23.

⁷⁹ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, BSI-Standard 200-1: Management für Informationssicherheit (ISMS) (Bonn: BSI, 2017), Nr. 1.0, zuletzt geprüft am 20.07.2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200 _1.pdf?__blob=publicationFile&v=8, S. 28.

⁸⁰ DIN Deutsches Institut für Normung e. V, Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukt beinhalten: Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten (IEC 80001­1:2010); Deutsche Fassung EN 80001-1:2011 (Berlin: Beuth Verlag GmbH, 2011), S. 1.

⁸¹ Vgl. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, 2015 Bundesgesetzblatt.

⁸² Deutsche Krankenhausgesellschaft, Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (Berlin: Deutsche Krankenhausgesellschaft, 2019), zuletzt geprüft am 21.04.2019, https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT- Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/2019-04- 02_B3S_KH_v1.0_-_Gesamtdokument.pdf, S. 9.

⁸³ Vgl. Information Security Forum Limeted, The Standard of Good Practice for Information Security 2018 (Information Secuirty Forum Limited, 2018), S. 7.

⁸⁴ Vgl. HITRUST Alliance, HITRUST CSF (Frisco: HITRUST Alliance, 2014), zuletzt geprüft am 07.07.2019, https://hitrustalliance.net/hitrust-csf/, S. 7-8.

⁸⁵ Vgl. HITRUST Alliance, HITRUST CSF (Frisco: HITRUST Alliance, 2014), zuletzt geprüft am 07.07.2019, https://hitrustalliance.net/hitrust-csf/, S. 181-209.

⁸⁶ HITRUST Alliance, „Healthcare Sector Cybersecurity Framework Implementation Guide v1.1,“ zuletzt geprüft am 07.07.2019, https://www.us- cert.gov/sites/default/files/c3vp/framework_guidance/HPH_Framework_Implementation_Guidance. pdf, S. 52-53.

⁸⁷ Vgl. Hans Jung, Allgemeine Betriebswirtschaftslehre, 13. Auflage (Berlin: De Gruyter Oldenbourg, 2016), S. 260.

⁸⁸ Vgl. ebd., S. 261.

⁸⁹ Vgl. Fiedler, Organisation kompakt, S. 5.

⁹⁰ Schlüchtermann, Betriebswirtschaft und Management im Krankenhaus, S. 72.

⁹¹ Vgl. Fiedler, Organisation kompakt, S. 1.

⁹² Vgl. Christiana Nicolai, Basiswissen Aufbauorganisation, 2nd ed. (Berlin: UVK Verlagsgesellschaft, 2018), S. 35-36.

⁹³ Vgl. ebd., S.36-37.

⁹⁴ Vgl. ebd., S. 40-41.

⁹⁵ Vgl. ebd., S. 48.

⁹⁶ Ebd., S. 35.

⁹⁷ Vgl. Matthias Klimmer, Unternehmensorganisation: Eine kompakte und praxisnahe Einführung mit Online-Training, 4. Auflage, Lehrbuch (Herne: NWB Verlag, 2016), S. 95.

⁹⁸ Vgl. Fiedler, Organisation kompakt, S. 34.

⁹⁹ Vgl. Jung, Allgemeine Betriebswirtschaftslehre, S. 284.

¹⁰⁰ Schlüchtermann, Betriebswirtschaft und Management im Krankenhaus, S. 89.

¹⁰¹ Vgl. ebd., S. 92.

¹⁰² Vgl. ebd., S. 78.

¹⁰³ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, „KRITIS-Sektorstudie Gesundheit,“ S. 44.

¹⁰⁴ Eigene Darstellung, basierend auf: Schlüchtermann, Betriebswirtschaft und Management im Krankenhaus, S 78.

¹⁰⁵ Vgl. Ministerium für Arbeit und Sozialordnung, Familien und Senioren, Baden-Württemberg, „Krankenhausplan 2010 Baden-Württemberg: Beschluss der Landesregierung vom 9. November 2010,“ zuletzt geprüft am 26.08.2019, https://sozialministerium.baden- wuerttemberg.de/fileadmin/redaktion/m- sm/intern/downloads/Downloads_Krankenh%C3%A4user/KH-Plan_Textteil_2010.pdf.

