Wie ist die Medizintechnik und die Haustechnik zu berücksichtigen?
Bereits seit einigen Jahren setzen sich Bus-Systeme in der Gebäudeleittechnik durch. Die Vorteile liegen hierbei vor allem in der vereinfachten Überwachung und erleichterten Steuerung sämtlicher technischer Komponenten. Wo vor einigen Jahren noch Ventile und physische Steuerkomponenten für einen reibungslosen Betrieb gesorgt haben, werden jetzt Daten erhoben und ausgewertet. Diese unbestreitbaren Vorteile werden jedoch gleichzeitig mit einem anderen Risikoportfolio eingekauft.Dass die Gebäudeinfrastruktur eines Krankenhauses oder eines großen öffentlichen Gebäudes als kritisch zu betrachten ist, dürfte außer Frage stehen. Das Gebäude hängt von verschiedenen Faktoren ab – dazu zählen Energieversorgung, Wasserver- und entsorgung, hausinterne Logistik und Transport (z.B. Fahrstühle), Sicherheitstechnologie wie Zutrittskontrollen, Klimatisierung sowie verschiedene weitere Steuerungs- und Überwachungskomponenten.
IT-Netze und Gebäudetechnik konvergieren und verschmelzen
Ähnlich wie andere kritische Infrastrukturen beginnt auch die Gebäudeleittechnik mit den allgemeinen IT-Netzwerken und IT-Anwendungen zu verschmelzen. Zwar ist eine direkte Verbindung zwischen den Gebäude-Bus-Systemen und den IT-Systemen technologisch nicht zwingend vorgesehen. Fast jedes größere System wird jedoch über einen Fernwartungszugang von Servicedienstleistern der Hersteller betreut. Und hier beginnt das Risiko.
Der Hintergrund dieser Risiken ist einfach. Die Technologien zur smarten Gebäudesteuerung sind auf den Betriebszweck hin entwickelt. Ähnlich wie bei anderen industriellen Softwaresystemen werden als Basis „embedded Betriebssysteme“ verwendet, die oft auf einem Baumusterstand eingefroren werden, um die Funktionalität sicherzustellen. Die Sicherheitslücken dieser Systeme werden dann im täglichen Betrieb nicht geschlossen. Dadurch bleiben potenziellen Angreifern Lücken offen, die geeignet sind, um Gebäude zu manipulieren und möglicherweise zu zerstören.Was wäre jetzt, wenn über einen derartigen Zugang ein Zugriff auf das gesamte IT-Netz gelänge? Oder wenn über einen ungesicherten Fernzugriff Zugriff auf die Klimasteuerung, die Luftfilterung in Operationssälen oder die Aufzugssteuerung gelänge? Diese Wege können genutzt werden, um Gebäude und deren Betreiber „in Geiselhaft“ zu nehmen. Alternativ können über diese Wege ganze Staaten attackiert werden.
Alternative Wege werden über die technologische Realisierung von Bus-Systemen ermöglicht. In Privathaushalten oder Hotels ist es teils möglich, über einfache technische Systeme die Kommunikation im Gebäudebus mitzuschneiden und zu manipulieren. Diese Attacken jedoch benötigen den direkten physischen Zugriff und sind daher mit Hilfe von Infrastruktur-Maßnahmen zur Sicherheit vergleichsweise einfach zu beherrschen.
Der Hintergrund dieser Risiken ist einfach. Die Technologien zur smarten Gebäudesteuerung sind auf den Betriebszweck hin entwickelt. Ähnlich wie bei anderen industriellen Softwaresystemen werden als Basis „embedded Betriebssysteme“ verwendet, die oft auf einem Baumusterstand eingefroren werden, um die Funktionalität sicherzustellen. Die Sicherheitslücken dieser Systeme werden dann im täglichen Betrieb nicht geschlossen. Dadurch bleiben potenziellen Angreifern Lücken offen, die geeignet sind, um Gebäude zu manipulieren und möglicherweise zu zerstören.Was wäre jetzt, wenn über einen derartigen Zugang ein Zugriff auf das gesamte IT-Netz gelänge? Oder wenn über einen ungesicherten Fernzugriff Zugriff auf die Klimasteuerung, die Luftfilterung in Operationssälen oder die Aufzugssteuerung gelänge? Diese Wege können genutzt werden, um Gebäude und deren Betreiber „in Geiselhaft“ zu nehmen. Alternativ können über diese Wege ganze Staaten attackiert werden.
Alternative Wege werden über die technologische Realisierung von Bus-Systemen ermöglicht. In Privathaushalten oder Hotels ist es teils möglich, über einfache technische Systeme die Kommunikation im Gebäudebus mitzuschneiden und zu manipulieren. Diese Attacken jedoch benötigen den direkten physischen Zugriff und sind daher mit Hilfe von Infrastruktur-Maßnahmen zur Sicherheit vergleichsweise einfach zu beherrschen.
