Mit Inkrafttreten des zweiten Korbes der BSI-KritisV am 22. Juni 2017 entstanden für den Sektor Finanzen und Versicherungen eine Reihe von neuen Pflichten und Anforderungen. Diese gelten für Organisationen mit Kritischen Infrastrukturen, deren störungsfreies Funktionieren von hoher Bedeutung für das nationale Gemeinwesen ist. Welche Auswirkungen hat die BSI-KritisV jedoch auf Organisationen, die zwar keine Kritischen Infrastrukturen haben, weil sie beispielsweise die Schwellenwerte nicht erreichen, jedoch trotzdem mit Systemen arbeiten, die in der BSI-KritisV als Kritische Infrastrukturen beschrieben sind? Diese Fragestellung soll im Artikel am Beispiel der gesetzlichen Krankenversicherer behandelt werden. Dazu werden neben der BSI-KritisV auch das Umfeld und der Kontext, in dem die gesetzlichen Krankenversicherer arbeiten, betrachtet. Zu diesem Kontext gehört auch die im Mai 2018 kommende Datenschutz-Grundverordnung, welche aktuell ebenso intensiv diskutiert wird und stellenweise dieselben Ziele verfolgt, wie die BSI-KritisV.
I. Einleitung – Aktuelle Herausforderungen der GKVs
„Millions of Anthem Customers Targeted in Cyberattack“ – eine Schlagzeile, die bereits vor zwei Jahren in der New York Times zu lesen war. Damals wurden dem zweitgrößten amerikanischen Gesundheitsversicherer Anthem etwa 80 Mio. Datensätze mit Kundendaten entwendet, darunter Namen der Versicherten, Geburtstage, Adressen, Sozialversicherungsnummern, Angaben zum Beschäftigungsverhältnis und medizinische Daten [1]. Die darauf folgenden Rechtsstreitigkeiten kosteten das Unternehmen rund 115 Mio. Dollar [2] .
Mit der fortschreitenden Digitalisierung wächst die Gefahr für solche Vorfälle – es vergeht kaum eine Woche, in der keine Meldungen über Cyber-Angriffe in den Medien die Runde machen. Krankenversicherer sind dabei durchaus lohnenswerte Ziele für Kriminelle. Personenbezogene Daten erzielen auf Schwarzmärkten höhere Gewinne als beispielsweise Kreditkartendaten [3]. Grund hierfür: Durch das Zusammenbringen und Kombinieren von Daten können diese für kriminelle Zwecke missbraucht werden. So können sie z.B. für sogenannte „Soft Hacks“ verwendet werden, welche ohne großen Aufwand von IT-Tools oder Hackertechniken auskommen. Informationen zu Familienmitgliedern, wie sie auch von Krankenkassen gespeichert werden, können z.B. zur Beantwortung von Sicherheitsfragen ausgenutzt werden. Eine andere Gefahr besteht darin, die Daten zum Identitätsdiebstahl zu missbrauchen.
Es ist anzunehmen, dass solche Vorfälle in Zukunft weiter zunehmen werden. Informations- und Kommunikationstechnik wird als Chance gesehen, die Versicherungsdienstleistung zu erweitern und Wettbewerbsvorteile zu gewinnen. Zudem wird im gesamten Gesundheits- und Versorgungsbereich die Telematik-Infrastruktur ausgebaut und vernetzt die verschiedenen Marktteilnehmer (siehe Abbildung-1).
Abbildung-1: Vernetzung der Beteiligten im Gesundheitswesen; Quelle: Wilfrid Kettler in <kes>, Ausgabe 8.2014 [4]
Krankenkassen bieten Apps an, mit denen sich Krankenscheine abfotografieren und verschicken lassen. Fitness-Apps messen die täglich getätigte Zahl an Schritten und übermitteln sie an Bonusprogramme der Krankenkassen. Das hat zur Folge, dass immer mehr Daten von Versicherten elektronisch verarbeitet und übermittelt werden. Mit der Digitalisierung gewinnt jedoch auch ein anderes Thema an Bedeutung: Die informationelle Selbstbestimmung und deren Schutz. Um nun sowohl die Verfügbarkeit von Kritischen Infrastrukturen und die von ihnen erbrachten Leistungen als auch die im Zuge der Leistungserbringung verarbeiteten vertraulichen, personenbezogenen Daten zu schützen, wurden eine Reihe gesetzlicher Regelungen erlassen oder erweitert, wie z.B. das eHealth Gesetz, die europäische Datenschutzgrundverordnung (DSGVO) oder das IT–Sicherheitsgesetz (IT-SiG) in Verbindung mit der BSI-KritisV. Somit steigt die Bedrohungs- und Anforderungslage für Organisationen, die personenbezogene Daten hosten, verarbeiten und übermitteln.
