Business Continuity Management (BCM) und IT-Service Continuity für Krankenhäuser

In erster Linie erwartet die Bevölkerung eine stetige Bereitschaft der Krankenhäuser nach einer Katastrophe oder in einer Krise für die Betroffenen im Dienst zu sein. Die Krankenhäuser selbst sehen sich dabei immer öfter Angriffen auf die eigene IT-Infrastruktur ausgesetzt. Allein das Wissen über die eigenen geschäftskritischen Prozesse hilft dabei zwar nicht vollständig aus, ist jedoch der erste Schritt in einer Kette zur Gewährleistung der Widerstandsfähigkeit der eigenen IT. IT-Service-Continuity stellt dabei einen wesentlichen Bestandteil der Business-Continuity dar.

Viele Krankenhäuser in Deutschland gehören gemäß Vorgaben der verschärften Kritische-Infrastruktur- Verordnung (KritisV) bereits heute zur Unternehmensklasse der „kritischen Infrastruktur“ und müssen sich daher im ausreichenden Maße um die Fähigkeit, den Geschäftsbetrieb auch im Falle eines Cyberangriffs oder eines IT-Sicherheitsvorfalls fortführen zu können, kümmern. Hierbei ist das Erreichen des Schutzziels „Verfügbarkeit“ aus den drei wesentlichen Schutzzielen der Informationssicherheit1 besonders wichtig. Solche, die es noch nicht sind, werden durch das Patientendaten-Schutz-Gesetz (PDSG) in Verbindung mit dem darin neu verfassten § 75c (2) SGB V, in dem nun für alle Krankenhäuser auf den § 8a, Abs. 2 des BSI-Gesetzes (BSIG) verwiesen wird, dazu durch den Branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung in Krankenhäusern aufgefordert, ein Informationssicherheitsmanagementsystem (ISMS) nach Vorgabe der internationalen Norm DIN EN ISO / IEC 27001 aufzubauen. Die Abbildung 1 stellt diese nicht triviale gesetzliche Kausalkette illustrativ dar. Ein wichtiger Bestandteil dieses sind die Anforderungen dessen normativen Anhangs A.17 „Informationssicherheitsaspekte des Business-Continuity-Managements“ – im Volksmund auch „IT-Service-Continuity-Management“ genannt. Hierbei müssen sich die Krankenhäuser Gedanken darum machen, wie die IT-Infrastruktur einen reibungslosen Weiterbetrieb der wesentlichen Geschäftsprozesse auch im Falle eines Cyberangriffs sicherstellt. Die dazu relevanten Anforderungen sind in den ISO-Normen der 27000er-Familie unter den Nummern ISO 27031 und ISO 27799 zu finden.

Der bekannteste Standard zum Thema Business Continuity Management (BCM) ist aber der ISO 22301, nach dem man auch eine Zertifizierung des eigenen Business Continuity Management-Systems (BCMS) anstreben kann. Sein Aufbau und seine grundlegenden Inhalte ähneln denen des ISO 27001 sehr.

Einen anderen Weg, die Notfallvorsorge aufzubauen und aufrechtzuerhalten, schlägt der Standard BSI 100 4 „Notfall-Management“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor. Dieser ist insbesondere für Körperschaften des öffentlichen Rechts, Ämter und Behörden des Bundes und der Bundesländer verbindlich umzusetzen. In der praktischen Anwendung bei Unternehmen der Privatwirtschaft gilt dieser oft als schwerwiegend und weniger risikoorientiert als die analogen ISO-Normen.

Die Organisation des Business Continuity Managements

Um die Fortführung des Geschäftsbetriebs auch nach einem Notfall gewährleisten zu können, muss ein neben und zusammen mit dem Geschäftsbetrieb einhergehendes Programm in der Organisation etabliert sein, welches aus den folgenden drei wichtigsten Komponenten besteht.

A. Governance:

Bewusstsein aller Mitarbeiter und Unterstützung durch die Führungsebene, verbindliche, kommunizierte und umgesetzte Regelungen und konkrete Anweisungen zur Beschaffenheit der Aufbau- und Ablauforganisationen des Business Continuity Managements;

B. Aufbauorganisation:

Definierte Rollen und Verantwortlichkeiten, etablierte, kurze Berichtswege, adäquat ausgebildetes Personal mit entsprechenden Pflichten und Befugnissen sowie ausreichend bereitgestellte Ressourcen (z. B. Budget und Zeit);

C. Ablauforganisation:

Dokumentierte Betriebsabläufe, standardisierte Betriebsprozesse und Notfallhandbücher für diverse potenziell auftretende Arten von Vorfällen sowie ein Business Continuity-Plan (BCP) mit einer Beschreibung der Aktivitäten, Aktionen und Aufgaben zur Vermeidung von potenziellen Vorfällen sowie zur Bewältigung und Wiederherstellung des Geschäftsbetriebs nach einem eingetretenen schweren Vorfall.

