Seit dem 01. Juli 2024 ist der §393 SGB V „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ gültig. Hierin beschreibt der Gesetzgeber IT-Sicherheitsanforderungen an Cloud-Computing-Dienste betreffend der Verarbeitung von Sozial- und Gesundheitsdaten. Das kann z. B. Cloud-Anbieter betreffen, deren Kunden Ärzt*innen, Krankenhäuser, Therapeut*innen, Apotheken oder Kranken- und Pflegekassen bzw. Dienstleister, die im Auftrag Sozial- und Gesundheitsdaten prozessieren, sind.
Demnach ist u. a. ein aktuelles C5-Testat der datenverarbeitenden Stelle (§393 SGB V, Abs. 3 Nr. 2) sowie die Umsetzung von korrespondierenden Kriterien für Kunden, die im Prüfbericht des Testats enthalten sind (§393 SGB V, Abs. 3 Nr. 3), erforderlich.
Dabei werden zwei verschiedene Testate unterschieden. Das C5-Typ1-Testat stellt sicher, dass alle Anforderungen der C5-Basiskriterien des BSI angemessen sind, während das C5-Typ-2-Testat zusätzlich die Wirksamkeit umfasst. Ersteres ist nur bis zum 30. Juni 2025 gültig, danach wird grundsätzlich ein C5-Typ2-Testat gefordert (§393 SGB V, Abs. 4).
Erlangung des C5-Testats
Das C5-Testat für einen Cloud-Anbieter wird durch einen entsprechend qualifizierten Wirtschaftsprüfer für einen oder mehrere Cloud-Computing-Dienste in einer vorher spezifizierten Region erteilt. Dieser muss sich, so eine weitere Voraussetzung des BSI, bei der Auditierung und Berichterstattung an den Standard ISAE 3000 (Revised) „Assurance Engagements Other than Audits or Reviews of Historical Financial Information“ halten (vgl. BSI FAQ C5).
Bei der Beurteilung, ob alle Anforderungen der C5-Basiskriterien angemessen bzw. angemessen und wirksam sind, wird ein rückwirkender Zeitraum von maximal zwölf Monaten betrachtet. Auch wenn das C5 keinen festgelegten Gültigkeitszeitraum hat, empfiehlt sich eine mindestens jährliche Prüfung. So wird im Sinne des Kunden sichergestellt, dass sich der Cloud-Anbieter kontinuierlich mit den Risiken seiner Dienstleistung auseinandersetzt und entsprechende Maßnahmen zur Gewährleistung der Informationssicherheit ergreift (vgl. BSI FAQ C5).
Anforderung nach C5 im Vergleich zu einem bereits bestehenden ISMS
Ist bereits ein ISMS nach ISO/IEC 27001 oder BSI IT-Grundschutz implementiert worden, bedeutet das nicht automatisch, dass der Cloud-Anbieter ein C5-Testat erhält. Die Kriterien für den Erhalt eines C5-Testats basieren zwar auf gängigen Standards wie u. a. den Anforderungen an ein ISMS der ISO/IEC 27001, dem Leitfaden zu Informationssicherheitsmaßnahmen der ISO/IEC 27002 oder dem Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud Dienste der ISO/IEC 27017. Es ist jedoch hervorzuheben, dass die C5-Nachweise, die zu erbringen sind, nicht deckungsgleich sind, auch wenn C5 ebenfalls ein Managementsystem fordert (vgl. BSI FAQ C5).
Welche zusätzlichen Anforderungen sind für ein C5 Testat zu erfüllen?
Auf der Seite des BSI sind sowohl die aktuellen Anforderung an das Cloud-Computing als auch zwei Kreuzreferenztabellen, welche die Kriterien aus C5:2020 mit verschiedenen internationalen Standards für Informationssicherheit vergleicht, zu finden. Mit Hilfe dieser kann ein Cloud-Anbieter feststellen, ob inhaltliche Übereinstimmungen zwischen den Kriterien des C5 und seiner bereits umgesetzten Norm bestehen. Wenn ja, kann er basierend auf seiner Risikoanalyse prüfen, ob er bereits ein vergleichbares bzw. höheres Sicherheitsniveau erreicht hat und an welchen Stellen noch Handlungsbedarf besteht.
Fazit
Eine Sichtung des C5-Kriterienkatalogs in Verbindung mit den vom BSI erstellten Kreuzreferenztabellen zeigt, dass das BSI nur an wenigen Stellen ein vergleichbares oder höheres Sicherheitsniveau der referenzierten internationalen Standards feststellt. Auch finden sich viele Kriterien aus dem C5 nicht in den referenzierten internationalen Standards wieder.
