B3S – der Sicherheitsstandard für Krankenhäuser

Für die Verbesserung der IT-Sicherheit in Krankenhäusern wurde der branchenspezifische Sicherheitsstandard B3S von der deutschen Krankenhausgesellschaft entwickelt. Mit zahlreichen Anforderungen an technische und organisatorische Maßnahmen im Anforderungskatalog trägt er der zunehmenden Digitalisierung und den Anforderungen an Informationssicherheit Rechnung. 

Freiwillige Anwendung des B3S

Ob Sie sich zur Wahrung der IT-Sicherheit am B3S, oder der ISO 27001 orientieren bleibt Ihnen überlassen. Die Anwendung ist freiwillig. Ziel ist eine geeignete Prüfgrundlage zum Nachweis der Umsetzung der nötigen Maßnahmen. Beide Standards schaffen die dafür nötigen Voraussetzungen.

Betroffene Krankenhäuser müssen derzeit noch keinen Nachweis nach § 75c SGB V gegenüber dem zuständigen Bundesamt für Sicherheit in der Informationstechnik (BSI) erbringen. Allerdings geht die Empfehlung ganz klar in Richtung Umsetzung des B3S Branchenstandards für die medizinische Versorgung (im Krankenhaus).

Das Ziel ist vor allem die Sicherstellung und Aufrechterhaltung von Versorgungsleistungen und den dazugehörigen Geschäftsprozessen. Der Sicherheitsstandard dient demnach auch als Orientierungshilfe. Die Umsetzung der Maßnahmen erfordert Fachwissen und Erfahrung in der Informationssicherheit und dem Informationssicherheitsmanagement. Sind diese Kenntnisse nicht in ausreichendem Maß vorhanden, sollten Sie die Inanspruchnahme qualifizierter Unterstützung in Erwägung ziehen, ohne unnötig Ressourcen verbraucht werden.

Grundlage und Inhalt des B3S

Die Grundlage für den B3S bildet dabei ein Informationssicherheits-Managementssystem (ISMS) nach ISO 27001. 

Der B3S beinhaltet insgesamt 168 Maßnahmen um eine resistente Informationstechnik und auch die medizinische Versorgung, sowie Gesundheit der Patienten sicherzustellen. Dabei werden neben dem

  • Schutz der IT-Infrastruktur auch die
  • Patientensicherheit und die
  • Effektivität der Behandlung

als wesentliche Aspekte angenommen.

Unterteilt sind die Maßnahmen in Muss-, Soll- und Kann-Anforderungen. 

Im Mittelpunkt stehen die vier Schutzziele der Informationssicherheit: Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit. Dazu kommen gerade im Bereich der Krankenhäuser noch die Patientensicherheit und die Behandlungseffektivität.

Informationssicherheitsmanagement

Damit Sie die gesetzlichen Vorgaben erfüllen, führen Sie sichere Prozesse ein und passen diese immer wieder aufs neue dem Stand der Technik, bzw. neueren Anforderungen an. Mit einem ISMS setzen Sie die Anforderungen aus dem PDSG um. 

Der zentrale Punkt des B3S ist der Aufbau und die Einführung eines Informationssicherheits-Managementsystems nach ISO/IEC 27001 und ISO 27799.