Projekt Risikoanalyse Krankenhaus IT (RiKrIT)

Transkript

1 Projekt Risikoanalyse Krankenhaus IT (RiKrIT) Marc-Ingo Müller Bürgermeisterkongress /

2 Definition Kritischer Infrastrukturen Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. 2

3 Kritische Infrastrukturen in Deutschland Energie Ernährung Finanzwesen Gesheit IKT Kritische Medien Infrastrukturen im kommunaler Kultur Hand Staat Verwaltung Transport Verkehr Wasser 3

4 KRITIS Cyber-Sicherheit? Energie Ernährung Finanzwesen Gesheit Staat Verwaltung Informations- Kommunikationstechnik als Querschnittssektor Transport Verkehr Medien Kultur Wasser 4

5 Beispiele für Informationstechnik in KRITIS Transport Verkehr Energie Wasser Ernährung Finanzwesen Prozesssteuerungssysteme ERP- Software Bürokommunikation E-Goverment Staat Verwaltung Krankenhausinformationssysteme Gesheit 5

6 Trend zur Vernetzung Verschärfte Trends Verstärkende Faktoren Trend zur Standardisierung Interessante Angriffsziele 6

7 Sektor Gesheit Energie Ernährung Finanzwesen Branchen im Sektors Gesheit: Medizinische Versorgung (u.a. Gesheit IKT Medien Kultur Krankenhäuser) Labore Staat Verwaltung Transport Verkehr Wasser Arzneimittel Impfstoffe 7

8 Sektor Gesheit Energie Ernährung Finanzwesen Gesheit IKT Medien Kultur Staat Verwaltung Transport Verkehr Wasser Quelle: Unfallkrankenhaus Berlin (ukb) mit frelicher Genehmigung 8

9 Projekt RiKrIT Ausgangslage - Administrativ Beschluss des AK 5 KRITIS-Projekte im Bereich Gesheitswesen Idee der Senatsverwaltung Berlin um die Krankenhausalarmplanung in Deutschland zu verbessern 9

10 Projekt RiKrIT Ausgangslage - Fachlich IT-Sicherheit in Krankenhäusern? Prozesse in Krankenhäusern? Rolle IT im Krankenhaus? Ganzheitliches Notfall- Risikomanagement Steigende Anforderungen im Gesheitsbereich Projektidee 10

11 Partnermodell RiKrIT Behörden Projektpartner Krankenhaus Auftragnehmer 11

12 RiKrIT Methodik 1. Geschäfts- -prozesse erheben 2. Kritische IT-Komponenten lokalisieren 3. Maßnahmen definieren Quelle: Unfallkrankenhaus Berlin (ukb) mit frelicher Genehmigung 3. Risiken ermitteln bewerten 12

13 1. Geschäftsprozesse erheben Erfassung eines Gesamtprozesses Patientendurchlauf Ermittlung zugehöriger, exemplarischer Teilprozesse (z. B. Ersteinschätzung) Erfassung durch Interviews mit medizinischem Fachpersonal Zusätzliche Interviews mit IT- Verantwortlichen zur Ermittlung von IT- Komponenten Dokumentation der Ergebnisse in Form von eepk-diagrammen 13

14 2. Kritische IT-Komponenten lokalisieren Lage der IT innerhalb der Prozesse ermöglicht Aussage hinsichtlich der Bedeutung bestimmter IT-Komponenten Dokumentation der kritischen IT- Komponenten als Grlage für die folgende Risikobewertung 14

15 2. Kritische IT-Komponenten konkret ermitteln 15

16 3. Risiken ermitteln Verwbarkeiten Gefährdungen Risiko 16

17 4. Maßnahmen finden Verwbarkeiten Gefährdungen Risiko Maßnahmen 17

18 Vom konkreten Projekt zum generischen Leitfaden Generischer Leitfaden zur IT-Risikoanalyse in Krankenhäusern Quelle: Unfallkrankenhaus Berlin (ukb) mit frelicher Genehmigung 18

19 Kontakt Besamt für Sicherheit in der Informationstechnik (BSI) Marc Müller Godesberger Allee Bonn Tel: +49 (0) Fax: +49 (0)