So hilfreich ist die ISO 27001 in der Gesundheitsbranche

Was können Sie als Unternehmen im Gesundheitssektor tun, um die Daten Ihrer Kunden und Ihre eigenen optimal zu schützen?

Hier kommt die ISO 27001 ins Spiel, der international anerkannte Standard in der Informationssicherheit. Setzen Sie diesen Standard in Ihrer Organisation um und implementieren Sie ein robustes Informationssicherheits-Managementsystem (ISMS), so erfüllen Sie Best Practices der Branche ebenso spielend wie gesetzliche und andere Rahmenbedingungen.

Im folgenden Beitrag erfahren Sie, was die ISO 27001 eigentlich ist und was sie so relevant für Unternehmen der Gesundheitsbranche macht. Außerdem zeigen wir, welche Anforderungen die ISO 27001 stellt, wie Sie den Standard in Ihrem Unternehmen umsetzen und vieles mehr.

Was besagt der ISO 27001-Standard?

• Kurz gesagt handelt es sich bei der ISO 27001 um einen internationalen Standard für die Informationssicherheit. Er hilft Unternehmen beim Umgang mit sensiblen Daten und Informationen.
• Der Standard bietet eine Vielzahl an Vorlagen für Sicherheitsrichtlinien, Prozesse und Kontrollmechanismen, mit deren Hilfe Sie ein effektives Informationssicherheits-Managementsystem (ISMS) aufbauen. Bestandteil der Anforderungen nach ISO 27001 ist es auch, Schwachstellen in den unternehmenseigenen Systemen zu erkennen, zu analysieren und umfassend auszuwerten (Risikobewertung).
• Unternehmen können sich zudem nach ISO 27001 zertifizieren lassen. Die Zertifizierung erfolgt über eine unabhängige Stelle, die bescheinigt, dass Sie Ihr ISMS dem Standard entsprechend implementiert haben. Eine ISO 27001-Zertifizierung gilt international als Nachweis für Stakeholder darüber, dass der Schutz von Daten und Informationen in Ihrem Unternehmen einen hohen Stellenwert besitzt.

Mit diesen ersten Informationen im Hinterkopf wollen wir uns nun damit beschäftigen, warum die ISO 27001 gerade für Unternehmen im Gesundheitssektor so relevant ist.

Warum ist die ISO 27001 wichtig für Unternehmen der Gesundheitsbranche? 

Unternehmen der Gesundheitsbranche arbeiten täglich mit sensiblen Patientendaten. Ein Datenleck hätte fatale Folgen – nicht nur für das Unternehmen, sondern auch für die Personen, deren Daten an die Öffentlichkeit gelangen.

Auch für Kriminelle sind solche Daten natürlich hochinteressant. Entsprechend vielfältig sind die Angriffe, denen sich Unternehmen der Gesundheitsbranche ausgesetzt sehen. Besonders typisch sind:

1. Ransomware-Angriffe

Angriffe mit Ransomware nehmen zu – auch und gerade auf Unternehmen im Gesundheitswesen. Kriminelle entwenden beispielsweise Patientendaten aus Krankenhäusern und stellen massive Lösegeldforderungen für deren Freigabe. Dabei zahlen Unternehmen im Gesundheitswesen am häufigsten die geforderten Lösegelder und sind so besonders lukratives Ziel für Hacker.

1. Angriffe auf Medizintechnik
   Immer mehr Anbieter von Medizintechnik bieten smarte Medizintechnik an, bei der die einzelnen Geräte und ihre Software online Daten austauschen. Zwar hilft das sogenannte Internet of Things damit beispielsweise Krankenhäusern bei der Optimierung von Prozessen und Abläufen – nicht oder falsch konfigurierte Geräte stellen jedoch ein hohes Sicherheitsrisiko dar. Angreifer nutzen Schwachstellen in den Geräten und erhalten so Zugriff auf sensibelste Daten.
2. BEC-Angriffe
   Bei sogenannten Business-E-Mail Compromise (BEC)-Angriffen wird das Unternehmen durch Phishing oder andere Social Engineering-Methoden per E-Mail angegriffen. Hierbei geben sich die Angreifer als vertrauenswürdige Person aus und bringen den Nutzer so dazu, ihnen Zugriff auf sensible Daten zu geben. Diese Methode ist sehr attraktiv für die Kriminellen, lassen sich doch 95 % aller Datenlecks auf menschliches Fehlverhalten zurückführen.

Die Gesundheitsbranche steht heute mehr denn je im Visier von Cyberkriminellen. Umso wichtiger ist es, mithilfe der ISO 27001 ein ISMS aufzubauen und die Daten Ihrer Patienten und Kunden systematisch zu schützen.