II. Anforderungen des IT-SiG auf Kritische Infrastrukturen der GKVs
Im Rahmen der BSI-KritisV wurden bei gesetzlichen Krankenkassen die Verwaltungs- und Zahlungssysteme als zu schützende Infrastrukturen bestimmt. Diese wurden im Rahmen einer Expertenrunde mit Vertretern des BSI und Fachexperten der Branche als absolut notwendig für die Inanspruchnahme von Versicherungsdienstleistungen identifiziert. Als kritische Versorgungs-dienstleistung ist die Auszahlung von Beträgen an Versicherte und Leistungserbringer genannt [5] . Versicherer mit mehr als 3 Mio. Versicherten sind damit seit Juni 2017 verpflichtet:
– Eine Kontaktstelle für das BSI zu benennen
– IT-Störungen dorthin zu melden
– Technische Schutzmaßnahmen nach dem „Stand der Technik“ umzusetzen
– dem BSI alle zwei Jahre einen Nachweis darüber zu erbringen.
Technische Schutzmaßnahmen dienen einerseits der Sicherstellung der Inanspruchnahme von Versicherungsdienstleistungen. Andererseits geht es nach § 8a IT-SiG grundsätzlich um den Schutz von Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität von Daten. Somit müssen diese Maßnahmen auch vor Vorfällen wie dem oben beschriebenen schützen, bei dem es sich um eine Verletzung der Vertraulichkeit handelt.
Im Nachweis zu den Schutzmaßnahmen muss enthalten und dokumentiert sein:
– Die geprüfte Infrastruktur und ein Ansprechpartner
– Angaben zu Eignung der prüfenden Stelle und des Prüfteams
– Beschreibung der Durchführung der Prüfung
– Beschreibung des Prüfergebnisses und evtl. aufgedeckte Sicherheitsmängel
Da mit dem Nachweis eine gewisse Außenwirkung entsteht, welche signalisiert, dass das BSI der Organisation ein Mindestmaß an Sicherheit attestiert, sind die Anforderungen an die Maßnahmen und den Nachweis relativ hoch. Kassen unter dem Schwellenwert sind zwar nicht zum Nachweis verpflichtet, müssen sich aber angesichts der dargestellten technologischen und gesellschaftlichen Veränderungen trotzdem mit Sicherheitsmaßnahmen beschäftigen. Der Nachweis trägt außerdem zur positiven Außenwirkung bei Kunden und Dienstleistern bei. Im Gegenzug könnten Sicherheitsvorfälle zu Reputations- und letztendlich auch zu finanziellen Verlusten führen.
II.1 Verwaltungs- und Zahlungssysteme der GKV
Das Verwaltungssystem enthält den Kundenstamm der Kasse mitsamt den Vertragskonditionen der Kunden und verschiedenen Stammdaten, wie z.B. Kundennamen, Termine, Verträge, Angaben bzgl. Krankheiten, Verletzungen und Behandlungen sowie in einigen Fällen Angaben zum Beschäftigungsverhältnis oder den Familienmitgliedern. Oft werden zur Verwaltung dieser Daten SAP-Lösungen eingesetzt. In Verwaltungssystemen enthalten sind nach Art. 9 Abs. (1) DSGVO neben den „normalen“ personenbezogenen Daten auch besondere personenbezogene Daten, deren Schutz zusätzlichen Vorgaben unterliegt. Das Zahlungssystem enthält Bankdaten von Kunden, Apotheken sowie Ärzten und Kliniken und verwaltet den Zahlungsverkehr.
