Diese Website verwendet Cookies. Betätigen Sie den Button "Zustimmen", um den Einsatz von Cookies zu akzeptieren. Mehr über unsere Datenschutzrichtlinien erfahren Sie hier.
Zustimmen

Brauchen KRITIS relevante Krankenhäuser georedundante Rechenzentren?

Dienstag, 23.07.2019

Wie bekannt, mussten zum 30.06.2019 alle Betreiber kritischer Infrastrukturen gem. § 8a Abs. 3 BSIG die vom BSI geforderten Prüfnachweisdokumente abgeben. Im Rahmen der für unsere Kunden durchgeführten Prüfungen war hierbei immer wieder die Frage der Notwendigkeit einer Georedundanz für die Rechenzentren (RZ) aufgekommen. Im Folgenden sollen daher einige wesentliche Fragen dazu beantwortet werden.

Besteht mit der KRITIS Relevanz automatisch die Notwendigkeit für georedundante RZ-Standorte?

Nein, nicht automatisch weil man KRITIS relevant ist, sondern aufgrund des Ergebnisses der Risikoanalyse. Als KRITIS Betreiber ist eine Risikoanalyse zwingend gefordert. Aus dieser ergeben sich dann die Schutzbedarfe und die erforderlichen Maßnahmen. Basis ist also die Risikoanalyse, nicht die KRITIS Relevanz. Wird demnach als Ergebnis der Risikoanalyse festgestellt, dass die Verfügbarkeitsanforderungen an das Rechenzentrum mit den Sicherheitsmaßnahmen nicht eingehalten werden kann, ist ein georedundanter Standort erforderlich.

Bezieht sich die Georedundanzforderung auf alle IT Systeme?

Nein, aber auf alle zum Systemverbund der als hochverfügbar eingestuften Systeme gehörenden Komponenten, wie z.B. Netzwerk oder Datenbank-Systeme und natürlich auch die Verfügbarkeit der RZ Infrastruktur, in denen die Systeme installiert sind. Diese muss mindestens so hoch sein wie die höchste Verfügbarkeitsanforderung innerhalb des Systemverbunds.

Für welche Verfügbarkeitsanforderungen wird eine Georedundanz gefordert?

Laut BSI wird ein georedundantes RZ als Maßnahme gefordert, wenn der resultierende Schutzbedarf der RZ Infrastruktur eine Verfügbarkeit von 99,99% oder höher erfordert. Dabei wird zwischen Verfügbarkeitskategorie 3 (VK3) mit 99,99 % (entspricht 52 min Ausfallzeit pro Jahr) und VK 4 mit 99,999% (entspricht 5,2 Min. Ausfallzeit pro Jahr) unterschieden.

Was ist, wenn eine Georedundanz erforderlich, aber noch nicht umgesetzt ist?

Laut BSI genügt es für das Prüfjahr 2019 zunächst noch, wenn die Georedundanz in der Umsetzungsplanung berücksichtigt wurde.

Für das Prüfjahr 2020 wird jedoch erwartet, dass Georedundanz bereits umgesetzt ist oder sich nachvollziehbar in Umsetzung befindet. Hier sollten auf jeden Fall ausgearbeitete Pläne und erste Umsetzungsschritte vorliegen.

Welche Anforderungen an georedundante RZ-Standorte gibt es?

Hierzu hat das BSI ein Dokument „Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren“ veröffentlicht. Darin werden die aktuellen Kriterien für die Auswahl georedundanter Rechenzentren publiziert. Diese Kriterien sind eine Empfehlung. Jedoch besteht beim BSI für Betreiber regulierter kritischer Infrastrukturen, die sich somit im Aufsichtsbereich des BSI befinden, eine hohe Erwartung, dass diese berücksichtigt werden.

Hier die wesentlichen Kriterien für RZ Standorte der Verfügbarkeitskategorie 3 (VK3) im Überblick:

  • Abstand zwischen georedundanten RZs
    200 km – mindestens jedoch 100 km (bei weniger als 200 km ist eine explizite Begründung erforderlich).
  • Berücksichtigung von Naturgewalten:
    • Hochwasser
      2 m über höchstem Hochwasserstand seit 1960
    • Erdbeben
      Erdbebenzone 0 oder 1, bei Erdbebenzone 1 mit zusätzlicher baulicher Ertüchtigung
    • Wind
      Das Gebäude muss ausgelegt sein für eine Windstärkestufe, die um eine höher ist als die höchste bislang am Ort bekannt gewordene.
    • Energieversorgung
      Nur eines der sich Georedundanz gebenden RZs darf sich innerhalb eines Netzsegmentes der obersten Netzebene (380 kV-Netz) befinden.

