Cyber-Abwehr im Gesundheitssektor stärken
Das Bundesamt für Sicherheit und Informationstechnik (BSI) sieht zwar durch den Krieg in Osteuropa bislang keine akute Gefährdung der Informationssicherheit in Deutschland, dennoch ruft das BSI dringlich Unternehmen auf, ihre IT-Sicherheitsmaßnahmen zu erhöhen. Nicht nur die Sicherheit der IT-Systeme, sondern auch die Sicherheit der verarbeiteten Informationen benötigen eine starke Abwehr. Öffentliches Gefährdungspotenzial besteht insbesondere bei den kritischen Infrastrukturen (KRITIS) wie beispielsweise im Gesundheitssektor. Große Krankenhäuser, Labore, Pharmaunternehmen, Medizintechnikfirmen, der Pharmagroßhandel und Großapotheken gehören auf Grund ihrer Versorgungsrelevanz zur KRITIS. Ein KRITIS-Schwellenwert sind z.B. jährlich 4,64 Millionen in Verkehr gebrachte verschreibungspflichtige Arzneimittel.
Sicherheitsvorfälle
Auch vor dem Ukraine-Krieg nahmen seit Jahren die Bedrohungen auf die IT-Infrastruktur der pharmazeutischen Industrie zu. Der Cyber-Angriff gegen die Europäische Arzneimittelagentur EMA im Jahr 2021 ist nur ein prominentes Beispiel. Wie lief die Attacke ab? Über den Zugriff auf den Rechner eines Dienstleisters der EMA konnten sich die Angreifer Daten des Zulassungsantrags des COVID-19-Impfstoffs der Pharmaunternehmen BioNTech und Pfizer aneignen. Angreifer hatten die Zugangsdaten für das Nutzerkonto bei der EMA ausspioniert und sich remote verbunden. Ziel war es, Zweifel über den Impfstoff zu veröffentlichen, was glücklicherweise nicht gelang. Andernfalls hätte dies für die weltweite Impfkampagne gravierende Folge haben können. Der illegale Zugang gelang, weil für den angegriffenen Rechners zwar eine Zwei-Faktor-Authentisierung für das System der EMA genutzt wurde. Allerdings waren beide Faktoren lokal gespeichert, wodurch die Sicherheitsschranke ausgehebelt werden konnte.
Erweiterte Vorsorgepflichten durch IT-Sicherheitsgesetz 2.0
Aufgrund nicht vorhersehbarer Folgewirkungen von Cyber-Angriffen und der engen Abhängigkeiten in digitalisierten Infrastrukturen sind Datenschutz, Risikomanagement und Informationssicherheit für die pharmazeutische Branche wichtiger denn je. Um die grundlegenden GxP-Anforderungen der Patientensicherheit, Produktqualität und Datenintegrität Rechnung zu tragen, gilt es ein robustes Schutzniveau aufzubauen.
Das deutsche IT-Sicherheitsgesetz (IT-SiG) fordert seit Juli 2015 den Schutz von kritischen Infrastrukturen (siehe §8a BSIG) und verpflichtet auch im Gesundheitssektor KRITIS-Betreiber, alle für die Erbringung kritischer Dienstleistungen (kDL) erforderlichen IT-Systeme nach dem Stand der Technik abzusichern. Was der "Stand der Technik" ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards und Normen von beispielsweise DIN, ISO, DKE oder ISO/IEC oder anhand branchenspezifischer Standards wie den B3S Pharma feststellen. Ende Mai 2021 ist das novellierte IT-Sicherheitsgesetz 2.0 in Deutschland in Kraft getreten. Somit kommen auf KRITIS-Betreiber erweiterte Vorsorgepflichten zu, z.B. durch den Einsatz von Systemen zur Angriffserkennung sowie umfangreichere Meldepflichten bei Sicherheitsvorfällen. Ebenso wird dem Thema Cyber-Sicherheit u. a. in der Lieferkette weiterer Nachdruck verliehen.
KRITIS-Unternehmen müssen regelmäßig nachweisen, dass alle verfügbaren Optionen der Cybersicherheit zum Schutz ihrer Systeme eingesetzt werden. Gemäß der Verordnung BSI-Kritis-V sind KRITIS-Betreiber dazu verpflichtet:
- eine Kontaktstelle zu benennen,
- IT-Störungen umgehend zu melden,
- den "Stand der Technik" gemäß branchenspezifischer Sicherheitsstandards umzusetzen.
Mit dem IT-Sicherheitsgesetz will der Gesetzgeber wirksame Schutzmechanismen für die kritischen Infrastrukturen in Deutschland festschreiben. Ähnliche Regelungen gibt es inzwischen europaweit. Die Einhaltung der im IT-SiG beschriebenen Anforderungen müssen von den KRITIS-Betreibern gegenüber dem BSI im zweijährigen Turnus nachgewiesen werden. Dies geschieht im Rahmen einer Prüfung gemäß § 8a BSI Gesetz (BSIG) durch eine qualifizierte Stelle bzw. eines Prüfdienstleisters wie DEKRA.
Regulatorische Grundlagen
Als Reaktion auf die stetig wachsenden Gefahren hat sich die Etablierung eines unternehmensweiten Informationssicherheitsmanagementsystem (ISMS) bewährt. Ein ISMS ist eine Aufstellung von Verfahren und Regeln innerhalb einer Organisation. Die Verfahren unterstützen, die Anforderungen an die Informationssicherheit fortlaufend zu definieren, zu steuern, zu kontrollieren und zu verbessern. Vor allem gilt es, mit einem ISMS die Entwicklungen der Organisation und der Kundenanforderungen regelmäßig mit externen Einflüssen und Umgebungsfaktoren abzugleichen. Als regulatorische Grundlage sind im deutschsprachigen Raum mit der Norm ISO/IEC 27001 und dem „IT-Grundschutz“ des BSI zwei Standards weit verbreitet, die den Aufbau eines Managementsystems für die Informationssicherheit (ISMS) beschreiben.
Es ist zu erwarten, dass immer mehr auch kleinere Pharmafirmen mit kritischen Dienstleistungen zur Produktion, zum Transport oder Handel von verschreibungspflichtigen Arzneimitteln ein ISMS implementieren. Hierzu können, ähnlich wie in der Automobilindustrie (Beispiel: TISAX-Standards), pharmazeutische Dienstleister (Contract Manufacturing Organisations, CMO) oder auch Anlagenzulieferer von ihrem Auftraggeber verpflichtet werden.
Firmen der Pharmaindustrie, die nicht unter die KRITIS-Gesetzgebung fallen, haben die Möglichkeit auf den branchenspezifischen Sicherheitsstandards wie den B3S Pharma zurückzugreifen, um ein ISMS nach dem Stand der Technik aufzubauen und gegenüber dem BSI nachzuweisen. Ein B3S hilft bei der Umsetzung aktueller sicherheitstechnischer Standards und gibt Rechtssicherheit, was das BSI im jeweiligen Bereich konkret unter dem "Stand der Technik" versteht. Die Umsetzung eines bestehenden B3S ist für Betreiber jedoch nicht verpflichtend. Die Anforderungen gemäß § 8a Absatz 1 BSIG können auch auf eine andere als im B3S beschriebene Weise erfüllt werden.
Quelle: Fachveröffentlichung zum Informationssicherheitsmanagement, in TechnoPharm 12, Nr. 1 34-41 2022, Autoren: Holger Mettler (Exyte Central Europa GmbH), Markus Jans (Dekra Certification GmbH), Danilo Kurpiela, (Dekra Certification GmbH)