Betrachtet man nur das Kriterium Schwellenwert, wären lediglich sieben der 113 gesetzlichen Krankenkassen von der Verordnung betroffen. Diese GKVs bringen es laut Statista zusammen auf ungefähr 40 Mio. der etwa 72 Mio. gesetzlich Versicherten in Deutschland (Abbildung 2) [6] .
Dabei wäre es gerade im Hinblick auf Cyberattacken sinnvoll, die Daten der anderen 32 Mio. ebenso zu schützen. Kryptotrojaner wie „WannaCry“ befallen nicht immer gezielt ein Unterneh-men, sondern können sich auch massenhaft verbreiten . Vorfälle dieser Art werden mittlerweile nicht nur in Expertenkreisen wahrgenommen und diskutiert.
III. Thema Informationssicherheit in der Öffentlichkeit
Es ist festzuhalten, dass die breite Öffentlichkeit bezüglich der Thematik IT, Daten und Sicherheit zunehmend sensibilisiert wird. Themen wie Cyber-Angriffe, Medical Apps, Internet of Things, Ambient Assisted Living oder auch die elektronische Gesundheitsakte rücken verstärkt in den Fokus öffentlicher Aufmerksamkeit. Dies ist eine logische Folge der immer weiter steigenden Zahl von verwendeten Technologien im beruflichen und privaten Alltag. So gewinnt z.B. die Nutzung von Medical Apps, über die Versicherte an Bonusprogrammen ihrer Krankenkassen teilnehmen können, immer weiter an Bedeutung. All diese Technologien arbeiten mit oder produzieren Daten. Im Gesundheitswesen existiert eine Vielzahl von Beteiligten, die zu dieser Produktion beitragen und sich immer dichter vernetzen. Die Öffentlichkeit nimmt diese Omnipräsenz und Relevanz von Daten im Alltag mehr und mehr wahr und bildet sich Meinungen. Viele Meinungen und Debatten drehen sich dabei um das Thema Datensicherheit. Verbraucher entwickeln dadurch nach und nach ein Bewusstsein für dieses Thema, insbesondere in Bezug auf die eigenen, persönlichen Daten. Eine zu diesem Thema durchgeführte Studie zählt neben dem verstärkten Bewusstsein folgende Tendenzen von Kunden auf (Quelle: FireEye Studie 2016) :
– 52 % der Verbraucher würden negative Einstellungen zu Organisationen entwickeln, denen Datenpannen passiert sind
– 59 % der Verbraucher würden juristische Schritte gegen Organisationen einleiten, deren Datenpanne einen böswilligen Missbrauch persönlicher Daten zur Folge hätte
– 90 % der Verbraucher erwarten innerhalb von 24 Stunden informiert zu werden, nachdem ihre Daten kompromittiert wurden
Für Krankenkassen ergibt sich daraus die Herausforderung, auf der einen Seite die Digitalisierung voranzubringen und digitale Angebote auf verschiedenen Plattformen für ihre Kunden bereitzustellen. Auf der anderen Seite ist dabei jedoch das Thema Sicherheit besonders zu beachten und angemessen bei allen Dienstleistungen anzuwenden. Hier besteht insbesondere die Gefahr, anfangs die Priorität lediglich auf das Anbieten digitaler Leistungen zu setzen und sich erst im Nachhinein, wenn die Leistung schon angeboten wird, um das Thema Sicherheit zu kümmern. Nachträgliche Änderungen sind aber oft nur aufwändiger und teurer durchzuführen und Anbieter sind während dieser Zeit ohne adäquate Sicherheitsmaßnahmen wesentlich anfälliger für Angriffe und Datenpannen sowie ihre Folgen.