¹⁰⁶ Eigene Darstellung, basierend auf: Bundesamt für Sicherheit in der Informationstechnik -BSI, „Schutz Kritischer Infrastrukturen: Risikoanalyse Krankenhaus-IT: Leitfaden,“ zuletzt geprüft am 01.09.2019, https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/Risikoanalyse%20Krankenhaus- IT%20(Langfassung).pdf?__blob=publicationFile, S. 21.

¹⁰⁷ Vgl. ebd., S. 13.

¹⁰⁸ Vgl. Schlüchtermann, Betriebswirtschaft und Management im Krankenhaus, S. 126.

¹⁰⁹ Vgl. Schlüchtermann, Betriebswirtschaft und Management im Krankenhaus, S. 133.

¹¹⁰ Fiedler, Organisation kompakt, S. 5.

¹¹¹ Eigene Darstellung

¹¹² Eigene Darstellung, basierend auf: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, 2015 Bundesgesetzblatt.

¹¹³ Vgl. ebd.

¹¹⁴ Deutsche Krankenhausgesellschaft, „Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus: Gesamtdokument,“ zuletzt geprüft am 31.08.2019, https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT- Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/2019-04- 02_B3S_KH_v1.0_-_Gesamtdokument.pdf, S. 10.

¹¹⁵ Thomas Jäschke und Jan Domnik, „Der Informationssicherheitsbeauftragte“ in Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 127.

¹¹⁶ Vgl. ISACA Germany Chapter e.V., „Implementierungsleitfaden ISO/IEC 27001:2013: Ein Praxisleitfaden für die Implementierung eines ISMS nach ISO/IEC 27001:2013,“ zuletzt geprüft am 21.07.2019, https://www.isaca.de/sites/default/files/attachements/isaca_leitfaden_i_gesamt_web.pdf, S. 15.

¹¹⁷ Vgl. ebd., S. 17.

¹¹⁸ Vgl. Sascha Czech, „Das IT-Sicherheitsgesetz,“ in Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 136.

¹¹⁹ Vgl. ISACA, Cobit 5: For information security (Rolling Meadows, Illinois: Isaca, 2012), S. 169.

¹²⁰ DIN Deutsches Institut für Normung e. V, S. 19.

¹²¹ Vgl. ISACA, Cobit 5: For information security (Rolling Meadows, Illinois: Isaca, 2012), S. 172­173.

¹²² Vgl. Information Security Forum Limeted, The Standard of Good Practice for Information Security 2018 (Information Secuirty Forum Limited, 2018), 20.

¹²³ Vgl. Thomas Jäschke und Jan Domnik, „Der Informationssicherheitsbeauftragte“ in Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 124.

¹²⁴ Vgl. Barbara Stöferle, „Profil des Datenschutzbeauftragten,“ in Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 92.

¹²⁵ Vgl. Sandra Große, „Pflichten des Datenschutzes,“ in Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 59.

¹²⁶ Vgl. Deutsche Krankenhausgesellschaft, Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (Berlin: Deutsche Krankenhausgesellschaft, 2019), zuletzt geprüft am 21.04.2019, https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT- Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/2019-04- 02_B3S_KH_v1.0_-_Gesamtdokument.pdf, S. 53-56.

¹²⁷ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, BSI Standard 200-2: IT- Grundschutz Methodik (Berlin: BSI, 2017), Nr. 1.0, zuletzt geprüft am 31.08.2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200 _2.html, S. 22.

¹²⁸ Vgl. DIN Deutsches Institut für Normung e. V, DIN EN ISO/IEC 27002 (Berlin: Beuth Verlag GmbH, 2017) 03.100.70, ISO/IEC 27002:2013(E), S 13.

¹²⁹ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, BSI Standard 200-2: IT- Grundschutz Methodik (Berlin: BSI, 2017), Nr. 1.0, zuletzt geprüft am 31.08.2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200 _2.html, S. 23.

¹³⁰ Vgl. Deutsche Krankenhausgesellschaft, Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus (Berlin: Deutsche Krankenhausgesellschaft, 2019), zuletzt geprüft am 21.04.2019, https://www.dkgev.de/fileadmin/default/Mediapool/2_Themen/2.1_Digitalisierung_Daten/2.1.4._IT- Sicherheit_und_technischer_Datenschutz/2.1.4.1._IT-Sicherheit_im_Krankenhaus/2019-04- 02_B3S_KH_v1.0_-_Gesamtdokument.pdf, S. 62.

