B3S umsetzen.
Patientensicherheit erhöhen.

B3S Standard im Krankenhaus - Kurzübersicht und wesentliche Handlungsfelder zur Erhöhung der IT Sicherheit

B3S Umsetzung ab 01.01.2022 verpflichtend für alle Krankenhäuser und Kliniken

Die Geschäftsführer und IT-Leiter von Krankenhäusern stehen durch die Forderungen des Gesetzgebers unter enormen Druck: Der §75c SGB V verpflichtet die Krankenhäuser nach dem „Stand der Technik“ angemessene Maßnahmen im Bereich der IT Sicherheit zu ergreifen. Erstmalig greift mit dem Patientendaten-Schutzgesetz die scharfen Anforderungen an die IT Sicherheit des BSI außerhalb der kritischen Infrastruktur (KRITIS), wovon bisher nur ein kleiner Teil der Kliniken betroffen war. Die Umsetzung des §75c und somit des B3S Standards ist ab dem 01.01.2022 verpflichtend. Doch was ist angemessen und in welchem Umfang bestehen bereits Grundlagen in den Krankenhäusern? Wie ist das Zusammenspiel im Bereich IT Sicherheit zwischen B3S und einem ISMS nach ISO 27001? Ab wann gelten die Anforderungen des B3S als erfüllt an?

Wir gehen in diesem Artikel auf die häufigsten Fragen und die wesentlichen Handlungsfelder des B3S Standards für Krankenhäuser ein.

Kurzübersicht zum B3S - was Sie wissen müssen

Was ist der B3S Standard?

B3S Standards sind branchenspezifische Sicherheitsstandards, welchen neben Krankenhäusern z.B. auch in anderen KRITIS Bereichen eingesetzt werden. Es existieren z.B. B3S Standards in den Bereichen Pharma, Lebensmitteltechnik aber auch in der Grundversorgung wie z.B. im Bereich Wasser und Ernährungsindustrie. Im Gesundheitswesen gibt es darüber hinaus B3S Standards für gesetzliche Kranken-und Pflegeversicherer (sog. B3S-GKV/PKV). Eine vollständige Liste der Standards lässt sich auf der Website des BSI abrufen (LINK).

Im Bereich der Krankenhäuser garantiert die Umsetzung des B3S Standards die Compliance nach den Anforderungen des BSI-Gesetzes, insbesondere der Sicherheit in der Informationstechnik kritischer Infrastrukturen. Daher sollte bei der Umsetzung von IT-Sicherheitsmaßnahmen zuerst auf den B3S Standard zurückgegriffen werden bevor weitere Maßnahmen z.B. im Rahmen eines ISMS nach ISO 27001 implementiert werden, um die Compliance mit dem BSI Gesetz zu gewährleisten.

Was unterscheidet B3S von der ISO27001?

Die ISO27001 ist eine internationale Norm für Informationssicherheit (Information Security, auch Cybersicherheit). Die Einführung eines Informationssicherheitssystems (ISMS) kann auf Basis der Norm ISO27001 erfolgen, und die Implementierung und Wirksamkeit durch externe Auditoren bescheinigt werden. Gerade in Industriebereichen ohne regulatorische Vorgaben bietet sich die Einführung von Cybersecurity-Lösungen nach ISO27001 an. B3S Standards hingegen haben nationalen Charakter, da diese auf nationaler (deutscher) Ebene Gültigkeit haben, und wie im Falle der B3S Krankenhaus-Standard  gesetzlich verankert wurde. Obwohl beide das gleich Ziel verfolgen, die Erhöhung der Informationssicherheitdurch ein angemessenes und wirksames ISMS System, unterscheidet sich die Implementierung wesentlich: Als internationale Norm ist die ISO 27001 stark generealistisch gehalten, wohingegen der B3S Standard im speziellen auf die Abläufe, Kernprozesse und Geschäftsmodelle von Krankenhäusern eingeht. Darüber hinaus gibt es eine wesentliche Unterscheidung in den Schutzzielen: Währen die ISO27001 die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit verfolgt, verlangt der B3S Standard darüber hinaus die Authentizität, Patientensicherheit und Behandlungseffektivität. Der B3S Standard zielt somit nicht nur auf die IT-Sicherheit der Firma als ganzes, sondern nochmals im speziellen auf die Belangen der Patienten und deren physischen und psychischen Gesundheit deren Risiken gezielt minimiert werden müssen. Darüber hinaus wird im B3S Standard als Ergänzung an div. Stellen auf die ISO27001 verweisen, z.B. in der Ausprägung der Prozesse des Risikomanagements.