IV. DSGVO und IT-SiG – Gemeinsamkeiten
Ein weiterer Grund, wieso das Thema aktuell viel diskutiert ist, ist neben der medialen Aufmerksamkeit auch das Inkrafttreten der europäischen Datenschutz-Grundverordnung. Diese weist einige Gemeinsamkeiten mit dem IT-SiG und der BSI-KritisV auf. Im Gegensatz zu den beiden gilt die DSGVO jedoch für alle Krankenkassen. Die Gemeinsamkeiten ergeben sich durch die Forderung nach bestimmten organisatorischen und technischen Maßnahmen sowie die Fähigkeit zum Nachweis derselben. Maßnahmen und Nachweis werden in Art. 5 Abs. (2) sowie dem Art. 24 Abs. (1) der DSGVO gefordert. Dabei wird dort die (ver-)ordnungsgemäße Verarbeitung von personenbezogenen Daten behandelt. Eine solche ordnungsgemäße Verarbeitung beinhaltet auch, dass personenbezogene Daten „[…] in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“. Hier soll ebenso wie beim IT-SiG die Integrität, Vertraulichkeit und Verfügbarkeit der Daten geschützt werden. Wird dies nicht getan, droht die Zahlung empfindlicher Bußgelder. Die Auswahl der Maßnahmen muss durch einen Risikomanagementansatz und die dadurch identifizierten Risiken begründet sein. Darauf zielt die Formulierung „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, […]“ ab. Ein Nachweis darüber kann nach Abs. (3) des Artikels durch ein Zertifizierungsverfahren erbracht werden. Ferner gilt für die Sicherheitsmaßnahmen in Art. 25 Abs. (1) DSGVO, dass diese unter Berücksichtigung des Standes der Technik umgesetzt werden müssen. Hinter dieser viel diskutierten Formulierung steht keine feste Definition, sondern laut BSI die Aussage, dass der Stand der Technik mittels vorhandener, aktueller Standards und Best Practices ermittelt werden kann. Weitere ausführliche Auslegungen zur Formulierung „Stand der Technik“ sind im Security Journal Ausgabe 93 im Artikel „“Stand der Technik“ bei der Umsetzung von Sicherheitsmaßnahmen – Hinweise und Empfehlungen für Netzbetreiber“ diskutiert .
IV.1 Synergiepotentiale
Durch einige Gemeinsamkeiten beider Verordnungen entstehen auch Synergiepotentiale. Eine Möglichkeit diese zu nutzen bieten Informationssicherheitsmanagementsysteme (ISMS). Diese unterstützen die Integration technischer und organisatorischer Sicherheitsmaßnahmen nach dem Stand der Technik, wie sie durch das IT-SiG mit der BSI-KritisV und der DSGVO gefordert werden. Ein ISMS bestimmt, „mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert)“ . Weiterhin können sie zertifiziert werden und somit auch als Nachweis für Informationssicherheit dienen. In Bezug auf Zertifizierungsverfah-ren zum Schutz von Informationen hat sich mittlerweile eine Zertifizierung nach ISO/IEC 27001 im Rahmen der BSI-KritisV etabliert. Beispielsweise müssen Energienetzbetreiber, welche ebenfalls zu den Kritischen Infrastrukturen zählen, ab einer festgelegten Größe ein so zertifiziertes ISMS vorweisen. Der Sachverhalt dort wird weiter unten kurz erläutert.
Auch die Konformität zur DSGVO kann zu großen Teilen durch ein ISMS gemäß ISO/IEC 27001 unterstützt werden. Ein gutes Beispiel dafür ist das Risikomanagement, welches einen Grundstein des ISMS bildet. Die Auswahl der Sicherheitsmaßnahmen basiert darauf, so dass die Anforderungen aus Art. 24 Abs. (1) und Art. 25 Abs. (1) DSGVO hier bereits integriert werden können.
Ein weiterer bedeutender Punkt, welcher durch ein ISMS behandelt wird, ist das Lieferantenmanagement bzw. im gesetzlichen Kontext die Auftragsdatenverarbeitung. Viele der kleineren gesetzlichen Kassenverbände lagern ihre IT-Prozesse zu Dienstleistern aus und nutzen dabei insbesondere Dienstleistungen wie Application- oder Data-Hosting. Die Verantwortung zur Einhaltung des Datenschutzes und der zugehörigen Gesetze und Verordnungen bleibt jedoch weiter in den Händen des Auftraggebers i. Ein ISMS beinhaltet zu diesen Vorschriften insbesondere zwei Anforderungen: 1. Festlegung und Vereinbarung aller Informationssicherheitsanforderungen ii und 2. Überwachung und Überprüfung der Lieferantendienstleistungen iii. Was das im Gegenzug für IT-Dienstleister bedeutet, wird unten kurz diskutiert.
