Die zunehmende Digitalisierung im Gesundheitswesen macht die Einrichtungen angreifbarer für Cyberangriffe. Das zeigte unter anderem die weltweite Attacke durch die Erpressersoftware „Wannacry“, von der unter anderem auch Krankenhäuser betroffen waren. Aufgrund ihrer herausragenden Bedeutung für die medizinische Versorgung der Bevölkerung zählen auch Krankenhäuser zu den kritischen Infrastrukturen (KRITIS). Damit verbunden sind erhöhte Anforderungen an die Sicherheit einiger Häuser.
Nach §8a BSIG müssen Betreiber „Kritischer Infrastrukturen“ ihre für die Versorgung der Bevölkerung kritischen Prozesse nach dem Stand der Technik absichern und das gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen. Welche Krankenhäuser als kritische Infrastruktur’ (KRITIS) eingestuft werden, regelt nach §2 und §10 BSIG die BSI-Kritis-Verordnung (BSI-KritisV).
Laut Gesetzgeber fallen 110 Einrichtungen unter die KRITIS-Regelung, alle mit mehr als 30.000 vollstationären Fällen pro Jahr. „Strittig ist allerdings, wie mit Verbünden und zentralen IT-Abteilungen umgegangen wird“, gibt Nina Vrielink, Geschäftsführerin von CETUS Consulting, zu bedenken. „Wir gehen davon aus, dass diese gesamt gezählt werden, so dass eher mehr Krankenhäuser und Betreiber betroffen sind.“ Die betroffenen Einrichtungen müssen erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, IT-Komponenten und IT-Prozesse, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
KRITIS mit neuer Marke im Blick
„Dafür müssen die KRITIS-Häuser bis Anfang 2018 eine Meldestelle benennen, die jeden Tag 24 Stunden für das BSI erreichbar ist“, erläutert Vrielink. Bis Mitte 2019 muss ein Sicherheitskonzept folgen. IT-Prozesse müssen also professioneller und vor allem standardisiert ablaufen. „Dabei sind Krankenhäuser gut beraten, nicht nur Produkte einzukaufen, sondern ein Sicherheitskonzept mit ganzheitlichem Sicherheitsmanagement zu etablieren“, ist die Geschäftsführerin überzeugt.
Mit der neuen Marke Cert4Health bieten das Sicherheitsberatungsunternehmen eine permanente Systemüberwachung und ein Management kritischer Ereignisse an. „Wir stehen Krankenhäusern als Dienstleister zur Verfügung, der im KRITIS-Umfeld alle Anforderungen des Gesetzgebers kosteneffizient und skalierbar umsetzen kann“, nennt Nina Vrielink das Ziel des neuen Angebotes.
Permanente Überwachung
Um die Überwachung kritischer Systeme zu ermöglichen, stellt Cert4Health in seinem Rechenzentrum einen gesicherten VPN-Zugang sowie eine Konfigurationsdatenbank bereit. Auf diese Weise sollen mittels eines IT-Systems alle kritischen Anwendungen aus der Ferne überwacht werden, damit bei unvorhergesehenen Ereignissen sofort eingegriffen werden und sie gemeldet werden können.