Rechtliche Grundlage - Branchenspezifischer Sicherheitsstandard B3S

(1) Ab dem 1. Januar 2022 sind Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder der Sicherheit der verarbeiteten Patienteninformationen steht. Die informationstechnischen Systeme sind spätestens alle zwei Jahre an den aktuellen Stand der Technik anzupassen. (2) Die Krankenhäuser können die Verpflichtungen nach Absatz 1 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden, dessen Eignung vom Bundesamt für Sicherheit in der Informationstechnik nach § 8a Absatz 2 des BSI-Gesetzes festgestellt wurde. (3) Die Verpflichtung nach Absatz 1 gilt für alle Krankenhäuser, soweit sie nicht ohnehin als Betreiber Kritischer Infrastrukturen gemäß § 8a des BSI-Gesetzes angemessene technische Vorkehrungen zu treffen haben.

§75c SGB V

Die wesentlichen Elemente des B3S für Krankenhäuser sowie Best Practise

1. Informations-Risikomanagement zur Ermittlung und Minimierung von Risiken

Risikomanagement in der Informationssicherheit ist nicht nur im Bereich der Krankenhäuser ein zentrales Thema, sondern wird auch im Rahmen der BSI Grundschutzes thematisiert. 

Der Fokus im Rahmen des B3S Standards richtet sich auf die Aufrechterhaltung und Risikominimierung der stationären medizinischen Versorgung. Hierzu ist es wichtig die Risiken der Informationssicherheit, sowohl organisatorische als auch Cybersecurity-Risiken zu identifizieren, strukturiert zu evaluieren (Risikoeinwertung), sowie die Behandlung der Risiken festzulegen und die Maßnahmen in der Umsetzung zu monitoren. 

Wir schlagen die Umsetzung der gesamten Risikomanagements im TopEase® Risk Management vor, welches ein Teil der Digital Health Regulatory Suite ist.

Wir können so softwaregestützt die Risiken anlegen, die Governance in Form von Verantwortlichen zuweisen, diese auch elektronisch benachrichtigen. Die Einwertung der Risiken erfolgt anhand eines nach B3S Standard ausgerichteten Kriterienkataloges, in welchen auch eigene, zusätzliche Kriterien, integriert werden können.

Über Dashboards kann die Krankenhausleitung das Risikoregister für das gesamte Krankenhaus einsehen, oder sich in Echtzeit die Risiken einzelner Bereiche anzeigen lassen. Auch der Bearbeitungsstatus von Maßnahmen lässt sich in Echtzeit in verschiedenen Dashboards darstellen. Im Rahmen der Digital Health Regulatory Suite können Risiken direkt mit den zu Grunde liegenden Prozessen vernetzt werden, sowie die Risiken auf bestimmten Assets wie z.B. IT-Services, Softwarelösungen oder Hardwarekomponenten abgebildet werden. Dies ermöglicht eine umfassende 360-Grad Sicht auf das Krankenhaus.

