ALM aktuell 10/2022

„Wenn die IT nicht läuft, dann steht das Labor still”

Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on facebook
Facebook
Share on whatsapp
WhatsApp
Share on email
Email

In der AG IT des ALM e.V. wurde in den vergangenen Monaten intensiv an einem neuen Branchenspezifischen Sicherheitsstandard, kurz B3S, gearbeitet. Dieser liegt aktuell beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Eignungsprüfung vor. Michael Peters ist Experte für dieses Thema und erklärt, was es mit dem B3S Labor auf sich hat und welches die Vorteile des neu erarbeiteten B3S für die Labore sind.

Das Interview führte Axel Oppold-Soda

B3S 2.0 – Der neue Laborstandard

ALM e.V.: Die humanmedizinischen Labore gehören zur sogenannten ‚Kritischen Infrastruktur‘, kurz KRITIS. Warum ist das so, Herr Peters?

MICHAEL PETERS: Der Gesetzgeber hatte sich vor einigen Jahren überlegt, dass Unternehmen, die zur Aufrechterhaltung wichtiger gesellschaftlicher Funktionen notwendig sind und bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden, unter die sogenannte Kritisverordnung fallen. Dazu gehören beispielsweise die Energie- und Wasserversorgung und der Verkehr, aber auch die medizinische Versorgung und damit natürlich die humanmedizinischen Labore.

Sind in Deutschland alle humanmedizinischen Labore Kritische Infrastruktur?

Nicht alle Labore sind KRITIS, sondern nur diejenigen, die über 500.000 Menschen versorgen. Darüber hinaus gibt es einen Schwellenwert in Bezug auf die zu erbringende Leistung. Medizinische Labore, in denen mehr als 1,5 Millionen Laboruntersuchungen pro Jahr durchgeführt werden, gehören automatisch zur Kritischen Infrastruktur. Für diese Labore haben wir den B3S entwickelt.

Wie ist der gesetzliche Rahmen und wie kam es zur Entscheidung der Labore im ALM e.V., einen eigenen Standard zu entwickeln?

Der Gesetzgeber hat die Anforderungen an die Sicherheit in der Informationstechnik im sogenannten BSI-Gesetz (BSIG) festgelegt. Nach § 8a BSIG müssen die KRITIS-Betreiber organisatorische und technische Vorkehrungen treffen, um ihre sogenannte ‚kritische Dienstleitung‘ (kDL) abzusichern. Es geht darum, Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.

Um diese Systeme im Labor zu schützen, müssen Maßnahmen ergriffen werden, die den Laborprozess im Fokus haben. Sie müssen gegenüber dem BSI (Bundesamt für Sicherheit in der Informationstechnik) alle zwei Jahre auf Basis eines Standards nachgewiesen werden. Gängige Standards sind jedoch zu unspezifisch und die Prozesse im Labor zu speziell und anspruchsvoll. Für den einzelnen Betreiber einer Kritischen Infrastruktur ist es deshalb sehr aufwändig, die notwendigen Maßnahmen abzuleiten.

Aus diesem Grund haben die Mitgliedslabore im ALM e.V. bereits in den Jahren 2017/2018 beschlossen, einen eigenen Standard zu entwickeln und zu etablieren. Durch eine spezifische Auswahl an Maßnahmen und Umsetzungshinweisen soll der B3S die Labore bei der Optimierung ihrer IT-Sicherheit unterstützen, um den Anforderungen des Gesetzgebers in Sachen KRITIS gerecht zu werden.

Dabei sind die Labore doch schon seit langem Vorreiter der Digitalisierung in der Medizin.

Das ist sicher zutreffend. Generell kann man sagen, dass sich die fachärztlichen Labore schon sehr früh modern und digital organisiert haben und mit einer umfangreichen IT ausgestattet waren. Das war und ist auch notwendig, denn anders könnten die enormen Mengen an Patientenproben, welche die Labore an jedem Tag erhalten, gar nicht ausgewertet und oft innerhalb eines Tages an die Einsender übermittelt werden. Dazu braucht es eine gut funktionierende, stabile und vor allem sichere IT.

Gleichzeitig werden mit zunehmender Digitalisierung und medizinisch-technischem Fortschritt auch die Anforderungen an die IT immer höher. Fakt ist: Wenn die IT nicht läuft, dann steht das Labor still.

Warum ein spezifischer B3S Labor – hätte man nicht den Branchenspezifischen Sicherheitsstandard Krankenhaus übernehmen können?

Die Dienstleistungen im Krankenhaus sind ganz andere als die im Labor. Daher müssen auch die zu treffenden Maßnahmen zur Sicherheit in der IT andere sein. Der Branchenspezifische Sicherheitsstandard der deutschen Krankenhäuser umfasst lediglich rund 100 Maßnahmen und ist generisch. Wir im Bereich Labor haben sehr viel spezifischere Vorkehrungen zu treffen und unser Standard enthält zirka 250 Maßnahmen. Allein diese Zahlen machen deutlich, dass unsere Anforderungen deutlich komplexer und anspruchsvoller sind, als diejenigen im Krankenhaus.

Hand aufs Herz: Wie aufwändig ist die Entwicklung eines eigenen B3S Labor?

Ich stieß 2018 zur AG IT des ALM e.V. und erklärte mich dazu bereit, die gemeinsam erarbeiteten Positionen zu verschriftlichen. Zu diesem Zeitpunkt war mir allerdings noch nicht bewusst, auf was ich mich da eingelassen hatte. Es wurde ein zeitaufwändiger Prozess mit hohem Abstimmungsbedarf. Insbesondere beim ersten B3S Labor (Eine neue Version des B3S ist in Arbeit, Anm. d. Red.) ist der Aufwand kaum zu beziffern.