Betrieb eines Business Continuity Management-Systems (BCMS)

Der Betrieb eines Business Continuity Management-Systems (BCMS) muss dabei in Form eines zyklischen Prozesses, des sogenannten Business Continuity Lifecycle, der aus sechs Phasen besteht, betrachtet werden.

I. In der ersten Phase, der Phase der Identifikation, lernt man das eigene Unternehmen auch dann, wenn der Business Continuity Manager bereits seit einiger Zeit in seiner Rolle ist, neu kennen. Dazu identifiziert man die wesentlichen Geschäftsprozesse und stellt eine Kausalkette aus diesen auf. So werden Prozessabhängigkeiten und mögliche Beeinträchtigungen auf der obersten Ebene identifiziert. Dabei ist zu beachten, dass die Geschäftsprozesslandschaft eines Krankenhauses sich permanent den Gegebenheiten anpasst und sich dadurch immer wieder Veränderungen der Kausalkette ergeben können.

Auch Erkenntnisse aus bisherigen Vorfällen und deren Abarbeitung sowie aus ggf. zuvor erfolgten Notfallübungen müssen bei den Aktivitäten dieser Phase berücksichtigt werden.

II. Die Folgeaktivitäten in der zweiten, der Analyse-Phase umfassen die Durchführung der sogenannten Business Impact-Analyse (BIA). Hierbei werden die zuvor identifizierten wesentlichen Geschäftsprozesse auf die erste Probe bezüglich deren Geschäftskritikalität gestellt. Es gilt dabei herauszufinden, ob eine Beeinträchtigung oder gar ein Ausfall bestimmter Geschäftsprozesse zu signifikanten Schäden beim Geschäftsbetrieb führen kann. Hierbei können unterschiedliche Arten von Auswirkungen betrachtet werden, z. B. finanzielle Konsequenzen, Beeinträchtigungen des operativen Betriebs, Auswirkungen auf die Kunden oder auf das eigene Personal. Die BIA liefert die maximal tolerierbaren Ausfallzeiten für Geschäftsprozesse und unterstützende IT-Systeme. Aus den Ergebnissen der BIA kann eine Prioritätsliste der Geschäftsprozesse abgeleitet werden, die unter Berücksichtigung der Abhängigkeiten aufzeigt, welche Prozesse nach einem Notfall zuerst wiederhergestellt werden müssen und welche warten können.

III. Konsequent widmet man sich in der dritten Phase der Risiko-Bewertung dem Thema der detaillierten Betrachtung von Risiken, welche die zuvor als geschäftskritisch identifizierten Geschäfts- und Support-Prozesse stören könnten. Dazu werden zunächst die wesentlichen Ressourcen, welche zur einwandfreien Fortführung solcher betrachteten Prozesse erforderlich sind, identifiziert und nach den für die jeweiligen Ressourcen relevanten Gefahren Ausschau gehalten. Je nach aktueller geografischer Lage, Gefährdungssituation und Legislation müssen deren Eintrittswahrscheinlichkeiten und Auswirkungen bestimmt werden. Die daraus resultierenden Bruttorisiken werden durch die aktuell im Einsatz stehenden, umgesetzten Schutzmaßnahmen auf die sogenannten Netto-Risiken reduziert, welche wiederum bezüglich deren Tragbarkeit zusammen mit dem für den Geschäftsprozess Verantwortlichen bewertet werden müssen.

IV. In der vierten Phase, der Design-Phase, muss eine Business-Continuity-Strategie basierend auf den identifizierten Risiken entwickelt und ggf. eine bereits bestehende Strategie angepasst werden. Hierzu werden für die als nicht tragbar bewerteten Risiken aus der obigen Risikoanalyse Entscheidungen getroffen, mit welchen Mitteln man diesen begegnen könnte. Ein Weg, das Risiko zu reduzieren, wäre, sich präventive Schutzmaßnahmen zu überlegen, welche die Eintrittswahrscheinlichkeit der Gefahr minimiert. Ein anderer Weg umfasst die Identifikation von detektiven Maßnahmen (Erkennungsmaßnahmen), um den Eintritt von Komplikationen frühzeitig zu erkennen und korrektive Maßnahmen rasch genug zu ergreifen, um die Folgeschäden aus einem Vorfall möglichst niedrig zu halten.