Folglich bedeutet eine Umsetzung der C5-Kriterien für einen Cloud-Anbieter in der Tat einen größeren Mehraufwand als die reine Umsetzung z. B. eines ISMS nach ISO/IEC 27001. Dies bedeutet nicht, dass eine Umsetzung der Anforderungen und eine Zertifizierung nach ISO/IEC 27001 nicht sinnvoll ist, denn alle Punkte aus der ISO/IEC 270001 sind im C5 enthalten.
Was aber im Vordergrund zu stehen hat, ist nicht die reine Frage nach dem Mehraufwand, sondern die Risikoabschätzung. Sozial- und insbesondere Gesundheitsdaten sind sehr sensibel und haben einen entsprechend hohen Schutzbedarf. So mussten mehrere englische Krankenhäuser nach einem Ransomware-Angriff auf einen ihrer Labordienstleister Eingriffe und Operationen absagen. Dies kann im schlimmsten Fall schwerwiegende Auswirkungen auf die Unversehrtheit von Leib und Leben haben, womit branchenspezifische Schutzziele wie Patientensicherheit und Behandlungseffektivität nicht mehr aufrechterhalten werden können.
Mit der Überarbeitung des §393 SGB V verfolgt der Gesetzgeber das Ziel, digitale Lösungen zu ermöglichen, um den Behandlungsalltag im Gesundheitswesen zu vereinfachen und gleichzeitig die Ziele der Informationssicherheit zu gewährleisten.
Anonymous
21. November 2024 @ 15:10
Braucht auch die Praxis/Klinik ein C5-Testat, wenn sie SaaS-Lösungen für ihre Patienten anbietet? In Abs. 3 Satz 2 SGB V § 393 steht geschrieben: „ein aktuelles C5-Testat der datenverarbeitenden Stelle“ – Nach der DSGVO ist auch im Rahmen einer Auftragsverarbeitung die Praxis die Datenverarbeitende Stelle.
Pia Lämmerhirt
26. November 2024 @ 11:29
Ich sehe das folgendermaßen: Praxen und Kliniken bieten in der Regel kein SaaS für ihre Patienten an, sondern nutzen SaaS, um ihre Patienten zu verwalten. Hat die Praxis/Klinik in diesem Fall die SaaS-Lösung für diesen Zweck eingekauft und einsetzt, wäre sie Kunde eines Cloud-Anbieters, der SaaS Lösungen anbietet. Dann muss sie korrespondierende Kriterien nach §393 SGB V, Absatz 3 Nr. 3 umsetzen. Somit ist die Praxis/Klinik zwar eine datenverarbeitende Stelle, aber kein Cloud-Computing-Dienst, der C5 testierbar ist.
Anonymous
14. November 2024 @ 15:26
Muss ein SaaS-Anbieter sich selbst auch nach C5 zertifizieren lassen, oder reicht es aus, der der Cloud Hosting Anbieter zertifiziert ist?
Pia Lämmerhirt
19. November 2024 @ 11:40
Meiner Auffassung nach musss auch für den SaaS-Anbieter selbst ein C5-Testat vorliegen. §393 SGB V, Abs. 3 Nr. 2 fordert das Vorliegen eines aktuellen C5-Testats für die im Rahmen des Cloud-Computing-Dienstes einsetzten Cloud-Systeme und die eingesetzte Technik. Im BSI C5 wird der Begriff des Cloud-Dienstes wie folgt definiert: „Im Rahmen von Cloud Computing angebotenen Dienstleistung der Informationstechnik. Dies beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.“ (C5:20202, S.12).
Das C5-Testat und die damit zu erfüllenden Kriterien eines Cloud-Hosting-Anbieters deckt sich meiner Meinung nach nicht mit den Kriterien, die ein SaaS-Anbieter für ein C5-Testat zu erfüllen hätte. Themen wie z.B. die Organisation der Informationssicherheit, Sicherheitsrichtlinien und Arbeitsanweisungen oder die Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV) sind schon aufgrund der Unterschiedlichkeit zweier Unternehmen anders zu beschreiben und können nicht eins zu eins übernommen werden.
Anonymous
7. Dezember 2024 @ 8:36
Wie schaut es dann mit Webseiten aus, die Arznei und Hilfsmittel auch per Rezept verkaufen. Muss diese Website, die ihren Service in der Cloud anbietet, dann ebenfalls zertifiziert sein?
Pia Lämmerhirt
10. Dezember 2024 @ 10:53
Wenn davon ausgegangen wird, dass die Website inklusive Backend in der Cloud liegen, dann muss der Cloud-Computing Dienst C5-testiert sein. Der Betreiber der Website, z.B. eine Online Apotheke, wäre der Leistungserbringen nach dem Vierten Sozialgesetzbuch entsprechend §393 SGB V, Abs. 1 und der Cloud-Computing Dienst, der die Website hostet, wäre m.E. der jeweilige Auftragsdatenverarbeiter für den §393 SGB V, Abs. 3 Nr. 2 die Erfordernis eines C5-Testats gilt.