Wie kann die ISO 27001 helfen, Unternehmen im Gesundheitswesen zu schützen?

Der ISO 27001-Standard hilft Ihnen auf verschiedene Weisen, die den Schutz der Unternehmen verbessern:

1. Vorlagen für Richtlinien und Prozesse
   Ein ISMS auf Basis der ISO 27001 unterstützt Unternehmen dabei, Richtlinien und Prozesse so zu gestalten, dass sie allen Beteiligten den richtigen Umgang mit Daten und Informationen verdeutlichen. Da Krankenhäuser und Kliniken häufig viel mit externen Dienstleistern zusammenarbeiten, helfen klare Richtlinien, Datenlecks zu verhindern.
2. Identifikation von Schwachstellen in der Informationssicherheit

Durch die Einführung eines nach ISO 27001 zertifizierten ISMS sind Sie in der Lage, Schwachstellen in Ihrer Informationssicherheit zuverlässig zu identifizieren und bestehende Sicherheitsmaßnahmen auf Herz und Nieren zu prüfen (z.B. mit Penetrationstests).

3. Minimierung von Risiken durch externe Dienstleister

Der ISO 27001-Standard minimiert nicht nur die Gefahren, die von Dritten für Ihr Unternehmen ausgehen. Auch Risiken durch externe Dienstleister lassen sich mit dem Standard verringern. So gibt er beispielsweise vor, welche Passagen zur Informationssicherheit Sie in Verträge aufnehmen sollten.

4. Schulung von Mitarbeitern zum Umgang mit IT-Bedrohungen

Durch die Umsetzung des ISO 27001-Standards stellen Sie sicher, dass Ihre Mitarbeiter jederzeit wissen, wie sie mit Phishing, Social Engineering und möglichen anderen Angriffen umgehen.

5. Identifikation und Vorbereitung auf verschiedenste Sicherheitsrisiken

Mit der ISO 27001 identifizieren Sie die verschiedenen Assets für die Informationssicherheit und die mit ihnen verbundenen Risiken. Das Wissen um diese Risiken hilft Ihnen, Strategien zum effektiven Umgang zu formulieren.

6. Sichere Einhaltung rechtlicher Rahmenbedingungen

Nicht umsonst ist der Gesundheitssektor eine der am stärksten regulierten Branchen der Welt. Die verarbeiteten Daten sind schlicht zu sensibel und wertvoll. Strenge Gesetze wie die EU-DSGVO oder der US-HIPAA stellen höchste Anforderungen an den Umgang mit Gesundheitsdaten. Die Implementierung des ISO 27001-Standards in Ihrem Unternehmen hilft Ihnen, diese Anforderungen zu erfüllen.

Welche Vorteile bringt es, den ISO 27001-Standard zu implementieren?

Sicherheit für Ihre Kunden und Patienten: Meine Daten sind sicher.

Eine ISO 27001-Zertifizierung schafft Vertrauen. Immer mehr Sicherheitsvorfälle sorgen dafür, dass Kunden und Patienten genauer hinsehen, wenn es um den Schutz Ihrer Daten und Informationen geht. Mit der Zertifizierung nach ISO 27001 zeigen Sie, dass Ihnen der Schutz von Gesundheitsdaten ein wichtiges Anliegen ist, für das Sie unter anderem in die Einführung eines ISMS investiert haben.

Vorteile gegenüber Mitbewerbern

Die Zertifizierung nach ISO 27001 hilft Ihnen, auch innerhalb der Branche als vertrauenswürdiger Partner angesehen zu werden. Immer mehr Unternehmen minimieren Ihr eigenes Risiko, indem sie nur noch mit solchen Unternehmen zusammenarbeiten, die ISO 27001-zertifiziert sind. Eine ISO 27001-Zertifizierung kann so den entscheidenden Wettbewerbsvorteil für Sie bieten.

Unabhängige Bewertung Ihrer Informationssicherheit

Die ISO 27001 fordert für die Zertifizierung umfassende Audits durch unabhängige Dritte. Diese Begutachtung von außen hilft Ihnen, Schwachstellen und Probleme aufzudecken, die Ihnen selbst nicht aufgefallen wären und stellt so sicher, dass Ihr System optimal aufgestellt ist.

Nachdem wir geklärt haben, welche Vorteile die ISO 27001 Ihrem Unternehmen bietet, werfen wir nun einen genaueren Blick auf die Anforderungen, die Sie für eine ISO 27001-Zertifizierung erfüllen müssen.

Was fordert die ISO 27001 von Unternehmen im Gesundheitssektor?