2. IT Asset Management zur Darstellung der Systemlandschaft und Basis der Notfallplanung

Im Bereich des Asset-Managements fordert der B3S Standard die Identifikation und Klassifizierung von allen Systemen nach Kritikalität des Systemausfalls. Wir empfehlen hier auf Basis der Enterprise-Architecture die Klassifizierung der Systeme, Aufnahme der Wiederherstellungs- und Ausfallzeiten und Aufbau von Asset-Towern zur ganzheitlichen Darstellung der Auswirkung von Systemausfällen. So können bereits im Vorfeld szenariobasiert Cyberangriffe simuliert werden. Der B3S Standard beschreibt die Dokumentation, Analyse und Notfallplanung der IT Systemlandschaft nur grob, wobei hier auf Ausweichsysteme und Wiederanlaufpläne hingewiesen wird. 

Systeme, auf welche nur kurzfristig verzichtet werden kann, es kommt bereits nach kurzer Zeit zu einer wesentlichen Einschränkung der medizinischen Leistungserbringung.

Mittelfristige Verzichtbarkeit, ohne dass relevante Einschränkungen zu befürchten sind.

Längere Störungszeiten der Systeme versuchen keine relevanten Einschränkungen in der medizinischen Leistungserbringung.

Über den TopEase® Assessment Manager können gezielt Assessments auf Assetstrukturen durchgeführt werden, um Schwachstellen zu ermitteln oder die Dokumentationsqualität zu erhöhen. Auf Asset-Ebene lässt sich somit auch die SoA (Statement-of-Applicability) oder eigene Fragenkataloge (z.B. zum Datenschutz) abbilden. Bereits vorhandene Asset-Verwaltungs-Systeme wie z.B. eine CMDB kann über Schnittstellen in unser System integriert werden.

3. Strukturierte Prozesserfassung und Prozessmanagement

Ein wesentlicher Teil eines wirksamen ISMS ist die Dokumentation und Kenntnis der Prozesse und Wertschöpfungsketten welche im Unternehmen verlaufen. Im Falle von Krankenhäusern werden im B3S Standard explizit die „kritischen“ Prozesse erwähnt, welche die medizinische Versorgung betreffen. Die Kenntnis der Prozesse, bzw. das Prozessmanagement, bildet die Basis für die Notfallplanung. Der B3S Standard fordert hier eine Übersicht über die notfallrelevanten Prozesse inkl. einer Funktionszuordnung, was sich mit Prozess-tools wie dem TopEase® Process Manager einfach abbilden lässt. Hauptprozesse können definiert werden, und Verantwortlichkeiten bis auf Aktivitätenebene in Swim-Lane Diagrammen dargestellt werden. Wir empfehlen hier eine enge Integration mit dem bestehenden Qualitätsmanagement welches teilweise (z.B. im Falle eines Apothekenbetriebes oder bei eigenen Medizinprodukten) bereits vorhanden ist um Doppeltätigkeiten zu vermeiden. 

Indirekt fordert der B3S Krankenhaus Standard auch die enge Verknüpfung des Prozessmanagement-tools mit dem Asset Management, da z.B. die „Verfügbarkeit“ von dem Prozess zu Grunde liegenden Assets (z.B. in der Diagnostik) mit bewertet werden soll (siehe 5.2.1.2).

4. Notfallplanung (Business Continuity Management)

Die Notfallplanung ist ein essentieller Teil im Bereich der Informationssicherheit (ISMS) – diese beschreibt ein standardisiertes Verfahren welches im Notbetrieb zu durchlaufen ist, um die Wiederherstellung zu gewährleisten. Insbesondere in der Patientenversorgung, könnte jeder Angriff auf die medizinischen Systeme gravierende Folgen für das Leben und die Gesundheit der Patienten bedeuten. Daher ist nicht nur der Umgang mit Informationssicherheitsvorfällen im B3S Standard beschrieben, sondern es wird auch die Implementierung von Verfahren zur Wiederherstellung von Systemen, Daten und Informationen gefordert. 

