Description
Als GÜAS (Gesetzlich Überwachungs- und Anordnungsstelle) ist die gematik nach dem KRITIS-Gesetz verpflichtet, Vorfälle an das BSI zu melden. Gleichzeitig fehlen aktuell noch leicht verständliche und öffentlich zugängliche Informationen über Meldewege, Ansprechpartner und dokumentierte Prozesse für externe Stakeholder wie IT-Dienstleister, Krankenkassen und Apotheken und Dritte. Dies erschwert die schnelle und koordinierte Reaktion auf Sicherheitsvorfälle.
Analyse der IST-Situation und klare Empfehlung zugunsten leicht verständlicher Informationen sowie einfache Meldewege für externe Akteure:
Das gematik CERT fungiert als zentrale Anlaufstelle für IT-Sicherheitsvorfälle in der Telematikinfrastruktur und ist rund um die Uhr erreichbar (Tel.: +49 30 400 415 00, E-Mail: [email protected]). Dennoch sind diese Informationen nicht prominent und leicht zugänglich verfügbar. Eine klare Kommunikationsstrategie könnte dazu beitragen, dass externe Stakeholder in akuten Fällen schneller und gezielt handeln können.
Dabei ist auch zu überlegen ob und inwieweit auch Notfallpläne und Eskalationsketten öffentlich einsehbar sind und wie wir diese (git basisiert) versionieren und optimieren können.
Da eine fragmentierte Dokumentation von Notfallprozessen gerade im KRITIS Bereichen wie der TI für alle Stakeholder gleichermaßen nachteilig ist, wäre es vorteilhaft diese soweit wie möglich öffentlich transparent zu gestalten und zu kommunizieren.
Vorschläge zur Optimierung
- Erweiterung des gematik Fachportals und Optimierung des TI-Status-Bereichs:
-
Ergänzung um eine Incident-Response-Seite die Meldewege und Informationen für CERT-Meldungen bündelt.
-
Einführung eines öffentlichen, anonymisierten Incident-Response-Logs zur Steigerung der Nachvollziehbarkeit und Reduktion von Meldehindernissen. Ein zentrales Incident-Response-Log würde nicht nur die Nachvollziehbarkeit von Vorfällen verbessern, sondern auch eine konsolidierte Datengrundlage für Audits schaffen und die Informationsweitergabe bei Betriebsstörungen, Update-Prozessen und Sicherheitsvorfällen an beteiligte Stakeholder sowie das BSI beschleunigen.
- Veröffentlichung eines Incident-Response-Handbuchs:
-
Bereitstellung einer öffentlich leicht zugänglichen Short-Doku / One-Pager mit dokumentierten Meldewegen, Eskalationsketten und Notfallprotokollen.
-
Die Einführung eines Incident-Response-Handbuchs würde sich an etablierten Standards wie dem Apache Security Reporting orientieren und könnte als Git-Repository umgesetzt werden, um Änderungen nachvollziehbar zu dokumentieren.
-
Es könnte eine noch klarere Differenzierung der Meldewege für IT-Dienstleister, Krankenkassen und Apotheken erfolgen, um die Verantwortlichkeiten bei Sicherheitsvorfällen eindeutig zu definieren.
-
Zusätzlich lohnt es sich an Best Practices wie z.B. dem Apache Software Foundation Security Reporting oder dem NHS Data Security & Protection Centre zu orientieren.
- Etablierung von Transparenz- und Nachverfolgbarkeitsrichtlinien:
-
Einführung eines öffentlichen Dashboards zur Übersicht über gemeldete Vorfälle (anonymisiert, gegliedert nach Schweregrad und Art des Vorfalls).
-
Regelmäßige Audits und Veröffentlichung von TI-Sicherheitsberichten mit Key Insights, Maßnahmen und Lessons Learned.
Ich freue mich über Feedback und Anregungen zu diesen Optimierungsvorschlägen.
Ziel ist es die Incident-Response-Prozesse der gematik zu stärken und zugleich die Sicherheit und Verlässlichkeit der Telematikinfrastruktur für alle Beteiligten zu erhöhen.