{"id":7421,"date":"2020-03-11T10:40:20","date_gmt":"2020-03-11T09:40:20","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=7421"},"modified":"2025-12-17T12:24:00","modified_gmt":"2025-12-17T11:24:00","slug":"enisa-notfallplan-fuer-mehr-cybersicherheit-im-krankenhaus","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/enisa-notfallplan-fuer-mehr-cybersicherheit-im-krankenhaus\/","title":{"rendered":"Enisa: Notfallplan f\u00fcr mehr Cybersicherheit im Krankenhaus"},"content":{"rendered":"<p>Gerade im vergangenen Jahr sorgten diverse Sicherheitsvorf\u00e4lle im Gesundheitssektor f\u00fcr mediale Aufmerksamkeit; wir berichteten im Oktober 2019 beispielsweise \u00fcber die <a href=\"https:\/\/www.psw-group.de\/blog\/datenschutz-im-gesundheitswesen-sichere-digitale-kommunikation\">sichere digitale Kommunikation im Gesundheitswesen<\/a>. In 2017 w\u00fctete <a href=\"https:\/\/www.psw-group.de\/blog\/wannacry-ungenuegendes-it-sicherheitsniveau-fuehrt-fast-zum-super-gau\">WannaCry<\/a>, Studien zeigten, wie mangelhaft die <a href=\"https:\/\/www.psw-group.de\/blog\/datenschutz-im-gesundheitswesen-verschluesselung-mangelhaft\">Verschl\u00fcsselung im Gesundheitswesen<\/a> ausf\u00e4llt, zudem brachte ein <a href=\"https:\/\/www.psw-group.de\/blog\/it-sicherheit-im-krankenhaus-hack-bringt-krankenhaeuser-zum-stillstand\">Hack Krankenh\u00e4user zum Stillstand<\/a>. Die EU-Agentur f\u00fcr Cybersicherheit (Enisa) gibt zu bedenken: Allein in 2019 erlitten zwei Drittel der Organisationen im Gesundheitssektor Cybersicherheitsvorf\u00e4lle. Darunter sowohl Hackerangriffe mit Ransomware wie Emotet als auch Datenpannen. So ein Trojaner erwischte auch deutsche Einrichtungen wie <a href=\"https:\/\/www.heise.de\/newsticker\/meldung\/Computervirus-Klinikum-Fuerth-offline-und-mit-eingeschraenktem-Betrieb-4615427.html\" target=\"_blank\" rel=\"noopener\">das Klinikum F\u00fcrth<\/a>. Man sieht: die Cybersicherheit im Krankenhaus l\u00e4sst zu w\u00fcnschen \u00fcbrig.<\/p>\n<p>Die Enisa hat mit dem 24. Februar 2020 eine <a href=\"https:\/\/www.enisa.europa.eu\/publications\/good-practices-for-the-security-of-healthcare-services\" target=\"_blank\" rel=\"noopener\">Leitlinie f\u00fcr Krankenh\u00e4user<\/a> ver\u00f6ffentlicht. Die EU-Beh\u00f6rde ist \u00fcberzeugt, dass Cybersicherheit in Krankenh\u00e4usern ein immer wichtigeres Thema wird. IT-Sicherheit m\u00fcsse ganzheitlich in die unterschiedlichen Prozesse, Komponenten und Stufen integriert werden.<\/p>\n<h2>Leitfaden erg\u00e4nzt KRITIS f\u00fcr Krankenh\u00e4user<\/h2>\n<p>Der Leitfaden, den die Enisa ver\u00f6ffentlicht hat, erg\u00e4nzt die <a href=\"https:\/\/www.kritis.bund.de\/DE\/AufgabenundAusstattung\/KritischeInfrastrukturen\/Aufgabenbereiche\/Gesundheit\/Risilomanagement_Krankenhaus.html\" target=\"_blank\" rel=\"noopener\">bisherigen KRITIS-Leitf\u00e4den<\/a>. Beschaffungsbeamten in Krankenh\u00e4usern, aber auch CISOs\/ CIOs soll mit diesem Leitfaden ein umfassendes Instrumentarium zur Verf\u00fcgung stehen, au\u00dferdem werden Best Practices aufgezeigt. Der Leitfaden ist so konstruiert, dass Krankenh\u00e4user ihn an den individuellen Beschaffungsprozess anpassen k\u00f6nnen. Ziel ist es, Krankenh\u00e4usern alle Tools an die Hand zu geben, um sicherzustellen, dass gesetzte Ziele in der Cybersicherheit im Krankenhaus auch erreicht werden k\u00f6nnen. Neben g\u00e4ngigen Industriestandards zeigt der Leitfaden Verfahren und Empfehlungen, die der Cybersicherheit im Krankenhaus dienen.