Das genaue Verständnis der Anforderungen der ISO 27001 ist die Grundlage aller weiteren Implementierungsschritte in Ihrem Unternehmen. Kapitel 4-10 der Norm listen die Anforderungen an ein ISO 27001-konformes ISMS:

Kapitel 4: Kontext der Organisation

Die Norm fordert von Ihnen, das Ziel Ihres ISMS zu formulieren. An dieser Stelle definieren Sie deshalb zunächst, welche Bereiche Ihres Unternehmens durch das ISMS erfasst und geschützt werden sollen und definieren die Informationswerte (Assets) im Unternehmen, für die es gelten soll.

Kapitel 5: Führung

Die Unterstützung durch die Führungsebene ist zentral für ein erfolgreiches ISMS. Das oberste Management legt die Informationssicherheitspolitik fest und stellt durch Zuweisung von Mitarbeitern Ressourcen für die Umsetzung der ISO 27001 bereit.

Kapitel 6: Planung

Ein robuster Plan für die Umsetzung der Informationssicherheitspolitik ist zentral für ein funktionierendes ISMS. Hierzu gehört eine gründliche Risikobewertung (Risk Assessment), um die spezifischen Risiken für Sie als Unternehmen des Gesundheitswesens zu identifizieren. Außerdem entwickeln Sie hier Strategien, wie mit den einzelnen Risiken umzugehen ist.

Kapitel 7: Unterstützung

Alle Anstrengungen in Bezug auf Einhaltung der ISO 27001 können nur dann erfolgreich sein, wenn Ihrem Umsetzungsteam ausreichende Ressourcen zur Unterstützung zur Verfügung stehen. Auch unterstützende Mitarbeiter sollten gut über die Vorgaben und Ziele der ISO 27001 und Ihre eigenen Security-Ziele Bescheid wissen.

Kapitel 8: Betrieb

Jetzt gilt es, die bisherigen Pläne in einem ISMS umzusetzen. Ihre Arbeit endet nicht mit der erfolgreichen Implementierung. Im laufenden Betrieb ist die Aufgabe, mit regelmäßigen Risikobewertungen bestehende Schwachstellen zu identifizieren und zukünftige Schwachstellen zu verhindern.

Kapitel 9: Bewertung der Leistung

Stellen Sie sicher, dass alle Prozesse und Kontrollmechanismen so funktionieren wie geplant. Hierfür sind Sie aufgefordert, Ihr ISMS dauerhaft zu überwachen, zu messen, zu analysieren und zu bewerten. Ein internes Audit kann hierbei sehr hilfreich sein.

Kapitel 10: Verbesserung

Ein ISMS nach ISO 27001 ist ein kontinuierlicher Prozess. Um jederzeit auf aktuelle Entwicklungen reagieren zu können, sind regelmäßige Aktualisierungen und Verbesserungen Ihres ISMS Pflicht.

Bei den oben genannten Punkten handelt es sich um die grundlegenden Anforderungen der ISO 27001. Erfüllen Sie diese, haben Sie bereits den ersten Schritt hin zur Implementierung der ISO 27001 in Ihrem Unternehmen getan.

Weitere Informationen zu den Anforderungen der ISO 27001 finden Sie hier. 

Wie können Sie die ISO 27001 in Ihrem Unternehmen umsetzen?

Die Umsetzung des ISO 27001-Standards in Ihrem Unternehmen umfasst im Allgemeinen mehrere Phasen. Die Wichtigsten haben wir hier für Sie zusammengefasst.

Stellen Sie Ihr Team zusammen

Ein dediziertes Team für die Umsetzung der ISO 27001 ist ein entscheidender Erfolgsfaktor. Die Leitung sollte durch einen Projektmanager übernommen werden, welcher wiederum die übrigen Teammitglieder auswählt. So ist sichergestellt, dass das Team genau die richtigen Fähigkeiten und Fertigkeiten für die verschiedenen Aufgaben des Implementierungsprozesses mitbringt.

Entwickeln Sie Ihr SoA (Statement of Applicability)

Ist das Team gefunden, muss der Anwendungsbereich (Scope) der ISO 27001 in Ihrem Unternehmen festgelegt werden. Soll das gesamte Unternehmen oder nur ein Teilsegment betrachtet und durch ein ISMS überwacht werden?

Haben Sie den Anwendungsbereich festgelegt, ist es Zeit, die Ziele für die Umsetzung eines ISO 27001-kompatiblen ISMS zu bestimmen und zu definieren, wie diese erreicht werden sollen. Das hilft Ihnen wiederum zu entscheiden, welche einzelnen Richtlinien Sie für bestimmte Herausforderungen benötigen, z.B. für das Zugangsmanagement oder die Mobilgerätenutzung.

