§391 SGB V, §393 SGB V, B3S, NIS-2-Umsetzungsgesetz, C5-Testate, Neue IDW-Standards…
Na, dröhnt Ihnen als Unternehmensleitung von Gesundheitseinrichtungen schon der Kopf bei all den Vorgaben, Richtlinien, Gesetzen usw.?
Zwei wichtige Fragen zum Warmup:
- Wissen Sie, dass Sie irgendetwas mit Informationssicherheit machen müssen, aber nicht wie? Sehr gut.
- Sie glauben, dass Informationssicherheit nur ein technischer Aspekt von IT ist und Sie haben davon keine Ahnung? Nicht so gut.
Wir möchten Ihnen in mehreren Folgen nahebringen, wie der Einstieg in das Thema Informationssicherheit gelingt und wie man die ersten Schritte macht, auch wenn man mit der Technik nicht vertraut ist. Die folgenden Beiträge können natürlich keine vollständige Betrachtung bieten, es geht darum, wie man sich dem Thema „Informationssicherheit“ einfach nähern kann.
Fangen wir mit einigen Grundlagen an.
Der Begriff der Informationssicherheit hat, wie das Wort schon anzeigt, etwas mit Informationen zu tun. Das Wort Information umfasst auch, aber eben nicht nur, Systeme zur Verarbeitung digitaler Informationen. Es geht bei der Informationssicherheit um jede Form von Information, die in Ihrem Unternehmenskontext erzeugt oder verarbeitet wird. Dazu gehören Gespräche im Aufzug genauso wie Unterlagen auf den Schreibtischen (und in Schränken) oder Rechte für den Zugriff auf Datenbanken. Informationen sind, besonders im Gesundheitswesen, die wirtschaftliche Grundlage eines Unternehmens.
Sicherheit in dem Kontext bedeutet, dass Informationen
- vertraulich sind, also nur Berechtigten Personen zugänglich gemacht werden,
- authentisch sind und bleiben, Änderungen sind entweder nicht möglich oder jederzeit nachvollziehbar
- verfügbar sind, also vor Verlust und Zerstörung geschützt werden bzw. im Falle einer Störung wiederhergestellt werden können.
Denn Informationen sind besonders im Gesundheitswesen für die qualitativ hochwertige Behandlung Ihrer Patienten elementar.
Und jetzt kommen wir schon zum ersten Schritt – eine kleine Aufgabe für Sie:
„Ich (also Sie) möchte darauf hinwirken, dass Informationen zum Wohle meines Unternehmens und zum Wohle der Patienten, die uns ihr Vertrauen schenken, bestmöglich geschützt werden!“
Wenn Sie sich das vor dem Spiegel glaubhaft selbst sagen können, dann haben Sie den ersten wichtigen Schritt getan!
Wenn Sie das noch nicht gut hinbekommen haben, oder Sie fühlen sich nicht angesprochen, stellen Sie sich vor, die IT in Ihrem Unternehmen wird, sagen wir mal, für zwei Wochen ausgeschaltet. Die Auswirkungen wären sehr gravierend, richtig?
Der nächste, genauso elementare Schritt folgt sofort. Sie formulieren den Schutz aller Informationen für sich und das Unternehmen als Manifest, als sogenannte Informationssicherheitsrichtlinie.
Klingt kompliziert? Keine Sorge – bevor Sie das tun, geben wir Ihnen in der nächsten Folge noch ein paar Einblicke, wie Sie das Ganze organisieren. Sie müssen und sollen das ja nicht alleine machen.
Hier geht’s direkt zu Informationssicherheit Part 2: Die Organisation.
Cyber-Risiko-Check – ein neues Angebot der Oberender AG
Sie wollen schon jetzt wissen, wo Sie in der Informationssicherheit stehen? Super – dann lassen Sie uns zusammen den Cyber-Risiko-Check machen. Mehr Infos dazu gibt’s hier.