Eine ausführliche und übersichtliche Darstellung, welche Punkte der DSGVO wie von einem ISMS nach ISO/IEC 27001 abgedeckt werden, ist ebenso in Ausgabe 93 des Security Journals im Artikel „Auswirkungen der Datenschutz-Grundverordnung auf ein ISMS nach ISO/IEC 27001:2013“ nachzulesen [11].
Weiter können durch ein ISMS präventive und reagierende Maßnahmen auf einen wie am Anfang beschriebenen Sicherheitsvorfall umgesetzt werden und so das Unternehmen auf den Eintritt vorbereiten. Zum einen werden technische und organisatorische Maßnahmen zur Prävention implementiert, wie z.B. Verantwortliche benannt, kryptographische Maßnahmen eingeführt, Sicherheit in Netzwerken bestimmt. Zum anderen existieren auch Mechanismen zur Reaktion und Nachbereitung eines Informationssicherheitsvorfalls, angefangen beim Vorfallsmanagement mit Reaktion und Dokumentation bis hin zum Business Continuity Management.
Bezüglich ISO/IEC 27001 lohnt sich auch der Blick in einen anderen KRITIS Bereich – den Energiesektor mit der Strom- und Gasversorgung. Dort wurde nach Veröffentlichung der BSI-KritisV mit dem IT-Sicherheitskatalog (IT-SiKat) ein Branchenstandard eingeführt. Dieser verpflichtet alle deutschen Betreiber von Strom- und Gasnetzen nach § 11 Abs. (1a) EnWG zum Nachweis eines zertifizierten ISMS nach ISO/IEC 27001 (und ISO/IEC 27019 für Energieversorger), unabhängig davon, ob diese über oder unter dem KRITIS-Schwellenwert liegen. Kritische Infrastrukturen der Energienetzbetreiber wurden in den Sektorstudien des BSI jedoch aufgrund ihrer Wechselwirkungen mit anderen Sektoren als äußerst kritisch für die Aufrechterhaltung der öffentlichen Sicherheit und der deutschen Wirtschaftsleistung eingestuft. So kam es in der Folge dazu, dass sich für Energienetzbetreiber eine Zertifizierung nach ISO/IEC 27001 etablierte und Unternehmen unter dem Schwellenwert ebenso ein dementsprechendes ISMS einführten. Ein temporärer Ausfall von Versicherungsdienstleistungen hätte wohl nicht so erhebliche Störungen wie dergleichen bei den Energienetzbetreibern zur Folge. Beides führt jedoch zu einer persönlichen Betroffenheit des Kunden: Im Falle des Missbrauchs personenbezogener Daten kann die Betroffenheit sich durch monetären Verlust oder durch die Verletzung der informationellen Selbstbestimmung äußern.
Neben den Folgen der Digitalisierung, den Datenschutzgesetzen und den Entwicklungen im Energiesektor, gibt es weitere Argumente, die für ähnliche Auswirkungen der Verordnung bei gesetzlichen Krankenkassen sprechen. Denn neben der Öffentlichkeit und den Versicherten entwickelt auch der Markt ein Bewusstsein für das aktuelle Sicherheitsthema. Viele Teilnehmer des Marktes sind von der BSI-KritisV mittelbar oder unmittelbar betroffen. Im Sektor Versicherungen neben den gesetzlichen Kassen auch die privaten Krankenkassen. Und im Sektor Gesundheit zusätzlich Krankenhäuser, Arzneimittel- und Impfstoff-Versorger und Medizintechnik. Somit ist es wahrscheinlich, dass auch hier ein brancheninterner Standard ausgearbeitet und den Marktteilnehmern auferlegt oder zumindest empfohlen wird, um Datensicherheit zu gewähren und einschlägige Gesetze zu erfüllen. Dieser könnte von Kunden und Lieferanten dann auch als Voraussetzung für eine Geschäftspartnerschaft verlangt werden.