Führen Sie Ihre Risikobewertung durch

Die Risikobewertung- und analyse (Risk assesment) kann eine der komplexesten Aufgaben auf Ihrem Weg zur ISO 27001 sein. Hier müssen Sie festlegen, welche Schwere eines Risikos Sie als Unternehmen im Gesundheitssektor akzeptieren können und auf welchem Risikoniveau Sie sich aktuell bewegen.

Analysieren Sie Ihre Risiken danach, wie wahrscheinlich es ist, dass das Risiko eintritt und wie schwerwiegend die Folgen wären. Haben Sie alle Risiken definiert und entschieden, wo Ihre Risikotoleranz liegt, erstellen Sie Ihren Risikobehandlungsplan (Risk treatment plan, RTP).

Für eine umfassende Risikobewertung sollten Sie folgende Schritte in Betracht ziehen:

• Schritt 1: Entwickeln Sie ein Risikobewertungs-Framework und stellen Sie Richtlinien für Ihre Risikobewertung auf. Hierzu müssen Sie Entscheidungen zu verschiedenen Elementen des Risk Assessments treffen, darunter die Bewertungsform, Kriterien für die Bewertung und die Risikotoleranz.
• Schritt 2: Dokumentieren Sie die Informationswerte (Information assets) in Ihrem Unternehmen, um eine asset-basierte Risikobewertung vornehmen zu können. Im Gegensatz zu Schritt 1, der den gesamten Scope des ISMS in den Blick nimmt, schauen Sie sich hier konkrete Informationswerte und deren Risiken genauer an.
• Schritt 3: Identifizieren Sie Risiken, indem Sie mögliche Bedrohungen für Ihre Informationswerte und deren Eintrittswahrscheinlichkeit identifizieren. Dies bildet die Basis für die Ermittlung Ihres Risikoniveaus.
• Schritt 4: Bewerten Sie die Risikofolgen, indem Sie alle Risiken nach Eintrittswahrscheinlichkeit und Schwere der Folgen sortieren. Das hilft Ihnen festzulegen, welche Risiken sofortiger Gegenmaßnahmen bedürfen und welchen Sie sich später zuwenden können.
• Schritt 5: Aktualisieren Sie Ihre SoA auf Basis der Ergebnisse Ihrer Risikobewertung. Fügen Sie Ihre individuellen Risiken, die Kontrollmechanismen und die Begründung, warum Sie sich gerade für diese entschieden haben, zu Ihrer SoA hinzu.
• Schritt 6: Formulieren Sie einen Risikobehandlungsplan (Risk treatment plan RTP) und weisen Sie jedem Risiko einen Verantwortlichen („Owner“) zu. Risiko-Owner sind verantwortlich dafür, einzelne Risikobehandlungsstrategien freizugeben und Restrisiken zu akzeptieren.
• Schritt 7: Prüfen und bewerten Sie regelmäßig die Umsetzung Ihrer Informationssicherheits-Vorgaben. Sind die Maßnahmen aktuell und effektiv? Hier bietet sich ein jährlicher Turnus für die Prüfung an.

Legen Sie Prozesse und Kontrollmechanismen fest

Nachdem Sie sich mit den Risiken für die Informationssicherheit vertraut gemacht haben, ist es an der Zeit, Prozesse und Kontrollmechanismen festzulegen, um diese Risiken systematisch zu bearbeiten. Dazu zählen Schulungen und Trainings für Mitarbeiter, um Risiken durch menschliches Fehlverhalten zu minimieren, Gegenmaßnahmen zu spezifischen Risikoszenarien oder die Umsetzung rechtlicher Verpflichtungen.

Messen, überwachen und prüfen Sie

Die Umsetzung des ISO 27001-Standards endet nicht mit der vollständigen Implementierung eines ISMS.

Entwickeln Sie einen Prozess, mit dem Sie Ihr ISMS jährlich prüfen und so sicherstellen, dass Ihr ISMS die Informationssicherheits-Ziele erreicht.

Beantragen Sie die Zertifizierung nach ISO 27001

Im letzten Schritt können Sie Ihre Prozesse durch eine unabhängige Zertifizierungsstelle auditieren lassen, um ein offizielles ISO 27001-Zertifikat zu erhalten.

Schauen wir uns an, wie dieser Prozess konkret abläuft:

Wie funktioniert die Zertifizierung nach ISO 27001?

