Betreiber Kritischer Infrastrukturen im Gesundheitswesen müssen dem BSI nachweisen, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Am 30. Juni 2019 endete die Übergangsfrist dazu.
Bei vielen, großen Kliniken besteht angesichts wachsender Bedrohungen durch Cyberangriffe dringender Handlungsbedarf. Auch die Digitalisierung von Arbeitsabläufen macht Krankenhäuser und andere Einrichtungen im Gesundheitswesen verwundbarer. Anbieter wie der TÜV Süd unterstützen bei der Umsetzung der Nachweispflicht und nennen die wichtigsten Aspekte, die Nachzügler beachten sollten.
Hackerangriffe sind dabei inzwischen fast an der Tagesordnung. So war kürzlich ein Krankenhausverbund in Rheinland-Pfalz mit zwanzig Einrichtungen zeitgleich betroffen. Nach Einschätzung der Bundesbehörde BSI war dies bundesweit allerdings der erste Fall dieser Größenordnung. Ein Trojaner hatte die Server und Datenbanken verschlüsselt, so dass die Mitarbeiter nicht mehr auf die Systeme zugreifen konnten.
Krankenhäuser riskieren bald Strafen
„Fälle wie dieser führen sehr eindrucksvoll vor Augen, wie abhängig die Patientenversorgung von sicheren IT-Prozessen ist und wie wichtig präventive Maßnahmen zum Schutz sensibler Patientendaten sind. Die gesetzliche Pflicht zum Nachweis der IT-Sicherheit muss sehr ernst genommen werden“, erklärt Jens Linstädt, Product-Compliance-Manager Healthcare bei der TÜV Süd Management Service GmbH. Wegen angespannter Ressourcenlage haben es einige Kliniken noch nicht geschafft, ihrer Nachweispflicht nachzukommen, sie riskieren damit Sanktionen. „Häufig sehen wir auch, dass die gesetzlichen Anforderungen zu einem sehr unterschiedlichen Grad umgesetzt sind“, führt Linstädt aus.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verpflichtet Betreiber Kritischer Infrastrukturen, diese dem Stand der Technik entsprechend abzusichern. Die BSI-KRITIS-Verordnung (BSI-KritisV) beschreibt, welche Anlagenkategorien in den jeweiligen Sektoren als kritisch angesehen werden und fordert von den jeweiligen Betreibern einen Nachweis über den Schutz ihrer Informationstechnik. Spätestens seit 30. Juni 2019, also zwei Jahre nach Inkrafttreten der Verordnung, sind Betreiber in Gesundheit, Transport und Verkehr, Finanz- und Versicherungswesen nach §8a BSIG zum Nachweis verpflichtet, dass ihre IT-Sicherheit auf dem Stand der Technik ist. Für andere KRITIS-Sektoren wie etwa aus der Energie- und Wasserwirtschaft gilt diese Nachweispflicht bereits seit 2018.