V. IT-Dienstleister der Krankenkassen
Wie oben beschrieben, lagern einige Krankenkassen auch die Verarbeitung von Patientendaten aus. Vor diesem Hintergrund wird es interessant sein zu sehen, wie IT-Dienstleister in diesem Umfeld auf die Folgen der BSI-KritisV reagieren werden. Der Auftraggeber muss zudem gewährleisten können, dass die Verarbeitung gemäß der DSGVO (Art. 28 Abs. (1)) und des SGB X (§ 80 Abs. (1)) abläuft. Hierzu wird er sich dementsprechend vertraglich absichern und Nachweise von Dienstleistern fordern. Weiter stellt die DSGVO auch direkte Anforderungen an die Dienstleister, wenn sie Auftragsdaten in der Cloud verarbeiten. Diese werden u.a. in den Artikeln 28 und 32 der DSGVO beschrieben [12]. Dort wird auch die Möglichkeit einer Zertifizierung angeführt, um den Nachweis der Einhaltung beider Artikel zu erbringen. Hier wird die Streuwirkung der BSI-KritisV interessant zu beobachten sein. So wird es in einigen Fällen sicher dazu kommen, dass die unmittelbare Wirkung der Verordnung auf Krankenkassen über dem Schwellenwert auch eine mittelbare Wirkung auf IT-Dienstleister haben wird, sodass diese ebenfalls gezwungen werden zusätzliche technische und organisatorische Maßnahmen auf Basis eines nachweislichen Risikomanagements umzusetzen.
VI. Haftung und Sanktionen
Auch hier gelten zunächst die allgemeingültigen Vorschriften des §14 Abs. (1) StGB oder des KonTraG. Schauen wir nun jedoch im Speziellen auf die Haftungs- und Bußgeldvorschriften der KRITIS VO und der DSGVO, ergibt sich für GKV Folgendes: Im BSIG, auf dem die KRITIS VO basiert, werden Bußgelder aufgezählt, welche bei Nichtbeachtung der Verordnung fällig werden. Die Vorschriften enthalten Geldbußen von bis zu 100.000 Euro für Unternehmen. Aufgrund der relativen Neuheit der Verordnung existieren bisher keine dokumentierten Fälle, sodass die Ausgestaltung erst einmal abzuwarten bleibt. Blicken wir weiter zur DSGVO, fällt schnell auf, dass die Sanktionen hier an Härte zunehmen – auch im Vergleich zum BDSG. Neu ist auch, dass dort nicht nur das Unternehmen mit seinem Vermögen haftet, sondern auch der Geschäftsführer. Hier stehen je nach Verstoß bis zu 20 Mio. Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes zu Buche.
Der Geschäftsführer haftet dabei für selbstbegangene Verstöße und als „Garant“ dafür, dass Mitarbeiter sich an das Datenschutzrecht halten. Ein Weitergeben der Haftung ist dabei nur begrenzt möglich, bspw. durch das ausdrückliche Übertragen von Unternehmenspflichten an Mitarbeiter. Dies geschieht z.B. durch die Ernennung eines Datenschutzbeauftragten mitsamt Beschreibung der Verantwortlichkeiten und Pflichten. Durch eine sorgsame Auswahl und anschließender Beachtung der Weisungen von Datenschutzbeauftragten, kann die Haftung im Schadensfall quasi ausgeschlossen werden [13] .
Weitere unter Experten diskutierte Möglichkeiten die Haftung und deren Folgen zu minimieren, ist das abschließen von Haftpflichtversicherungen oder die Beauftragung von externen Datenschutzbeauftragten.
VII. Fazit
Führt man sich nun nochmal die diskutierten Umstände vor Augen, werden gesetzliche Krankenversicherer, welche nicht von der BSI-KritisV betroffen sind, trotzdem nicht untätig bleiben dürfen. Die Digitalisierung hält weiter auf dem Markt Einzug, die Menge an elektronisch übermittelten Daten zwischen den Marktteilnehmern steigt und damit auch die Bedrohung durch Cyberkriminalität. Personenbezogene Daten sind ein beliebtes Angriffsziel, da Kriminelle durch „Big Data-Methoden“ diese kombinieren und zum Identitätsdiebstahl missbrauchen können.