¹³¹ Vgl. Information Security Forum Limeted, The Standard of Good Practice for Information Security 2018 (Information Secuirty Forum Limited, 2018), S. 18.

¹³² Vgl. Thomas Jäschke und Jan Domnik, „Einführung eines Managementsystems für Informationssicherheit,“ in Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 155.

¹³³ Vgl. Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, 2015 Bundesgesetzblatt.

¹³⁴ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, „Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG,“ zuletzt geprüft am 19.08.2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/Orientierungshilfe_8a_3_v10.pdf? __blob=publicationFile&v=4, S. 6.

¹³⁵ Bundesamt für Sicherheit in der Informationstechnik - BSI, „Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG,“ zuletzt geprüft am 19.08.2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/Orientierungshilfe_8a_3_v10.pdf? __blob=publicationFile&v=4, S. 6.

¹³⁶ Vgl. ebd., S. 12-14.

¹³⁷ Vgl. DIN Deutsches Institut für Normung e. V, DIN EN ISO/IEC 27002 (Berlin: Beuth Verlag GmbH, 2017) 03.100.70, ISO/IEC 27002:2013(E), S. 105.

¹³⁸ Vgl. Thomas Jäschke und Susann Zorbach, „Kooperations- und Kommunikationspartner aus Anwendersicht,“ in Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 173-183.

¹³⁹ Fiedler, Organisation kompakt, S. 5.

¹⁴⁰ Eigene Darstellung

¹⁴¹ Vgl. Schlüchtermann, Betriebswirtschaft und Management im Krankenhaus, S. 20-23.

¹⁴² Vgl. Lechner et al., Case | Kritis, S. 105.

¹⁴³ Vgl. DIN Deutsches Institut für Normung e. V, DIN EN ISO/IEC 27002 (Berlin: Beuth Verlag GmbH, 2017) 03.100.70, ISO/IEC 27002:2013(E), S. 14.

¹⁴⁴ Vgl. Information Security Forum Limeted, The Standard of Good Practice for Information Security 2018 (Information Secuirty Forum Limited, 2018), S. 20.

¹⁴⁵ Vgl. DIN Deutsches Institut für Normung e. V, DIN EN ISO 27799: Medizinische Informatik - Informationssicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (ISO 27799:2016) (Berlin: Beuth Verlag GmbH, 2016), ISO 27799:2016, S. 24.

¹⁴⁶ Vgl. DIN Deutsches Institut für Normung e. V, DIN EN ISO 27799: Medizinische Informatik - Informationssicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (ISO 27799:2016) (Berlin: Beuth Verlag GmbH, 2016), ISO 27799:2016, S. 80.

¹⁴⁷ Vgl. HITRUST Alliance, HITRUST CSF (Frisco: HITRUST Alliance, 2014), zuletzt geprüft am 07.07.2019, https://hitrustalliance.net/hitrust-csf/, S. 186.

¹⁴⁸ (IEC 80001-1:2010); Deutsche Fassung EN 80001-1:2011 (Berlin: Beuth Verlag GmbH, 2011), S. 15.

¹⁴⁹ Vgl. DIN Deutsches Institut für Normung e. V, Anwendung des Risikomanagements für IT- Netzwerke, die Medizinprodukt beinhalten: Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten

¹⁵⁰ Vgl. ISACA, Cobit 5: For information security (Rolling Meadows, Illinois: Isaca, 2012), S. 171.

¹⁵¹ Vgl. Martin Meilwes, „CIRS als erfolgreiches Instrument einer gerichteten Risikokommunikation im Krankenhaus“ (Master-Thesis, Donau Universität Krems, 06.07.2012), S. 31.

¹⁵² Vgl. Sascha Czech, „Das IT-Sicherheitsgesetz“ in Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 118), S. 134.

¹⁵³ Vgl. DIN Deutsches Institut für Normung e. V, DIN EN ISO/IEC 27002 (Berlin: Beuth Verlag GmbH, 2017) 03.100.70, ISO/IEC 27002:2013(E), S. 16.

¹⁵⁴ Vgl. John R. Vacca, Managing Information Security, 2nd ed. (Burlington: Elsevier Science, 2014), S. 185.