Weitere Fragen zur Georedundanz oder zur Risikoanalyse?

Vielleicht fragen Sie sich jetzt, wie Sie eine Risikoanalyse erstellen können, ob Georedundanz für Sie relevant oder wie diese umzusetzen ist. Gerne unterstützen wir Sie hierbei mit unserem Expertenteam und den in der Praxis erprobten Werkzeugen, Checklisten und Dokumentvorlagen.

Dabei profitieren Sie von unserer Erfahrung aus zahlreichen Projekten und dem umfassenden technischen sowie branchenspezifischen Praxis-Know-how. Vereinbaren Sie einfach einen unverbindlichen Termin.

Management-Letter

Wenn Sie weiterhin regelmäßig über aktuelle, fundierte IT-Security & Management Themen informiert werden wollen, melden Sie sich jetzt über diesen Link zu unserem Management-Letter an.

Nutzen Sie die folgenden Vorteile:

  • Bleiben Sie auf dem neuesten Stand durch aktuell wichtige Themen für Fach- und Führungskräfte
  • Sparen Sie Zeit durch komprimierte, praxisorientierte Berichte
  • Vertrauen Sie auf seriöses Branchenwissen kombiniert mit fundiertem Experten-Knowhow aus der Informationssicherheit

Ähnliche Artikel:

5 Tipps zur erfolgreichen ISO 27001 (Re)Zertifizierung

Gegenüberstellung: ISMS nach ISO 27001 oder IT-Grundschutz (BSI) umsetzen?

26 Vorteile durch die Einführung eines ISMS: Risikominimierung, Kostensenkung, Transparenz der Geschäftsprozesse

Autor
Dieter Maul-Burton
IT-Security
IT-Sicherheitsgesetz 2.0 – Weitere drastische Auflagen in der KRITIS-Verordnung geplant
Penetrationstest: Sind Ihre Netzwerke und IT-Systeme gegen einen Angreifer abgesichert?
5 Tipps zur erfolgreichen ISO 27001 (Re)Zertifizierung
Gegenüberstellung: ISMS nach ISO 27001 oder IT-Grundschutz (BSI) umsetzen?
ISO 27001 Rezertifizierung erfolgreich absolviert
26 Vorteile durch die Einführung eines ISMS: Risikominimierung, Kostensenkung, Transparenz der Geschäftsprozesse
2. Informationstag für das Gesundheitswesen: 27.03.2019 – Darmstadt
BSI-KRITIS-Verordnung: Weitere Krankenhäuser erreichen Schwellenwert
Informationssicherheit im Krankenhaus: Welche Vorteile hat die Einführung eines ISMS?
Informationstag für das Gesundheitswesen: 21.11.2018 - Darmstadt
Die EU-DSGVO ist in Kraft getreten - was sind die nächsten wichtigen Schritte?
Überwachungsaudit bestätigt das ISMS der Adiccon
Der Countdown läuft – in einem Monat gilt die EU-DSGVO
KRITIS-Projekte in Krankenhäusern: Die Zeit wird knapp!
Umsetzung des IT‑Sicherheitsgesetzes in Kliniken – wie die Pflicht zur Kür wird
IT-Sicherheit in Kliniken: Ist das IT-Sicherheitsgesetz nur für „Kritische Infrastrukturen“ relevant?
Klinik-Organisation: Standardisiertes Entlassmanagement strukturiert einführen
Klinik Telekommunikation: ISDN verschwindet – was bedeutet das für Kliniken?
Klinik-IT: Erweiterung des KIS – Stagnation durch Personalmangel?
IT-Sicherheit in Kliniken: Ganzheitliches IT-Risikomanagement als Grundlage für einen umfassenden Schutz
IT Security Risikoanalyse vermeidet Kosten
IT-Sicherheit in Kliniken – Sicherheitslücken schließen, Disziplin der Mitarbeiter einfordern und Dokumentation optimieren
Herausforderung IT-Sicherheit in Kliniken: Technische Abwehrmaßnahmen stärken und Mitarbeiter sensibilisieren
FORMULARDESIGN im Krankenhaus-Informationssystem: Erlössteigerung durch vollständige Dokumentation der Leistungen
Informationssicherheit als kritischer Faktor – „IT-Security Check“ für Krankenhäuser und Klinikgruppen
Sichere Mails für unterwegs
Wenn Beratung ganz konkret wird – Software-Nutzung im Klinikalltag optimieren
„Infrastructural Mobility Check IMC“ – Neues Beratungsmodul für Klinikgruppen
Adiccon führt intensive Gespräche mit Klinikgruppen