Kritische Infrastruktur (KRITIS) im Krankenhaus – Eine Fallstudie mit dem Universitätsklinikum Ulm
Durch die fortschreitende Digitalisierung und den Einsatz neuer Technologien kommt der Informationstechnik (IT) eine stetig steigende Bedeutung zu. Wie effizient und effektiv IT eingesetzt wird, kann heutzutage maßgeblich über die Zukunftsfähigkeit eines Krankenhauses entscheiden.
Ausgangssituation und Zielsetzung
Laut IT-Sicherheitsgesetz sind Krankenhäuser in Deutschland, die zur „Kritischen Infrastruktur“ (KRITIS) zählen, dazu verpflichtet, sich sowohl gegen Cyberangriffe als auch gegen Systemausfälle besonders zu schützen. Das Universitätsklinikum Ulm hält sich streng an die Vorgaben der Datenschutz- Grundverordnung (DSGVO) und investiert aktiv in IT-Sicherheit. Das Universitätsklinikum Ulm gehört nicht nur zur KRITIS, sondern erreicht mit der Anzahl der vollstationären Behandlungen pro Jahr auch die Schwelle in dem der „Branchenspezifische Sicherheitsstandard für Krankenhäuser“ (BS3) zum Tragen kommt. Der Branchenstandard beschreibt umfängliche IT-Maßnahmen, um die medizinische Versorgung und somit die Gesundheit der Patienten sicherzustellen.
Rechtliche Rahmenbedingungen
Der branchenspezifische Sicherheitsstandard BS3 beinhaltet insgesamt 168 Maßnahmen. Damit sollen die Bedingungen für eine widerstandsfähige Informationstechnik- und Infrastruktur gewährleistet werden, damit die medizinische Versorgung und Gesundheit der Patienten sichergestellt werden kann. Der Anforderungskatalog richtet sich an Kliniken, die pro Jahr 30.000 vollstationäre Behandlungsfälle aufweisen können. Doch auch kleineren Kliniken wird empfohlen, diese Anforderungen umzusetzen.
Um die gesetzlichen Vorgaben zu erfüllen, wurde nach einer ganzheitlichen Lösung zur Beantragung und Verwaltung von Personenzertifikaten zur E-Mail-Verschlüsselung und -Signatur gesucht. Die direkte Anbindung an die Managed-PKI Lösung „Certificate Service Manager“ (CSM) der D-Trust, des Vertrauensdiensteanbieters der Bundesdruckerei-Gruppe, in Kombination mit dem Einsatz eines E-Mail-Gateways erfüllt diese besonderen Anforderungen.
Herausforderung und Umsetzung
In Form eines Workshops wurden die Mitarbeiterinnen und Mitarbeiter bereits im Vorfeld im Umgang mit dem Certificate Service Manager (CSM) geschult und Fragen schon vorab geklärt. Nach initialer Prüfung der Unternehmensdaten und Freischaltung des Kontos des Universitätsklinikums im CSM wurde die Gateway-Lösung nahtlos angebunden. Der CSM von D-Trust wird von allen gängigen Gateway-Lösungen unterstützt. Im Universitätsklinikum Ulm werden die Personenzertifikate zentral auf dem E-Mail-Gateway-Server verwaltet und über die Schnittstelle zum CSM können neue Zertifikate und Folgezertifikate beantragt sowie Zertifikate gesperrt werden. Alle ausgehenden E-Mails, die den Server passieren, werden automatisch mit einer fortgeschrittenen digitalen Signatur versehen und verschlüsselt. Eingehende E-Mails werden zudem automatisch entschlüsselt. Allen Mitarbeitern, vorwiegend in der Verwaltung, wird so eine einfache und transparente Lösung zur sicheren E-Mail-Kommunikation bereitgestellt.
Die Gesamtlösung
Das Universitätsklinikum Ulm hat sich bewusst für eine Sicherheitslösung „Made in Germany“ entschieden. Denn als Tochterunternehmen der Bundesdruckerei-Gruppe steht die D- Trust für den Schutz sensibler Daten und Infrastrukturen und liefert hierfür hochwertige Personenzertifikate. Durch den Einsatz der Personenzertifikate hat sich das Universitätsklinikum Ulm nicht nur aktiv um den Schutz seiner IT-Infrastruktur gekümmert, sondern gleichzeitig auch Prozesse sicherer, effektiver und effizienter gestaltet. Diese Maßnahmen können wiederum zu einem klaren Wettbewerbsvorteil führen.
Das Universitätsklinikum Ulm ist das jüngste der baden-württembergischen Universitätsklinika. In den 38 Jahren seiner Geschichte hat es sich einen festen Platz in der universitären Krankenversorgung, der Forschung und der Lehre erarbeitet. Heute ist es von der medizinischen und der wissenschaftlichen Landkarte der Region und des Landes nicht mehr wegzudenken. Mit 29 Kliniken und 15 Instituten bietet es den Patient*innen der Region und darüber hinaus eine stationäre und ambulante Krankenversorgung auf höchstem Niveau. Jährlich werden am Universitätsklinikum rund 50.000 Patientinnen und Patienten stationär behandelt. Dazu kommen knapp 300.000 ambulante Quartalsfälle.
Die D-Trust GmbH mit Sitz in Berlin ist ein Unternehmen der Bundesdruckerei-Gruppe. Technologisch ausgereifte Lösungen machen es zu einem Vorreiter für sichere digitale Identitäten. Als unabhängiger und qualifizierter Vertrauensdiensteanbieter ist D-Trust bereits seit 2016 im Rahmen der eIDAS-Verordnung bei der Bundesnetzagentur gelistet. Das Unternehmen stellt rechtssichere und zertifizierte Vertrauensdienste wie digitale Zertifikate und elektronische Signaturen zur Verfügung.