Medizintechnik integrieren
Der Aufbau eines ISMS erfordert in jedem Fall ein strukturiertes Risikomanagement umzusetzen. Für den Bereich IT bietet die Normenfamilie der ISO 27001:2013 mit der ISO/IEC 27005 eine eigene Norm an, die eine Methode zur Risikoanalyse für IT-Komponenten bereithält. Aufgrund der strukturellen Komplexität der eingesetzten Medizintechnik ist diese Methodik jedoch nicht geeignet, für die branchenspezifische Technologie angewendet zu werden. Der Einsatz am Patienten verbietet es, die Risikoanalyse auf die Schutzgüter Verfügbarkeit, Vertraulichkeit und Integrität zu beschränken.
In einem strukturierten ISMS ist genau hier der Ansatzpunkt, die Risikoanalysemethodik der DIN EN 80001-1 anzuwenden. Integriert in ein Managementsystem hat diese Norm ihre Berechtigung und bietet die vollen Vorteile der integrierten Managementprozesse. Gleichzeitig erweitert diese Norm die Schutzwerte der Informationssicherheit um die Dimensionen Safety und Effectiveness.
Methodisch sind die Risikoanalysen ähnlich durchzuführen. Unterschiede gibt es jedoch bei der Bewertung der Risiken und bei den Alternativen, wie mit Risiken umzugehen ist. Während ein Managementsystem für Informationssicherheit die Möglichkeiten Transferieren – Reduzieren – Vermeiden - Akzeptieren anbietet, bietet die DIN 80001 nur die Alternativen
a) Inhärente Kontrolle durch Design (z. B. physikalische Trennung eines Netzwerks von externen Bedrohungen);
b) Schutzmaßnahmen (z. B. einschließlich Alarmen);
c) Sicherheitsinformationen (z. B. Warnhinweise, Benutzer Dokumentation, Training).
Insgesamt jedoch bietet die DIN 80001-1 alle Elemente eines Managementsystems für Informationssicherheit und lässt sich gut in diese System integrieren. Regelmäßige Audits und interne Revisionen stellen in so einem Fall sicher, dass immer alle Anforderungen eingehalten werden.Beide Normen erfordern klar dokumentierte Entscheidungen, wie mit Risiken um-zugehen ist. Insofern ist es nur sinnvoll, hier ein gemeinsames Vorgehen zwischen IT und Medizintechnik zu wählen. Die Verwaltung sowohl der Risiken wie auch der Maßnahmen in einer einzigen Dokumentation erleichtert es, die Risiken zu beherrschen.
Im Kern werden sowohl die Risiken wie auch die Maßnahmen in einer zentralen Dokumentation verwaltet und auditgerecht aufbereitet.
Über diesen Weg können alle Bereiche in einem Kliniknetzwerk ins Sicherheitskonzept der IT integriert werden.
In einem strukturierten ISMS ist genau hier der Ansatzpunkt, die Risikoanalysemethodik der DIN EN 80001-1 anzuwenden. Integriert in ein Managementsystem hat diese Norm ihre Berechtigung und bietet die vollen Vorteile der integrierten Managementprozesse. Gleichzeitig erweitert diese Norm die Schutzwerte der Informationssicherheit um die Dimensionen Safety und Effectiveness.
Methodisch sind die Risikoanalysen ähnlich durchzuführen. Unterschiede gibt es jedoch bei der Bewertung der Risiken und bei den Alternativen, wie mit Risiken umzugehen ist. Während ein Managementsystem für Informationssicherheit die Möglichkeiten Transferieren – Reduzieren – Vermeiden - Akzeptieren anbietet, bietet die DIN 80001 nur die Alternativen
a) Inhärente Kontrolle durch Design (z. B. physikalische Trennung eines Netzwerks von externen Bedrohungen);
b) Schutzmaßnahmen (z. B. einschließlich Alarmen);
c) Sicherheitsinformationen (z. B. Warnhinweise, Benutzer Dokumentation, Training).
Insgesamt jedoch bietet die DIN 80001-1 alle Elemente eines Managementsystems für Informationssicherheit und lässt sich gut in diese System integrieren. Regelmäßige Audits und interne Revisionen stellen in so einem Fall sicher, dass immer alle Anforderungen eingehalten werden.Beide Normen erfordern klar dokumentierte Entscheidungen, wie mit Risiken um-zugehen ist. Insofern ist es nur sinnvoll, hier ein gemeinsames Vorgehen zwischen IT und Medizintechnik zu wählen. Die Verwaltung sowohl der Risiken wie auch der Maßnahmen in einer einzigen Dokumentation erleichtert es, die Risiken zu beherrschen.
Im Kern werden sowohl die Risiken wie auch die Maßnahmen in einer zentralen Dokumentation verwaltet und auditgerecht aufbereitet.
Über diesen Weg können alle Bereiche in einem Kliniknetzwerk ins Sicherheitskonzept der IT integriert werden.