<\/p>\n<h3>Enisa-Leitfaden: drei Phasen f\u00fcr mehr Cybersicherheit im Krankenhaus<\/h3>\n<p>Der Enisa-Leitfaden teilt drei Phasen ein, die f\u00fcr die Cybersicherheit im Krankenhaus relevant sind. Vorgestellt werden zehn Arten der Beschaffung, darunter Verm\u00f6genswerte, Produkte, Dienstleistungen, etc. Diese drei Phasen sind:<\/p>\n<p><strong>Planphase<\/strong><br \/>\nIn der Planphase steht die Analyse der Bed\u00fcrfnisse eines Krankenhauses auf dem Plan, au\u00dferdem werden aus den internen Abteilungen Anforderungen gesammelt. Nehmen wir als Beispiel die Beschaffung eines neuen Cloud-Services: Der CTO sollte nicht nur die Bed\u00fcrfnisse ermitteln, sondern auch verstehen und r\u00fcberbringen k\u00f6nnen, welchen Nutzen dieser Service nach sich zieht. Diese Steps geh\u00f6ren in die Planphase:<\/p>\n<ul>\n<li>Risikobewertungen durchf\u00fchren<\/li>\n<li>Anforderungen schon im Voraus planen<\/li>\n<li>Bedrohungen identifizieren<\/li>\n<li>Netzwerke trennen<\/li>\n<li>Eignungskriterien f\u00fcr Lieferanten entwerfen<\/li>\n<li>dedizierte RfP (Request for proposal; Aufforderung zur Angebotsabgabe) f\u00fcr die Cloud erstellen<\/li>\n<\/ul>\n<p><strong>Beschaffungsphase<\/strong><br \/>\nIn der Beschaffungsphase werden die bestehenden Anforderungen \u00fcbersetzt in technische Spezifikationen. Zusammen mit dem Beschaffungsamt kann der Sourcing-Prozess beginnen, indem beispielsweise eine entsprechende Ausschreibung ver\u00f6ffentlicht wird. Nach Erhalt entsprechender Angebote werden diese durch einen Ausschuss (einschlie\u00dflich CTO\/ CISO oder Mitgliedern des IT-Teams) bewertet und die geeignetsten Produkte werden in die engere Wahl genommen. Mit Auftragnehmern werden Verhandlungen gef\u00fchrt, schlie\u00dflich wird der Auftrag an ein Unternehmen vergeben. Dann stehen an:<\/p>\n<ul>\n<li>Zertifizierungen empfehlen oder vorschreiben<\/li>\n<li>Datenschutz-Folgeabsch\u00e4tzungen (DPIA, Data Protection Impact Assessment) durchf\u00fchren und Legacy-Systeme ansprechen<\/li>\n<li>Schulungen in Cybersicherheit im Krankenhaus anbieten<\/li>\n<li>Reaktionspl\u00e4ne f\u00fcr Vorf\u00e4lle entwickeln<\/li>\n<li>Lieferanten in diese Pl\u00e4ne und ins gesamte Vorfallmanagement mit einbeziehen<\/li>\n<li>Wartungsarbeiten organisieren<\/li>\n<li>Fernzugriffe sicher herstellen<\/li>\n<li>Patching vorschreiben<\/li>\n<\/ul>\n<p><strong>Verwaltungsphase<\/strong><br \/>\nIn der sich anschlie\u00dfenden Verwaltungsphase werden die Vertr\u00e4ge dem Gesch\u00e4ftsinhaber des Krankenhauses zugewiesen \u2013 einschlie\u00dflich der Verwaltung und \u00dcberwachung des Vertrags. Nebst dem Abschluss der Ausschreibung verantwortet der beauftragte Beamte auch das Feedback der Benutzer \u00fcber die tats\u00e4chliche Leistung, die der Ausr\u00fcstung\/ dem System\/ der Dienstleistung entspringt. Zu erledigende Schritte:<\/p>\n<ul>\n<li>erh\u00f6hen des Bewusstseins \u00fcber Cybersicherheit im Krankenhaus<\/li>\n<li>durchf\u00fchren von Bestands- sowie Konfigurationsmanagement<\/li>\n<li>einrichten und verwalten spezieller Zugangskontrollmechanismen f\u00fcr die medizinische Ger\u00e4teeinrichtung<\/li>\n<li>planen von regelm\u00e4\u00dfigen Penetrationstests bzw. durchf\u00fchren von Penetrationstests nach \u00c4nderungen der (System-)Architektur<\/li>\n<\/ul>\n<h2>Es