Es waren viele Einzelgespräche und lange mühsame Sitzungen in der Arbeitsgruppe. Danach kamen die Abstimmungsprozesse mit dem BSI, das den Standard begutachten und am Ende die Eignung qua Verordnung feststellen muss. Die Vertreter des BSI hatten oft noch eigene Vorstellungen, wobei sie die Prozesse im Labor nicht immer hinreichend berücksichtigten. Aber dafür gibt es ja uns. 

Zurzeit arbeiten Sie in der AG IT an einer aktualisierten Fassung des B3S. Warum und was sind die Vorteile der neuen Version?

Der Gesetzgeber hat das BSI-Gesetz 2021 mit dem sogenannten IT-Sicherheitsgesetz 2.0 deutlich verschärft. Auch die KRITIS-Verordnung wurde erweitert. Das machte deutliche Anpassungen am B3S Labor notwendig. Die Veränderungen der Gesetzeslage und der allgemeinen Gefährdungslage sind in die Überarbeitung eingeflossen. So wurde unter anderem der Laborprozess kompakter und modularer dargestellt, um den unterschiedlichen Gegebenheiten in den Laboren noch besser gerecht zu werden.

Auch wurden der Scope, der Geltungsbereich, geschärft und alle Anforderungen mit Umsetzungsoperatoren versehen. Neu ist auch die Anforderungstabelle im Anhang, die als roter Faden dabei hilft, die Maßnahmen nachzuhalten und den Umsetzungsgrad festzustellen. Zusammenfassend kann man sagen: Der neue B3S gibt den Betreibern der Labor-IT deutlich mehr Hinweise für die Prüfungen, die alle zwei Jahre stattfinden, und unterstützt sie dabei, die IT-Sicherheit einfacher zu realisieren.

„IT-Sicherheit ist kein Zustand, sondern immer ein Prozess. Die Erfahrungen, die wir in zwei Prüfungsrunden mit dem ersten B3S gesammelt haben, konnten wir für eine verbesserte Version nutzen.”

Welche Erfahrungen konnten Sie aus der Entwicklung des B3S Labor ziehen?

Man lernt bei jedem Audit (Prüfung der IT-Sicherheit der Kritischen Infrastruktur vor Ort im Labor, Anm. d. Red.) dazu und weiß, was man noch besser machen kann. IT-Sicherheit ist kein Zustand, sondern immer ein Prozess. Die Erfahrungen, die wir in zwei Prüfungsrunden mit dem ersten B3S gesammelt haben, konnten wir für eine verbesserte Version nutzen. Diese liegt nun dem BSI vor und wir sind aktuell wieder in Gesprächen. Hoffen wir, dass sich der Zeitaufwand diesmal etwas übersichtlicher gestaltet.

Worin bestehen die besonderen Herausforderungen bei der IT-Sicherheit im Labor?

Schon vor der KRITIS-Gesetzgebung hatten die Labore viele Maßnahmen zum Schutz ihrer IT-Systeme und deren Stabilität ergriffen. Um den Anforderungen des BSIG, der KRITIS und auch des BSI gerecht zu werden und die Verfügbarkeit der kritischen Dienstleistungen zu erhöhen, mussten beispielsweise Redundanzen in den IT-Infrastrukturen aufgebaut werden. Zusätzlich waren weitere Systeme, unter anderem zur Angriffserkennung, notwendig. Das führte insgesamt zu einer Aufwertung der IT im Labor, erforderte jedoch auch erhebliche Investitionen sowie zusätzliche Expertisen, z. B. in Form von IT-Sicherheitsbeauftragten. Leider ist der Fachkräftemangel auch in diesem Bereich gravierend und es ist aktuell schwierig, qualifiziertes und geeignetes Personal zu finden.

Insgesamt sind die Kosten der Digitalisierung und IT-Dienstleistung im Labor, nicht zuletzt durch die vielen gesetzlichen Neuregelungen, in den letzten Jahren erheblich gestiegen und ein Ende kann ich leider nicht erkennen.

Was wünschen Sie sich für die anstehenden Audits?

Ich wünsche mir, dass sich genau an die gesetzlichen Regelungen gehalten wird. Das BSI sollte bei der Bewertung der Maßnahmen im neuen B3S Labor ein gesundes Augenmaß walten lassen und ein Verständnis für unsere Laborprozesse entwickeln. Das wäre sehr hilfreich für die Zukunft, aber wir arbeiten ja daran.

Die Auditoren könnten bei der Prüfung der Labore noch stärker die Sicherheit der kritischen Dienstleistung, der informationstechnischen Systeme, Infrastrukturen und Prozesse in den Fokus nehmen. Letztlich geht es ja um die Sicherheit der Versorgung von Patientinnen und Patienten mit fachärztlich verantworteter Labordiagnostik.

Hinweis: Der B3S ist allen Mitgliedslaboren des ALM e.V. zugänglich. Bei Bedarf wenden Sie sich bitte an die Geschäftsstelle des ALM e.V.

Michael Peters
Michael Peters
ist Leiter der Stabsstelle Cybersecurity der Sonic Healthcare Germany und Mitglied der AG IT des ALM e.V.
Michael Peters
Michael Peters
ist Leiter der Stabsstelle Cybersecurity der Sonic Healthcare Germany und Mitglied der AG IT des ALM e.V.
In dieser Ausgabe

ALM-News-Service

Bleiben Sie informiert und erhalten Sie relevante Nachrichten und Updates zur Labordiagnostik per E-Mail. Abonnieren ist ganz einfach: Nutzen Sie unser Formular und bestätigen anschließend Ihre E-Mail-Adresse. Diesen Service können Sie jederzeit mit einem Klick wieder abbestellen.