Im Vergleich zu normalen Industriebetrieben gibt es in der kritischen Infrastruktur einen wesentlichen Unterschied im Bereich des Notfallmanagements und der Geschäftsfortführungsplanung: Währen des Notfalls müssen die kritischen Dienstleistungen aufrecht erhalten werden („Minimum Level of Service“), was nicht nur den medizinischen Bereich im Rahmen des B3S Standards betrifft, sondern auch bei KRITIS Banken z.B. im Rahmen der MaRisk und BAIT gefordert wird.

Diese Anforderungen bringen eine erhöhte Komplexität in die Notfallplanung und in die Notfallorganisation. Während die Aufrechterhaltung als „Muss“-Kriterium definiert ist, ist das hierfür notwendige betriebliche Kontinuitätsmanagement nur als „Kann“-Kriterium im B3S Standard beschrieben (ANF-MN 31). Aus unserer Erfahrung erfordert jedoch insbesondere die Aufrechterhaltung des Minimum Level of Service eine dedizierte Notfallorganisation und eigene Notfallprozesse. Durch die Softwareseitige Verknüpfung des Prozesse, des Kontinuitätsmanagements (BCM) und Asset-Managements werden die Zielstellungen der ANF-MN 32-42 aktiv unterstützt und die Aufwände für die geforderten Tätigkeiten wie die Erstellung von Notfallhandbüchern durch Automatisierung   und Verknüpfung von Informationen wesentlich gesenkt.

Umsetzung des B3S mit Hilfe der TopEase® Digital Health Regulatory Suite

Mit der TopEase® Digital Health Regulatory Suite (Link) haben wir die wesentlichen Software-tools für Krankenhäuser, Medizinprodukte-Hersteller und Digitale Gesundheitsanwendungen zusammengestellt: Ein umfangreiches Prozessmanagement, Risikomanagement sowie eine Assessment-Management Lösung welche optional mit Asset-Management und Business-Continuity Management (BCM) Lösungen erweitert werden können. Selbstverständlich ist jede Lösung auch einzeln betreibbar ohne die vollständige Digital Health Regulatory Suite zu verwenden. 

Profitieren Sie von unserer Erfahrung im Bereich der kritischen Infrastruktur sowie der Medizinproduktentwicklung bei der B3S Einführung in Ihrem Krankenhaus!

Patrick Bieg, CEO und Experte Medizinproduktregulierung

Schematische Darstellung von Fragen im Erstgespräch vor der Gap-Analyse. Ziel: Erste Einordnung des Scope des ISMS, des Zeitplanes der geplanten Umsetzung, sowie der vorhandenen Ressourcen (personell, technisch – z.B. Asset-Management, Prozessmanagement).

In 3 Schritten strukturiert zum Ziel der B3S Umsetzung: 1. Gap-Assessment, 2. Systemaufbau nach Prio-Themen, 3. Systemausbau
1. Identifizierung der Haupt-Handlungsbedarfe über Gap-Analyse

Im Rahmen einer Gap-Analyse prüfen wir die wesentlichen Elemente des B3S Standards auf technischer und organisatorischer Basis ab. Hierbei werden wir teilweise durch weitere Spezialisten aus dem Krankenhaus-Umfeld unterstützt und unsere Kunden einen umfassenden Überblick über ihren aktuellen Umsetzungsstand zu bieten. Technisch führen die die Gap-Analyse mit unserem TopEase® Gap-Finder durch, was einen dedizierten Report ermöglicht. 

2. Systemaufbau nach Prio-Themen wie Risikomanagement, Prozessen, Assets

Auf Basis der Gap-Analyse werden die ersten Abweichungen und Risiken identifiziert und strukturiert eingewertet. Aufgrund von Budget- oder Personalrestriktionen auf Kundenseite können nicht alle Themen parallel gestartet werden, daher empfehlen wir eine Risikobasierte Einführung des ISMS nach B3S Standard. Hierbei werden die als am kritischsten für die medizinische Versorgung identifizierten Themen als erstes abgearbeitet, sowie im Anschluss die Muss-Kriterien strukturiert nach der Priorisierung der zu Grunde liegenden medizinischen Prozesse. Wir fokussieren uns auf die größtmögliche Automatisierung und Standardisierung um nicht nur ein vollständiges, sondern auch ein einfach wartungsfähiges ISMS System für unsere Kunden zu erstellen. Hierbei setzen wir auf Standard-Lösungen welche bereits in der kritischen Infrastruktur von uns verwendet werden wie dem Prozessmanagement-tool TopEase® Process Manager oder dem Risikomanagement TopEase® Risk Manager. Unterstützt werden wir auch hier von unseren Partnerfirmen, sowie von ggf. bereits vorhandenen Cybersecurity-Experten des Kunden.