ist an der Zeit f\u00fcr ein Update der Cybersicherheit im Krankenhaus<\/h2>\n<p>Der eingangs verlinkte Leitfaden der Enisa bietet eine gute Basis f\u00fcr Cybersicherheit in Krankenh\u00e4usern und zeigt, wie wichtig der IT-Schutz in diesem \u00e4u\u00dferst sensiblen Bereich ist. Nachdem im Leitfaden die Beschaffungsprozesse kategorisiert werden, werden die mit jedem Schritt verbundenen Cybersicherheitsanforderungen identifiziert. Dank Vorschl\u00e4gen zum Nachweis dazu, wie Anforderungen von Anbietern erf\u00fcllt werden k\u00f6nnen, wird das ganze Vorgehen deutlich vereinfacht.<\/p>\n<p>Die Enisa wird nicht m\u00fcde, Verantwortliche daran zu erinnern, dass laut DSGVO f\u00fcr Gesundheitsdaten besondere Anforderungen gelten. Krankenh\u00e4user m\u00fcssen eine Datenschutz-Folgeabsch\u00e4tzung durchf\u00fchren, um Risiken zu kennen. Jede Sicherheitsverletzung muss binnen 72 Stunden an die zust\u00e4ndigen Datenschutzbeh\u00f6rden gemeldet werden. Die EU-Beh\u00f6rde dr\u00e4ngt Verantwortliche geradezu dazu, einen Notfallplan f\u00fcr Cyberangriffe nicht nur zu entwickeln, sondern auch zu testen. Dieser Notfallplan muss neu beschaffte Produkte und Systeme einschlie\u00dfen, muss also regelm\u00e4\u00dfigen Pr\u00fcfungen und Aktualisierungen unterzogen sein.<\/p>\n<p>Der Bereich \u00f6ffentlicher und privater Krankenh\u00e4user zeichnet sich auf der einen Seite durch einen hohen Grad an Standardisierungen aus. Andererseits jedoch auch durch ein hohes Ma\u00df an Risiken f\u00fcr die Datensicherheit. Beidem tr\u00e4gt der Leitfaden der Enisa Rechnung \u2013 &#8222;Procurement Guidelines for Cybersecurity in Hospitals&#8220; ist ein wertvolles Werkzeug, der strukturiert Optimierungen erlaubt und Datensicherheit sicherstellt. Angefangen beim Beschaffungsprozess kann es durch den Leitfaden als Erg\u00e4nzung zu den KRITIS-Leitf\u00e4den gelingen, die Sicherheit von Gesundheitsdaten \u00fcber den kompletten Lebenszyklus der eingesetzten IT-Systeme hinweg zu optimieren.<\/p>\n<div class=\"shariff\"><ul class=\"shariff-buttons theme-default orientation-horizontal buttonsize-medium\"><li class=\"shariff-button facebook shariff-nocustomcolor\" style=\"background-color:#4273c8\"><a href=\"https:\/\/www.facebook.com\/sharer\/sharer.php?u=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fenisa-notfallplan-fuer-mehr-cybersicherheit-im-krankenhaus%2F\" title=\"Bei Facebook teilen\" aria-label=\"Bei Facebook teilen\" role=\"button\" rel=\"nofollow\" class=\"shariff-link\" style=\"; background-color:#3b5998; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 18 32\"><path fill=\"#3b5998\" d=\"M17.1 0.2v4.7h-2.8q-1.5 0-2.1 0.6t-0.5 1.9v3.4h5.2l-0.7 5.3h-4.5v13.6h-5.5v-13.6h-4.5v-5.3h4.5v-3.9q0-3.3 1.9-5.2t5-1.8q2.6 0 4.1 0.2z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button twitter shariff-nocustomcolor\" style=\"background-color:#595959\"><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fenisa-notfallplan-fuer-mehr-cybersicherheit-im-krankenhaus%2F&text=Enisa%3A%20Notfallplan%20f%C3%BCr%20mehr%20Cybersicherheit%20im%20Krankenhaus\" title=\"Bei X teilen\" aria-label=\"Bei X teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#000; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 24 24\"><path fill=\"#000\" d=\"M14.258 10.152L23.176 0h-2.113l-7.747 8.813L7.133 0H0l9.352 13.328L0 23.973h2.113l8.176-9.309 6.531 9.309h7.133zm-2.895 3.293l-.949-1.328L2.875 1.56h3.246l6.086 8.523.945 1.328 7.91 11.078h-3.246zm0 0\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button xing shariff-nocustomcolor\" style=\"background-color:#29888a\"><a href=\"https:\/\/www.xing.com\/spi\/shares\/new?