Ziele und Risiken
Definitionen
- Informationssicherheit: Schutz von Informationen jeglicher Art und Herkunft (schriftlich, mündlich, elektronisch)
- IT-Sicherheit (Teilbereich der Informationssicherheit): Schutz von elektronisch gespeicherten Informationen und deren Verarbeitung
Zentrale Schutzziele
Wir verwenden die Schutzzieldefinitionen des Bundesamt für Sicherheit in der Informationstechnik.
Vertraulichkeit
"Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.“
Verfügbarkeit
„Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.“
Integrität
„Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. […] Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.“
Um Sicherheitsvorfälle zu vermeiden, müssen diese zentralen Schutzziele abgesichert sein. Es handelt sich um einen Sicherheitsvorfall, sobald der Schutz nicht möglich ist oder eines dieser Schutzziele verletzt wurde.
Weitere Schutzziele für kritische Infrastruktur
Es werden die Schutzzieldefinitionen des B3S dem Branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus verwendet.
Authentizität
"Die Authentizität der Informationen ist sichergestellt, wenn sie von der angegebenen Quelle erstellt wurden."
Patientensicherheit
"Die Patientensicherheit als die Freiheit von unvertretbaren Risiken einer physischen Verletzung oder eines Schadens an der Gesundheit von Menschen. Dies schließt auch die Vermeidung einer nachhaltigen psychischen Belastung ein."
Behandlungseffektivität
"Stellt die wirksame Behandlung des Patienten unter Benutzung von Informationen und wirksamen Therapiemaßnahmen, ggf. auf Basis eines Informationsaustausches zwischen unterschiedlichen verantwortlichen Organisationseinheiten, sicher."
Mögliche Bedrohungen für die Sicherheit von Informationen
- Vorsätzliche Handlungen: Hacking, Schadsoftware, Terrorismus, Sabotage, Wirtschaftsspionage, Diebstahl von Rechnern
- Höhere Gewalt: beispielsweise Feuer, Wasser, Sturm oder Erdbeben sorgen für die Zerstörung der Daten oder versperren den Zugang zum Rechenzentrum
- Missglücktes Software-Update: Nach Update funktionieren Anwendungen nicht mehr oder Daten werden unbemerkt verändert)
- Fehlendes Fachpersonal: Anwendungssoftware kann zum Beispiel nur von einer Person bedient werden, aber diese ist krank, wodurch sich der Geschäftsprozess verzögert
- Weitergabe von vertraulichen Informationen: Mitarbeiter könnten unbewusst Informationen an Unbefugte weitergeben
Mögliche Schwachstellen für die Sicherheit von Informationen
- Unzureichender Schutz von Gebäuden, Türen und Fenstern
- Unzureichende Zutrittskontrollen zu Gebäuden und Räumen beziehungsweise Missachtung der Vorkehrungen
- Instabiles Stromnetz
- Offene Verkabelung
- Falsche Zuweisung von Zugriffsrechten
Gefährdung
- entsteht wenn eine Bedrohung und gleichzeitig eine oder mehrere Schwachstellen vorhanden sind