3. Ausbau des ISMS, Abtiefung von Themen wie Business Continuity Management / Notfallplanung

Im Dritten Schritt erfolgt die Vertiefung hin zu den Kann-Anforderungen, sowie die Ausarbeitung der Teile des B3S Standards welche Vorbereitungs- oder Integrationstätigkeitenerfordern. Ein Beispiel ist die Einführung der Notfallplanung bzw. des Kontinuitätsmanagements, welches eine sauber beschriebene Kernprozesslandschaft sowie die Kenntnis der zu Grunde liegenden Asset und deren Funktionsweise und Abhängigkeiten erfordert. Durch unsere jahrelange Erfahrung im Aufbau von Enterprise-Architekturen unterstützen wir hier nicht nur durch die Bereitstellung der Software-Lösungen wie dem TopEase® Asset Manager und dem TopEase® Business Continuity Management, sondern auch in der Aufnahme und Optimierung der Enterprise Architecture Landscape.

Kosten der Implementierung des B3S Krankenhaus Standards, Finanzierungsmöglichkeiten über KHZG

Im Rahmen des Fördertatbestandes 10 (§19 Abs. 1 Krankenhauszukunftsgesetz – KHZG) kann der Aufbau eines IT-Sicherheitsmanagements gefördert werden. Hierbei sind folgende Kriterien wesentlich: Dir Prävention, Detektive, Mitigation oder Awareness von Informationssicherheitsvorfällen muss mit dem zu fördernden Projekt adressiert werden. Die Maßnahmen können einzeln sowie in Kombinatorik angewendet werden. Darüber hinaus müssen 15% der Fördersumme der anderen Fördertatbestände des KHZG in die Informationssicherheitinvestiert werden. 

Kontaktieren Sie uns für ein individuelles Erstgespräch und Angebot zur B3S Einführung!

Unser Hintergrund: Kritische Infrastruktur und Medizinproduktentwicklung

Gerade im Bereich der Krankenhäuser geht es um Vertrauen – Vertrauen der Patienten in die Fähigkeiten des medizinischen Personals, Vertrauen in die Sicherheit der Daten der Patienten. Diverse Kunden aus der kritischen Infrastruktur vertrauen seit Jahren der Softwarelösung TopEase®, sowie unserer Fachkompetenz in den Bereichen Risiko- und Prozessmanagement sowie Business Continuity Management. 

Was macht uns so einzigartig? Unser Gründer Patrick Bieg hat bereits ein Medizinprodukt selbst zur Marktreife mitentwickelt und erfolgreich auf dem deutschen Markt unter der EU MDD Regulation platziert. Wir verstehen somit die Herausforderung des Risiko-, Qualitäts- und IT-Sicherheitsmanagements im medizinischen Bereich. Diese Erfahrungen, sowie unser breites Netzwerk zu Produktherstellern, Aufsichtsbehörden, Partnerfirmen bringen wir umfassend während unserer Softwareeinführungen ein.

Kompetenz im Bereich des Krankenhauszukunftsfonds

Wir verfügen über eine durch das Bundesamt für soziale Sicherung erteilte Berechtigung nach Krankenhausstrukturfonds-Verordnung (KHSFV) als Grundlage für die Umsetzung von Projekten mit Krankenhausträgern und Hochschulkliniken.

Kontakt - jetzt Termin zum Quick-Assessment vereinbaren