„Wenn die IT nicht läuft, dann steht das Labor still”

ALM e.V.: Die humanmedizinischen Labore gehören zur sogenannten ‚Kritischen Infrastruktur‘, kurz KRITIS. Warum ist das so, Herr Peters?

MICHAEL PETERS: Der Gesetzgeber hatte sich vor einigen Jahren überlegt, dass Unternehmen, die zur Aufrechterhaltung wichtiger gesellschaftlicher Funktionen notwendig sind und bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden, unter die sogenannte Kritisverordnung fallen. Dazu gehören beispielsweise die Energie- und Wasserversorgung und der Verkehr, aber auch die medizinische Versorgung und damit natürlich die humanmedizinischen Labore.

Sind in Deutschland alle humanmedizinischen Labore Kritische Infrastruktur?

Nicht alle Labore sind KRITIS, sondern nur diejenigen, die über 500.000 Menschen versorgen. Darüber hinaus gibt es einen Schwellenwert in Bezug auf die zu erbringende Leistung. Medizinische Labore, in denen mehr als 1,5 Millionen Laboruntersuchungen pro Jahr durchgeführt werden, gehören automatisch zur Kritischen Infrastruktur. Für diese Labore haben wir den B3S entwickelt.

Wie ist der gesetzliche Rahmen und wie kam es zur Entscheidung der Labore im ALM e.V., einen eigenen Standard zu entwickeln?

Der Gesetzgeber hat die Anforderungen an die Sicherheit in der Informationstechnik im sogenannten BSI-Gesetz (BSIG) festgelegt. Nach § 8a BSIG müssen die KRITIS-Betreiber organisatorische und technische Vorkehrungen treffen, um ihre sogenannte ‚kritische Dienstleitung‘ (kDL) abzusichern. Es geht darum, Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.

Um diese Systeme im Labor zu schützen, müssen Maßnahmen ergriffen werden, die den Laborprozess im Fokus haben. Sie müssen gegenüber dem BSI (Bundesamt für Sicherheit in der Informationstechnik) alle zwei Jahre auf Basis eines Standards nachgewiesen werden. Gängige Standards sind jedoch zu unspezifisch und die Prozesse im Labor zu speziell und anspruchsvoll. Für den einzelnen Betreiber einer Kritischen Infrastruktur ist es deshalb sehr aufwändig, die notwendigen Maßnahmen abzuleiten.

Aus diesem Grund haben die Mitgliedslabore im ALM e.V. bereits in den Jahren 2017/2018 beschlossen, einen eigenen Standard zu entwickeln und zu etablieren. Durch eine spezifische Auswahl an Maßnahmen und Umsetzungshinweisen soll der B3S die Labore bei der Optimierung ihrer IT-Sicherheit unterstützen, um den Anforderungen des Gesetzgebers in Sachen KRITIS gerecht zu werden.

Dabei sind die Labore doch schon seit langem Vorreiter der Digitalisierung in der Medizin.

Das ist sicher zutreffend. Generell kann man sagen, dass sich die fachärztlichen Labore schon sehr früh modern und digital organisiert haben und mit einer umfangreichen IT ausgestattet waren. Das war und ist auch notwendig, denn anders könnten die enormen Mengen an Patientenproben, welche die Labore an jedem Tag erhalten, gar nicht ausgewertet und oft innerhalb eines Tages an die Einsender übermittelt werden. Dazu braucht es eine gut funktionierende, stabile und vor allem sichere IT.

Gleichzeitig werden mit zunehmender Digitalisierung und medizinisch-technischem Fortschritt auch die Anforderungen an die IT immer höher. Fakt ist: Wenn die IT nicht läuft, dann steht das Labor still.

Warum ein spezifischer B3S Labor – hätte man nicht den Branchenspezifischen Sicherheitsstandard Krankenhaus übernehmen können?

Die Dienstleistungen im Krankenhaus sind ganz andere als die im Labor. Daher müssen auch die zu treffenden Maßnahmen zur Sicherheit in der IT andere sein. Der Branchenspezifische Sicherheitsstandard der deutschen Krankenhäuser umfasst lediglich rund 100 Maßnahmen und ist generisch. Wir im Bereich Labor haben sehr viel spezifischere Vorkehrungen zu treffen und unser Standard enthält zirka 250 Maßnahmen. Allein diese Zahlen machen deutlich, dass unsere Anforderungen deutlich komplexer und anspruchsvoller sind, als diejenigen im Krankenhaus.

Hand aufs Herz: Wie aufwändig ist die Entwicklung eines eigenen B3S Labor?

Ich stieß 2018 zur AG IT des ALM e.V. und erklärte mich dazu bereit, die gemeinsam erarbeiteten Positionen zu verschriftlichen. Zu diesem Zeitpunkt war mir allerdings noch nicht bewusst, auf was ich mich da eingelassen hatte. Es wurde ein zeitaufwändiger Prozess mit hohem Abstimmungsbedarf. Insbesondere beim ersten B3S Labor (Eine neue Version des B3S ist in Arbeit, Anm. d. Red.) ist der Aufwand kaum zu beziffern.

Es waren viele Einzelgespräche und lange mühsame Sitzungen in der Arbeitsgruppe. Danach kamen die Abstimmungsprozesse mit dem BSI, das den Standard begutachten und am Ende die Eignung qua Verordnung feststellen muss. Die Vertreter des BSI hatten oft noch eigene Vorstellungen, wobei sie die Prozesse im Labor nicht immer hinreichend berücksichtigten. Aber dafür gibt es ja uns. 

Zurzeit arbeiten Sie in der AG IT an einer aktualisierten Fassung des B3S. Warum und was sind die Vorteile der neuen Version?

Der Gesetzgeber hat das BSI-Gesetz 2021 mit dem sogenannten IT-Sicherheitsgesetz 2.0 deutlich verschärft. Auch die KRITIS-Verordnung wurde erweitert. Das machte deutliche Anpassungen am B3S Labor notwendig. Die Veränderungen der Gesetzeslage und der allgemeinen Gefährdungslage sind in die Überarbeitung eingeflossen. So wurde unter anderem der Laborprozess kompakter und modularer dargestellt, um den unterschiedlichen Gegebenheiten in den Laboren noch besser gerecht zu werden.

Auch wurden der Scope, der Geltungsbereich, geschärft und alle Anforderungen mit Umsetzungsoperatoren versehen. Neu ist auch die Anforderungstabelle im Anhang, die als roter Faden dabei hilft, die Maßnahmen nachzuhalten und den Umsetzungsgrad festzustellen. Zusammenfassend kann man sagen: Der neue B3S gibt den Betreibern der Labor-IT deutlich mehr Hinweise für die Prüfungen, die alle zwei Jahre stattfinden, und unterstützt sie dabei, die IT-Sicherheit einfacher zu realisieren.