¹⁵⁵ Vgl. DIN Deutsches Institut für Normung e. V, DIN EN ISO/IEC 27002 (Berlin: Beuth Verlag GmbH, 2017) 03.100.70, ISO/IEC 27002:2013(E), S. 99.

¹⁵⁶ Vgl. ISACA, Cobit 5: For information security (Rolling Meadows, Illinois: Isaca, 2012), S. 171.

¹⁵⁷ Eigene Darstellung

¹⁵⁸ Vgl. Verordnung (EU) 2016/679 Amtsblatt der Europäischen Union.

¹⁵⁹ Verordnung über die Erfassung, Bewertung und Abwehr von Risiken bei Medizinprodukten , MPSV, Deutscher Bundestag (24.06.2002), zuletzt geprüft am 01.09.2019, https://www.gesetze-i m- internet.de/mpsv/BJNR213110002.html#BJNR213110002BJNG000200000.

¹⁶⁰ Vgl. Bundesamt für Sicherheit in der Informationstechnik -BSI, BSI-Standard 200-1: Management für Informationssicherheit (ISMS) (Bonn: BSI, 2017), Nr. 1.0, zuletzt geprüft am 20.07.2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200 _1.pdf?__blob=publicationFile&v=8, S. 36.

¹⁶¹ Vgl. DIN Deutsches Institut für Normung e. V, DIN EN ISO/IEC 27002 (Berlin: Beuth Verlag GmbH, 2017) 03.100.70, ISO/IEC 27002:2013(E), S. 21.

¹⁶² Deutsche Krankenhausgesellschaft, „Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus,“ S. 60.

¹⁶³ Fiedler, Organisation kompakt, S. 5.

¹⁶⁴ Eigene Darstellung

¹⁶⁵ Eigene Darstellung, basierend auf: Mark Osborne, How to cheat at managing information security (Rockland, MA: Syngress, 2006), S. 3.

¹⁶⁶ Vgl. ebd., S. 3-4.

¹⁶⁷ Vgl. Thomas Jäschke und Jan Domnik, „Der Informationssicherheitsbeauftragte“ in Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 124-125.

¹⁶⁸ Vgl. ISACA, Cobit 5: For information security (Rolling Meadows, Illinois: Isaca, 2012), S. 169.

¹⁶⁹ Vgl. Information Security Forum Limeted, The Standard of Good Practice for Information Security 2018 (Information Secuirty Forum Limited, 2018), S. 20.

¹⁷⁰ Deutsche Krankenhausgesellschaft, „Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus,“ S. 59.

¹⁷¹ Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, BSI Standard 200-2: IT- Grundschutz Methodik (Berlin: BSI, 2017), Nr. 1.0, zuletzt geprüft am 31.08.2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200 _2.html, S. 39.

¹⁷² Vgl. Bundesamt für Sicherheit in der Informationstechnik - BSI, BSI Standard 200-2: IT- Grundschutz Methodik (Berlin: BSI, 2017), Nr. 1.0, zuletzt geprüft am 31.08.2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200 _2.html, S. 36-43.

¹⁷³ Vgl. Thomas Jäschke und Jan Domnik, „Der Informationssicherheitsbeauftragte“ in Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 129.

¹⁷⁴ Vgl. ebd.

¹⁷⁵ Vgl. ebd., S. 125.

¹⁷⁶ Vgl. Deutsche Krankenhausgesellschaft, „Branchenspezifischer Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus,“ S. 59.

¹⁷⁷ Vgl. Klimmer, Unternehmensorganisation, S.95.

¹⁷⁸ Fiedler, Organisation kompakt, S. 20.

¹⁷⁹ Bundesamt für Sicherheit in der Informationstechnik - BSI, BSI-Standard 200-1: Management für Informationssicherheit (ISMS) (Bonn: BSI, 2017), Nr. 1.0, zuletzt geprüft am 20.07.2019, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/standard_200 _1.pdf?__blob=publicationFile&v=8, S. 41.

¹⁸⁰ Fiedler, Organisation kompakt, S. 19.

¹⁸¹ Vgl. ebd.

¹⁸² Vgl. Thomas Jäschke und Jan Domnik, „Der Informationssicherheitsbeauftragte“ in Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 128.

¹⁸³ Vgl. Thomas Jäschke und Nina Richard, „Die aktuelle Lage der Informationssicherheit im Gesundheitswesen,“ in Jäschke, Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 141.