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fenisa-notfallplan-fuer-mehr-cybersicherheit-im-krankenhaus%2F\" title=\"Bei XING teilen\" aria-label=\"Bei XING teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#126567; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 25 32\"><path fill=\"#126567\" d=\"M10.7 11.9q-0.2 0.3-4.6 8.2-0.5 0.8-1.2 0.8h-4.3q-0.4 0-0.5-0.3t0-0.6l4.5-8q0 0 0 0l-2.9-5q-0.2-0.4 0-0.7 0.2-0.3 0.5-0.3h4.3q0.7 0 1.2 0.8zM25.1 0.4q0.2 0.3 0 0.7l-9.4 16.7 6 11q0.2 0.4 0 0.6-0.2 0.3-0.6 0.3h-4.3q-0.7 0-1.2-0.8l-6-11.1q0.3-0.6 9.5-16.8 0.4-0.8 1.2-0.8h4.3q0.4 0 0.5 0.3z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button linkedin shariff-nocustomcolor\" style=\"background-color:#1488bf\"><a href=\"https:\/\/www.linkedin.com\/sharing\/share-offsite\/?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fenisa-notfallplan-fuer-mehr-cybersicherheit-im-krankenhaus%2F\" title=\"Bei LinkedIn teilen\" aria-label=\"Bei LinkedIn teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#0077b5; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 27 32\"><path fill=\"#0077b5\" d=\"M6.2 11.2v17.7h-5.9v-17.7h5.9zM6.6 5.7q0 1.3-0.9 2.2t-2.4 0.9h0q-1.5 0-2.4-0.9t-0.9-2.2 0.9-2.2 2.4-0.9 2.4 0.9 0.9 2.2zM27.4 18.7v10.1h-5.9v-9.5q0-1.9-0.7-2.9t-2.3-1.1q-1.1 0-1.9 0.6t-1.2 1.5q-0.2 0.5-0.2 1.4v9.9h-5.9q0-7.1 0-11.6t0-5.3l0-0.9h5.9v2.6h0q0.4-0.6 0.7-1t1-0.9 1.6-0.8 2-0.3q3 0 4.9 2t1.9 6z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><\/ul><\/div>","protected":false},"excerpt":{"rendered":"<p>Gerade im vergangenen Jahr sorgten diverse Sicherheitsvorf\u00e4lle im Gesundheitssektor f\u00fcr mediale Aufmerksamkeit; wir berichteten im Oktober 2019 beispielsweise \u00fcber die sichere digitale Kommunikation im Gesundheitswesen. In 2017 w\u00fctete WannaCry, Studien zeigten, wie mangelhaft die Verschl\u00fcsselung im Gesundheitswesen ausf\u00e4llt, zudem brachte ein Hack Krankenh\u00e4user zum Stillstand. Die EU-Agentur f\u00fcr Cybersicherheit (Enisa) gibt zu bedenken: Allein in 2019 erlitten zwei Drittel der Organisationen im Gesundheitssektor Cybersicherheitsvorf\u00e4lle. Darunter sowohl Hackerangriffe mit Ransomware wie [&hellip;]<\/p>\n","protected":false},"author":64,"featured_media":7427,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[379],"tags":[],"class_list":["post-7421","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security"],"_links":{"self":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/7421","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/comments?post=7421"}],"version-history":[{"count":4,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/7421\/revisions"}],"predecessor-version":[{"id":7428,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/7421\/revisions\/7428"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media\/7427"}],"wp:attachment":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media?parent=7421"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/categories?post=7421"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/tags?post=7421"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}