V. In der fünften Phase, basierend auf den strategischen Entscheidungen zur Mitigation der Risiken, entsteht ein sogenannter Business Continuity-Plan (BCP). Beim wiederholten Durchlauf des BCM-Prozesses wird ein bestehender BCP angepasst. Er beinhaltet eine detaillierte Beschreibung der Aufbau- und Ablauf-Organisationen samt einer Definition der Rollen und Verantwortlichkeiten innerhalb und außerhalb der Organisation. Die Verantwortlichkeiten und Befugnisse der jeweiligen Rollen sowie Entscheidungs- und Eskalationswege können dabei von solchen für den Regelbetrieb definierten sehr wohl abweichen. Der BCP muss unter anderem aber auch ein Konzept zur Planung und Durchführung von Notfallübungen beinhalten.

VI. Schlussendlich werden die Notfallübungen gemäß der oben beschriebenen Planung ausgeführt, woraus sich neue Erkenntnisse über die Organisation, deren Geschäftsprozesse, die Funktionsweise der Aufbauorganisation und auch über den Ablauf der Bewältigungsmaßnahmen ergeben. Diese Erkenntnisse fließen dabei wieder als Input in die erste Phase der Identifikation mit ein.

Es ist besonders wichtig anzumerken, dass das Business Continuity Management kein einmalig auszuführendes Projekt, sondern einen zyklischen Prozess darstellt, welcher durch die Organisation permanent und aktiv gelebt werden sollte. Nur so kann eine adäquate Effektivität der Notfallvorsorge erreicht werden.

Was fordert die ISO-Norm zum Business Continuity Management?

Die internationale Norm setzt den Fokus insbesondere auf die Durchführung einer Business Impact-Analyse (BIA) (ISO22301: 8.2.2) und einer Risikobeurteilung (ISO22301: 8.2.3), gefolgt von der Identifizierung der Strategien und Lösungen zur Aufrechterhaltung des Betriebs und der Geschäftsfähigkeit (ISO22301: 8.3). Die Pflichtaufgabe der IT-Leitung (in der Regel: CIO) eines jeden Krankenhauses ist es daher, gemeinsam mit dem Verantwortlichen für Informationssicherheit (in der Regel: CISO), der oft auch die Rolle des Business-Continuity-Mangers (BCM) übernimmt, eine Reaktionsstruktur aufzubauen (ISO22301: 8.4.2), welche signifikante Notfälle, die den operativen Betrieb der wesentlichen Geschäfts- und Support-Prozesse beeinträchtigen könnten, frühzeitig erkennt und adäquat darauf reagiert. So muss eine entsprechende Backup-Infrastruktur vorgehalten werden, die einen zeitnahen Wiederanlauf im Notbetrieb ermöglicht, und es müssen Maßnahmen zur Wiederherstellung definiert sein, um möglichst bald zum Normalbetrieb zurückkehren zu können.

Mazars unterstützt Sie dabei, die gesetzlichen und branchenspezifischen Anforderungen an das Business Continuity Management gemäß ISO 22301 zu erfüllen

Mazars verfügt sowohl im technisch-prozessualen als auch im juristischen Bereich über das Know-how, Sie bei der Planung, der Definition, der Umsetzung und der Einführung eines Business Continuity Management-Systems (BCMS) nach Vorgaben und Anforderungen der entsprechenden internationalen Norm DIN EN ISO/IEC 22301 zu unterstützen. Unsere auf diesem Fachgebiet praxiserfahrenen Berater und Prüfer helfen Ihnen gern dabei, die Widerstandsfähigkeit der kritischen Geschäfts- und Support-Prozesse in Ihrem Hause regelkonform, praxistauglich und zeitgemäß auszugestalten. Unsere auf dem Gebiet des Medizinrechts erfahrenen Juristen arbeiten bereits heute bei mehreren Mandanten daran, die erforderlichen sicherheitsrelevanten Aktivitäten nach dem Krankenhauszukunftsgesetz (KHZG) förderfähig zu gestalten.

____

¹Die wesentlichen Schutzziele der Informationssicherheit umfassen Vertraulichkeit (Confidentiality), Unversehrtheit (Integrity) und Verfügbarkeit (Availability), auch bekannt als die CIA-Triade.

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an

Autoren

Dr. Roman Krepki
Tel: +49 711 60 17 87 39

Marco Ehlert
Tel: +49 30 208 88 1771

Dies ist ein Beitrag aus unserem Health-Care-Newsletter 4-2021. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.