Hinzu kommen die regulatorischen Vorgaben der Gesetzgeber. Auf der einen Seite die DSG-VO, welche ab Mai 2018 die Umsetzung und den Nachweis von technischen und organisatorischen Schutzmaßnahmen für personenbezogene Daten fordert. Auf der anderen Seite das IT-SiG mit der BSI-KritisV, welche bereits konkrete Vorgaben für große Krankenkassen macht, indem es den Schutz der Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität der Zahlungs- und Verwaltungssysteme fordert. Mit diesen konkreten Vorgaben kann das IT-SiG mit der BSI-KritisV als Referenz für alle Krankenkassen dienen, und nicht nur für Kassen, die unter die BSI-KritisV fallen.
Ein ISMS nach ISO/IEC 27001 integriert dabei einige Anforderungen aus der BSI-KritisV und der DSGVO. Weiter erlaubt es auch eine Prüfung durch Zertifizierung, sodass mit der Einführung eines solchen Managementsystems die Vorgaben der technischorganisatorischen Maßnahmen sowie der Nachweis darüber gleichzeitig angegangen werden können. Das ISMS kann dabei auch für kleinere Kassen hilfreich sein, da es an die Größe und an das operative Umfeld der Organisation modular anpassbar ist und mit angepasstem Aufwand betrieben werden kann.
Autor: Paul Penner, GAI NetConsult GmbH
Referenzen
R. Abelson und M. Goldstein, „Millions of Anthem Customers Targeted in Cyberattack”, The New York Times, https://www.nytimes.com/2015/02/05/business/hackers-breached-data-of-millions-insurer-says.html , 2015.
Anthem, Inc., https://www.anthemfacts.com/cyber-attack , 2017.
R. Abelson und M. Goldstein, „Anthem Hacking Points to Security Vulnerability of Health Care Indus-try”, The New York Times, https://www.nytimes.com/2015/02/06/business/experts-suspect-lax-security-left-anthem-vulnerable-to-hackers.html , 2015.
W. Kettler, „E-Health – Der „Neue Markt“ für Cyberkriminelle?“, <kes> – Die Zeitschrift für Informations-sicherheit, August 2014, S. 6.
BSI, KRITIS-Sektorstudie Finanz- und Versicherungswesen, 2015, S. 65 ff.
Statista, https://de.statista.com/statistik/daten/studie/5270/umfrage/anzahl-der-versicherten-in-der-gesetzlichen-krankenversicherung-gkv-nach-kassenart/ , 2017.
M. Lee, W. Mercer, P. Rascagneres und C. Williams; „Player 3 has entered the Game: Say Hello to WannaCry“, Cisco Talos, http://blog.talosintelligence.com/2017/05/wannacry.html , 2017
FireEye, Inc., “Beyond the Bottom Line: The Real Cost of Data Breaches”, https://www2.fireeye.com/WEB-Real-Cost-of-Data-Breaches.html , 2016
Rocco Gundlach, „Stand der Technik bei der Umsetzung von Sicherheitsmaßnahmen“, GAI Security Journal, Ausgabe 93, 2017, S. 1 ff.
BSI: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS). Version 1.5, 2008.
Kristian Tomov, “Auswirkungen der EU Datenschutz-Grundverordnung auf ein ISMS nach ISO/IEC 27001:2013,GAI Security Journal Ausgabe 93, 2017, S. 8 ff.
J. Heidrich, „Cloud Computing und die DSGVO – Pflichtverschiebung“, iX, Januar 2018, S. 44 ff.
Dr. Thomas Schwenke, t3n – DSGVO für Unternehmer, 2018, S. 53.
i Art. 24 Abs. (1) DSGVO sowie Haftung des Verantwortlichen in Art. 82 Abs. (2) DSGVO und §80 Abs. (1) SGB
ii Art. 28 Abs. (3) DSGVO mit § 80 Abs. (2) SGB X
iii Art. 28 Abs. (3) h), Art. 32 Abs. (1) d) DSGVO mit § 80 Abs. (2) Nr. 5