Sind Sie mit Ihrem ISMS zufrieden, können Sie sich durch eine unabhängige, akkreditierte Zertifizierungsstelle prüfen lassen. Innerhalb Deutschlands bieten verschiedene Zertifizierer solche Audits an. Übergeordnete Stelle für die Akkreditierung von Zertifizierungsstellen in Deutschland ist die DAKKS.

Eine Datenbank mit den derzeit akkreditierten Zertifizierungsstellen in Deutschland finden Sie hier.

Im Rahmen der ISO 27001-Zertifizierung führt ein externer Auditor ein zweistufiges Audit durch:

• Stufe 1 – Der Auditor begutachtet Ihre Dokumentation und prüft, ob Ihr ISMS den Vorgaben der ISO 27001 entspricht.
• Stufe 2 – Ist der Auditor zufrieden mit Ihrer Dokumentation, wird Ihre Umsetzung des ISMS eingehender begutachtet. Hierzu kann der Auditor Begehungen durchführen, Ihre ISO 27001-Verantwortlichen sowie weitere Mitarbeiter befragen und prüfen, wie Ihr ISMS auf reale Szenarios reagieren würde.

Haben Sie beide Stufen (oder „Stages“) erfolgreich bestanden, erhalten Sie Ihr ISO 27001-Zertifikat.

Wichtig: Auch wenn Sie bereits Stufe 1 nicht bestehen, wird Ihnen das gesamte Audit in Rechnung gestellt. Sorgen Sie also möglichst dafür, dass Ihr ISMS bereits vor dem ersten Termin mit dem Auditor genauestens geprüft und ggf. angepasst wird.

Wie hilft DataGuard Unternehmen der Gesundheitsbranche bei der Zertifizierung?

Zugegeben: Die Erfüllung des ISO 27001-Standards kann – gerade in einer stark regulierten Branche wie dem Gesundheitssektor – eine große Herausforderung darstellen. Egal, ob Sie noch ganz am Anfang stehen oder Ihr bestehendes ISMS weiter verbessern wollen: DataGuard ist Ihr Partner in Sachen ISO 27001.

1. Starkes Expertenteam

100 % unserer Kunden erreichen die Zertifizierung bereits beim ersten Versuch. Unser hauseigenes Expertenteam begleitet Sie zuverlässig auf dem Weg zur Zertifizierung und steht Ihnen bei allen Fragen mit viel Know-how zur Seite.

2. Individuelle Lösungen für Ihre Anforderungen als Unternehmen im Gesundheitswesen

Kein Unternehmen ist wie das andere. Unsere Experten arbeiten mit Ihnen Hand in Hand, um Ihre Anforderungen als Gesundheitsunternehmen genau zu verstehen. Das Ziel sind perfekt auf Sie zugeschnittene Lösungen, die Sie optimal unterstützen.

3. Unsere InfoSec-Plattform wird Ihr lebendes ISMS

Unsere Informationssicherheitsplattform bietet komfortabel Zugriff auf alle Dokumente und Assets Ihres ISMS. So wird Compliance zum Kinderspiel. Ohne komplizierte Installations- und Einrichtungsprozesse haben Sie und Ihre Mitarbeiter Zugriff auf Assets, Dokumente, Risiken und Audits. Verpflichtend bereitzustellende Richtlinien können automatisch aus der Plattform heraus generiert werden.

Sie streben eine Zertifizierung nach ISO 27001 an? 

FAQs

Was ist das Wichtigste für die ISO 27001?

Für die Implementierung der ISO 27001 sind sechs Schritte wichtig:

• Stellen Sie Ihr Team zusammen
• Entwickeln Sie Ihr SoA (Statement of Applicability)
• Führen Sie Ihre Risikobewertung durch
• Legen Sie Prozesse und Kontrollmechanismen fest
• Messen, überwachen und prüfen Sie
• Beantragen Sie die Zertifizierung nach ISO 27001

Mehr dazu. wie Sie die ISO 27001 in Ihrem Unternehmen umsetzen, erfahren Sie in unserer Roadmap für die Implementierung der ISO 27001.

Entspricht die ISO 27001 den Vorgaben des HIPAA?

Auch wenn die Einhaltung der ISO 27001 sicher hilft, einige Mechanismen zu implementieren, die auch der HIPAA fordert, deckt sie jedoch nicht alle HIPAA-Vorgaben ab. Kontrollmechanismen für den Datenschutz beispielsweise sind im ISO 27001-Standard so nicht enthalten.

Hilft die ISO 27001 in Bezug auf die DSGVO?

Die Einhaltung des ISO 27001-Standards hilft auch dabei, einige Vorgaben der DSGVO einzuhalten. Weitere Informationen dazu, welche Anforderungen die DSGVO an Unternehmen im Gesundheitswesen stellt, finden Sie hier.