Michael Sondermann
Master Thesis, Hochschule Wismar, September 2021
Autor: Michael Sondermann
Titel: Evaluation der Skalierbarkeit eines branchenspezifischen IT-Sicherheitsstandards durch ein IT-Grundschutzprofil am Beispiel des B3S "Medizinische Versorgung"
Abstrakt:
Diese Master-Thesis stellt die Möglichkeit der Erfüllung der Anforderungen aus dem B3S „Medizinische Versorgung“ mit Methodik des IT-Grundschutzes in den Mittel- punkt. In einem ersten einführenden Teil wird die Motivation zu der vorliegenden Thesis ausgeführt und wird das Thema historisch kurz betrachtet um über die Zielsetzung und den aktuellen Stand der Forschung eine Abgrenzung vorzunehmen. Im dem Teil der sich mit den erforderlichen fachlichen Grundlagen befasst wird all- gemein umrissen was IT-Sicherheits, Kontinuitäts- und Risikomanagement umfasst, wie sich die gesetzlichen Grundlagen zusammensetzen und werden die Inhalte des B3S und die Methodik de IT-Grundschutzes genauer beschrieben. Der folgenden Teil skizziert die Rahmenbedingungen die für ein Mapping der Anfor- derungen des B3S auf die Bausteine des IT-Grundschutz erfüllt werden müssen. Das Mapping zwischen B3S und IT-Grundschutz erfolgt im Anschluss und wird in den Anlagen detailliert ausgeführt und die Ergebnissen in der Thesis direkt zusam- men geführt. Die Validierung des Mappings erfolgt in Form eine Evaluation anhand eines Krankenhauses der Schwerpunktversorgung unterhalb der Schwellwerte der BSI-KritisV. Die Arbeit schließt mit einer Darstellung und Bewertung des Ergebnisses ab und gibt einen Ausblick auf die mögliche Erstellung eines IT-Grundschutz-Profils.
Abstract:
This Master’s thesis focuses on the possibility of meeting the requirements of the industry-specific safety standard B3S „Medical care“ with methodology of IT”=basic protection. In the first introductory part, the motivation for the present thesis is explained and the topic Historical is briefly considered in order to make a distinction about the objective and the current state of research. In the section dealing with the necessary technical foundations, a general outline is given of what IT-Security, continuity- and risk management comprises, how the legal foundations are structured and the contents of the B3S and the methodology of IT-Grundschutz are described in more detail. The following part outlines the framework conditions that must be met for a mapping of the requirements of the B3S to the building blocks of the IT-Basic Protection. The mapping between B3S and IT-Grundschutz takes place afterwards and is per- formed in detail in the systems and the results are directly merged in the thesis. Validation of the mapping takes place in the form of an evaluation using a hospital of primary care below the thresholds of BSI-KritisV. The work concludes with a presentation and evaluation of the result and gives an outlook on the possible creation of an IT-Grundschutz-Profil.
