Seit dem 01. Juli 2024 ist der §393 SGB V „Cloud-Einsatz im Gesundheitswesen; Verordnungsermächtigung“ gültig. Hierin beschreibt der Gesetzgeber IT-Sicherheitsanforderungen an Cloud-Computing-Dienste betreffend der Verarbeitung von Sozial- und Gesundheitsdaten. Das kann z. B. Cloud-Anbieter betreffen, deren Kunden Ärzt*innen, Krankenhäuser, Therapeut*innen, Apotheken oder Kranken- und Pflegekassen bzw. Dienstleister, die im Auftrag Sozial- und Gesundheitsdaten prozessieren, sind.

Demnach ist u. a. ein aktuelles C5-Testat der datenverarbeitenden Stelle (§393 SGB V, Abs. 3 Nr. 2) sowie die Umsetzung von korrespondierenden Kriterien für Kunden, die im Prüfbericht des Testats enthalten sind (§393 SGB V, Abs. 3 Nr. 3), erforderlich.

Dabei werden zwei verschiedene Testate unterschieden. Das C5-Typ1-Testat stellt sicher, dass alle Anforderungen der C5-Basiskriterien des BSI angemessen sind, während das C5-Typ-2-Testat zusätzlich die Wirksamkeit umfasst. Ersteres ist nur bis zum 30. Juni 2025 gültig, danach wird grundsätzlich ein C5-Typ2-Testat gefordert (§393 SGB V, Abs. 4).

Erlangung des C5-Testats

Das C5-Testat für einen Cloud-Anbieter wird durch einen entsprechend qualifizierten Wirtschaftsprüfer für einen oder mehrere Cloud-Computing-Dienste in einer vorher spezifizierten Region erteilt. Dieser muss sich, so eine weitere Voraussetzung des BSI, bei der Auditierung und Berichterstattung an den Standard ISAE 3000 (Revised) „Assurance Engagements Other than Audits or Reviews of Historical Financial Information“ halten (vgl. BSI FAQ C5).

Bei der Beurteilung, ob alle Anforderungen der C5-Basiskriterien angemessen bzw. angemessen und wirksam sind, wird ein rückwirkender Zeitraum von maximal zwölf Monaten betrachtet. Auch wenn das C5 keinen festgelegten Gültigkeitszeitraum hat, empfiehlt sich eine mindestens jährliche Prüfung. So wird im Sinne des Kunden sichergestellt, dass sich der Cloud-Anbieter kontinuierlich mit den Risiken seiner Dienstleistung auseinandersetzt und entsprechende Maßnahmen zur Gewährleistung der Informationssicherheit ergreift (vgl. BSI FAQ C5).

Anforderung nach C5 im Vergleich zu einem bereits bestehenden ISMS

Ist bereits ein ISMS nach ISO/IEC 27001 oder BSI IT-Grundschutz implementiert worden, bedeutet das nicht automatisch, dass der Cloud-Anbieter ein C5-Testat erhält. Die Kriterien für den Erhalt eines C5-Testats basieren zwar auf gängigen Standards wie u. a. den Anforderungen an ein ISMS der ISO/IEC 27001, dem Leitfaden zu Informationssicherheitsmaßnahmen der ISO/IEC 27002 oder dem Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud Dienste der ISO/IEC 27017. Es ist jedoch hervorzuheben, dass die C5-Nachweise, die zu erbringen sind, nicht deckungsgleich sind, auch wenn C5 ebenfalls ein Managementsystem fordert (vgl. BSI FAQ C5).

Welche zusätzlichen Anforderungen sind für ein C5 Testat zu erfüllen?

Auf der Seite des BSI sind sowohl die aktuellen Anforderung an das Cloud-Computing als auch zwei Kreuzreferenztabellen, welche die Kriterien aus C5:2020 mit verschiedenen internationalen Standards für Informationssicherheit vergleicht, zu finden. Mit Hilfe dieser kann ein Cloud-Anbieter feststellen, ob inhaltliche Übereinstimmungen zwischen den Kriterien des C5 und seiner bereits umgesetzten Norm bestehen. Wenn ja, kann er basierend auf seiner Risikoanalyse prüfen, ob er bereits ein vergleichbares bzw. höheres Sicherheitsniveau erreicht hat und an welchen Stellen noch Handlungsbedarf besteht.

Fazit

Eine Sichtung des C5-Kriterienkatalogs in Verbindung mit den vom BSI erstellten Kreuzreferenztabellen zeigt, dass das BSI nur an wenigen Stellen ein vergleichbares oder höheres Sicherheitsniveau der referenzierten internationalen Standards feststellt. Auch finden sich viele Kriterien aus dem C5 nicht in den referenzierten internationalen Standards wieder.

Folglich bedeutet eine Umsetzung der C5-Kriterien für einen Cloud-Anbieter in der Tat einen größeren Mehraufwand als die reine Umsetzung z. B. eines ISMS nach ISO/IEC 27001. Dies bedeutet nicht, dass eine Umsetzung der Anforderungen und eine Zertifizierung nach ISO/IEC 27001 nicht sinnvoll ist, denn alle Punkte aus der ISO/IEC 270001 sind im C5 enthalten.

Was aber im Vordergrund zu stehen hat, ist nicht die reine Frage nach dem Mehraufwand, sondern die Risikoabschätzung. Sozial- und insbesondere Gesundheitsdaten sind sehr sensibel und haben einen entsprechend hohen Schutzbedarf. So mussten mehrere englische Krankenhäuser nach einem Ransomware-Angriff auf einen ihrer Labordienstleister Eingriffe und Operationen absagen. Dies kann im schlimmsten Fall schwerwiegende Auswirkungen auf die Unversehrtheit von Leib und Leben haben, womit branchenspezifische Schutzziele wie Patientensicherheit und Behandlungseffektivität nicht mehr aufrechterhalten werden können.

Mit der Überarbeitung des §393 SGB V verfolgt der Gesetzgeber das Ziel, digitale Lösungen zu ermöglichen, um den Behandlungsalltag im Gesundheitswesen zu vereinfachen und gleichzeitig die Ziele der Informationssicherheit zu gewährleisten.