In IT-Sicherheit investieren

Der 2. Teil der Verordnung zu kritischen Infrastrukturen tritt nun in Kraft. Jetzt müssen größere Kliniken und Arzneihändler sowie medizinische Labors und Hersteller von Medizinprodukten in IT-Sicherheit investieren. Wie ist es um letztere in kleineren Organisationen bestellt?

By
Cornelia
Wels-Maug

Für Cyberattacken gerüstet sein

Die Versorgung der Bevölkerung mit Gesundheitsdienstleistungen muss auch in Krisensituationen gewährleistet sein. Aber Krankenhäuser und andere Einrichtungen des Gesundheitswesens sind nur in begrenztem Maße auf Extremsituationen eingestellt und können dadurch Menschenleben gefährden. Die Ransomware Attacken in jüngere Zeit wie WannyCry auf internationaler Ebene, aber auch solche, die auf Krankenhäuser innerhalb Deutschlands abzielen, wie beispielsweise die das Lukaskrankenhaus in Neuss und das Klinikum Arnsberg, die in Folge des Virenbefalls ihre EDV-Systeme herunterfahren mussten, haben das Bedrohungspotenzial eindringlich vor Augen geführt.

Das IT-Sicherheitsgesetz wird ‚körbeweise‘ umgesetzt

Das seit Juli 2015 geltende Gesetz zur Erhöhung der Sicherheit Informationstechnischer Systeme (IT-Sicherheitsgesetz) war ein wichtiger Schritt der Bundesregierung, die IT-Systeme und digitalen Infrastrukturen Deutschlands, insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS), zu verbessern und in ausgewählten Sektoren ein einheitlich hohes IT-Sicherheitsniveau zu etablieren. Denn zuvor waren die Betreiber in der Pflicht, selbst zu bestimmen, ob die von ihnen unterhaltenen Infrastrukturen für die Versorgung der Allgemeinheit als kritisch anzusehen seien. Betreiber kritischer Anlagen sind in den folgenden sieben Industriezweigen angesiedelt: Energie, Informationstechnik & Telekommunikation, Transport & Verkehr, Wasser, Ernährung, Gesundheit sowie Finanz- und Versicherungswesen.

Am 3. Mai 2016 ist der erste Teil der Kritisverordnung (§10 BSI-Gesetz) des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Umsetzung des IT-Sicherheitsgesetzes in Kraft getreten. Die Verordnung erfordert, dass betroffene Unternehmen in den Sektoren des „ersten Korbes“, Energie, Informationstechnik & Telekommunikation, Wasser und Ernährung, ein Mindestniveau an IT-Sicherheit einhalten und erhebliche IT-Störungen an das BSI melden müssen.

Am 31.05.2017 hat die Bundesregierung der vom BSI vorgelegten Änderung der Verordnung zur Bestimmung Kritischer Infrastrukturen zugestimmt. Damit müssen die noch ausstehenden Sektoren des „zweiten Korbes“, Gesundheit, Finanz- und Versicherungswesen sowie Transport & Verkehr, nun auch seit diesem Monat in puncto Sicherheitsvorkehrungen nachziehen.

Die Umsetzung im Gesundheitswesen

Gemäß der jüngsten Verordnung gelten nun unter anderem die folgenden Einrichtungen des Gesundheitswesens1 als Betreiber kritischer Infrastrukturen:

  • Krankenhäuser mit jährlich mindestens 30.000 vollstationären Fällen, was bundesweit auf circa 110 Kliniken zutrifft
  • Hersteller lebenswichtiger Medizinprodukte, beispielsweise zur Beatmung/Tracheostomie, parenteralen Ernährung, enteralen Ernährung, ableitenden Inkontinenz und Diabetes Typ 1 ab einem Jahresumsatz von 90,68 Millionen Euro
  • Arzneimittelhersteller ab einer Jahresproduktion von 4,65 Millionen Packungen
  • Apotheken ab einer jährlichen Abgabe von 4,65 Millionen Packungen
  • Medizinische Laboratorien ab 1,5 Millionen Aufträgen pro Jahr.

Die Einrichtungen sind nun in die Pflicht genommen, dem BSI bei kritischen Sicherheitsvorfällen unverzüglich Meldung zu erstatten und müssen innerhalb zweier Jahre nachweisen, dass sie wirksame Vorkehrungen getroffen haben, Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität der Daten zu verhindern. Zudem müssen sie eine Kontaktstelle für das BSI nennen. Im Gegenzug haben die Betreiber Kritischer Infrastrukturen aber auch besondere Rechte.

Ist die Sicherheit ausreichend?

Nach Bekanntwerden des Kabinettsbeschlusses meldete sich der Marburger Bund (MB), die Interessenvertretung der angestellten und beamteten Ärzteschaft Deutschlands, mit Kritik zu Wort: "Wir halten es für problematisch, dass nur 110 Krankenhäuser mit jeweils mehr als 30.000 Behandlungsfällen pro Jahr als hinreichend bedeutsam für die stationäre medizinische Versorgung eingestuft werden", verlautbarte Rudolf Henke, 1. Vorsitzende des MB, in einer Mitteilung. Der MB dringt auf die Einrichtung eines staatlichen Förderprogramms zur Schaffung einer moderne Krankenhaus-IT in Höhe von 10 Milliarden Euro über die nächsten sechs Jahre.

Das Aussparen der kleineren Organisationen ignoriert die zunehmende Vernetzung von Gesundheitseinrichtungen und setzt auch die falschen Signale, denn alle Mitstreiter im Gesundheitswesen müssen ihre IT-Sicherheit ernst nehmen.

Investitionen in Millionenhöhe

Die Deutsche Krankenhausgesellschaft ließ verlautbaren, dass sie damit rechne, dass die im IT-Sicherheitsgesetz geforderte Anpassung der IT-Sicherheitssysteme, die Audits zum Nachweis der organisatorischen und technischen Vorkehrungen sowie das Betreiben der Kontaktstelle den Kliniken einen Mehraufwand von insgesamt 600 Millionen Euro verursachen werden. Dies entspreche etwa zehn Prozent des gesamten Investitionsmittelbedarfs in Kliniken.

1Siehe www.bmi.bund.de Referentenentwurf

Cornelia Wels-Maug

erforscht seit 21 Jahren den Einsatz von IT in diversen Industriesektoren und hat sich vor fast zehn Jahren auf den Gesundheitsmarkt spezialisiert. Sie verfasst Artikel, Fallstudien und Weißbücher über den weltweiten Markt für IT im Gesundheitswesen undhält Vorträge und Webinare. Gleichzeitig ist sie auch als Analystin für den internationalen Gesundheitsmarkt bei einer englischen Firma tätig.

WannaCry oder warum Sicherheit in der vernetzten Welt ein Umdenken erfordert

Sicherheit ist mehr als ein Kostenfaktor

Wie sicher sind meine medizinischen Daten?

Ergebnisse der neuesten HIMSS-Umfrage zur Sicherheit medizinischer Daten stimmen zuversichtlich

Auch ein D-A-CH-Thema

Ergebnisse einer neuen Cybersecurity Studie liegen nun vor