¹⁸⁴ Vgl. Dezernat II - Krankenhausfinanzierung und -planung, „Bestandsaufnahme zur Krankenhausplanung und Investitionsfinanzierung in den Bundesländern,“ zuletzt geprüft am 01.09.2019, https://www.dkgev.de/fileadmin/default/Mediapool/1_DKG/1.7_Presse/1.7.1_Pressemitteilungen/20 17/2017-04-18_PM-Anlage-DKG- Bestandsaufnahme_Krankenhausplanung_Investitionsfinanzierung.pdf, S. 72.

¹⁸⁵ Vgl. HITRUST Alliance, HITRUST CSF (Frisco: HITRUST Alliance, 2014), zuletzt geprüft am 07.07.2019, https://hitrustalliance.net/hitrust-csf/.

¹⁸⁶ Eigene Darstellung

¹⁸⁷ Vgl. Berger-Grabner, Wissenschaftliches Arbeiten in den Wirtschafts- und Sozialwissenschaften, S. 163.

¹⁸⁸ Vgl. Claus Braunecker, How to do Empirie, how to do SPSS: Eine Gebrauchsanleitung (Wien: facultas, 2016), S. 30.

¹⁸⁹ Vgl. Braunecker, How to do Empirie, how to do SPSS, S. 117.

¹⁹⁰ Vgl. Thomas Jäschke und Jan Domnik, „Der Informationssicherheitsbeauftragte“ in Datenschutz und Informationssicherheit im Gesundheitswesen (s. Anm. 2), S. 128.

¹⁹¹ Vgl. „Deutsches Krankenhausverzeichnis“.

¹⁹² Vgl. Berger-Grabner, Wissenschaftliches Arbeiten in den Wirtschafts- und Sozialwissenschaften, S. 205.

¹⁹³ Vgl. „Deutsches Krankenhausverzeichnis“.

¹⁹⁴ Vgl. ebd.

¹⁹⁵ Vgl. HITRUST Alliance, „Introduction to the HITRUST Common Security Framework,“ zuletzt geprüft am 27.08.2019, https://hitrustalliance.net/content/uploads/2014/05/HITRUSTCSF-2014- v6_0-Executive-Summary-and-Introduction-FINAL.pdf, S. 7.

¹⁹⁶ Vgl. Rems-Murr-Kliniken gGmbH, „Unternehmen,“ zuletzt geprüft am 27.08.2019, https://www.rems-murr-kliniken.de/unternehmen/info.html.

¹⁹⁷ Vgl. Barmherzige Brüder Trier gGmbH, „Unsere Geschäftsfelder,“ zuletzt geprüft am 27.08.2019, https://www.bbtgruppe.de/zentrale/unsere-struktur/unsere-geschaeftsfelder/index.php. Eigene Darstellung

¹⁹⁸ Eigene Darstellung

¹⁹⁹ Vgl. Berger-Grabner, Wissenschaftliches Arbeiten in den Wirtschafts- und Sozialwissenschaften, S. 205.

²⁰⁰ Eigene Darstellung Vgl. Braunecker, How to do Empirie, how to do SPSS, S. 31.

²⁰¹ Vgl. Braunecker, How to do Empirie, how to do SPSS, S. 31.

²⁰² Vgl. Braunecker, How to do Empirie, how to do SPSS, S. 85.

²⁰³ Eigene Darstellung

²⁰⁴ Vgl. Braunecker, How to do Empirie, how to do SPSS, S. 61.

²⁰⁵ Eigene Darstellung

²⁰⁶ Eigene Darstellung

²⁰⁷ Eigene Darstellung

²⁰⁸ Eigene Darstellung

²⁰⁹ Eigene Darstellung

²¹⁰ Eigene Darstellung

²¹¹ Eigene Darstellung

²¹² Eigene Darstellung

²¹³ Eigene Darstellung

²¹⁴ Eigene Darstellung

²¹⁵ Vgl. Benjamin Stiebel, „Angriff auf DRK-Kliniken: Altes Nutzerkonto war Einfallstor,“ zuletzt geprüft am 31.08.2019, https://www.behoerden-spiegel.de/2019/08/23/angriff-auf-drk-kliniken-altes- nutzerkonto-war-einfallstor/.