Zweites IT-Sicherheitsgesetz

Härtere IT-Gangart für KRITIS-Kliniken

Das Bundeskabinett hat am Mittwoch das IT-Sicherheitsgesetz 2.0 auf den Weg gebracht. Für rund 90 Großkliniken in Deutschland heißt das, dass sie in puncto Cybersecurity weiter aufrüsten müssen.

Von Matthias WallenfelsMatthias Wallenfels Veröffentlicht:
Gehackte IT-Systeme sind kein seltenes Phänomen mehr in der heutigen Zeit. Besonderes Schadenspotenzial liegt vor, wenn das Angriffsziel zu den Kritischen Infrastrukturen wie Kliniken mit mehr als 30000 vollstationären Fällen pro Jahr gehört. Das IT-Sicherheitsgesetz 2.0 sieht hier härtere IT-Anforderungen für diese Unternehmen vor.

Gehackte IT-Systeme sind kein seltenes Phänomen mehr in der heutigen Zeit. Besonderes Schadenspotenzial liegt vor, wenn das Angriffsziel zu den Kritischen Infrastrukturen wie Kliniken mit mehr als 30000 vollstationären Fällen pro Jahr gehört. Das IT-Sicherheitsgesetz 2.0 sieht hier härtere IT-Anforderungen für diese Unternehmen vor.

© James Thew / stock.adobe.com

Berlin. Betreiber Kritischer Infrastrukturen (KRITIS) werden künftig verpflichtet, zur Steigerung ihres Schutzes vor Hackerattacken Systeme zur Angriffserkennung innerhalb ihrer IT-Struktur einzusetzen. Damit müssen die bundesweit rund 90 Kliniken, die mehr als 30.000 vollstationäre Fälle pro Jahr haben, nachrüsten, sofern sie noch nicht über solche Intrusion Detection Systeme (IDS) verfügen. Ab 1. Januar 2022 wären IDS dann Pflicht für die KRITIS-Kliniken.

Die höheren IT-Sicherheitsanforderungen sind in dem am Mittwoch vom Bundeskabinett verabschiedeten Entwurf eines „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0/IT-SiG 2.0 ) verankert, das aus dem Hause von Bundesinnenminister Horst Seehofer (CSU) stammt. „Wir haben in den letzten Jahren viel gegen den Terror getan. Wir müssen genauso viel dafür tun, dass Hacker und Spione nicht die Schaltzentralen unserer Krankenhäuser oder Energieversorger kapern. Mit dem IT-Sicherheitsgesetz 2.0 setzen wir neue Maßstäbe bei der Abwehr von Angriffen im Cyberraum. Das Gesetz ist ein Durchbruch für Deutschlands Cybersicherheit“, so Seehofer mit explizitem Rekurs auf das Gesundheitswesen.

Krankenhausgesellschaft teilt Seehofers Optimismus nicht

Die Deutsche Krankenhausgesellschaft (DKG) findet Seehofers Zeitplan zu ambitioniert. Dabei steht nicht der finanzielle Aufwand für die Investitionen im Fokus - laut Krankenhauszukunftsgesetz fließen den Kliniken für IT-Investitionen bis zu 645 Millionen Euro zu -, sondern der organisatorische Aspekt. „Neben der Einführung von geeigneter Hard- und Software ist auch der Aufbau entsprechender Monitoring-, Detektions-, Analyse-, Alarmierungs- und Reaktionsprozesse notwendig. Diese Aufgaben werden üblicherweise durch Security Operation Center (SOC) wahrgenommen. Hierbei handelt es sich faktisch um den Aufbau von hochspezialisierten Teams, die 24/7 tätig sind.

Für den Bereich des Gesundheitswesens – hier insbesondere die Krankenhäuser – besteht aktuell aufgrund der COVID-19-Pandemie sowie der massiven Digitalisierungsbestrebungen im Kontext der Telematikinfrastruktur, die seitens des BSI gesondert begleitet wird, ein erheblicher Handlungsdruck, der zu einer Überforderung der Krankenhäuser, die als kritische Infrastrukturen gelten, in diesem Bereich führen könnte“, heißt es in einer Stellungnahme der DKG zum IT-SiG 2.0. Zudem seien IDS bis dato kein Gegenstand des branchenspezifischen Sicherheitsstandards B3S. Auch würde eine vierjährige Protokollpflicht für Ereignisdaten die Kliniken überfordern, warnt die DKG.

Weiterhin moniert die DKG in ihrer Stellungnahme, dass mit einzelnen Regelungen bewusst nationale Regelungen ohne europäisches Pendant verfolgt würden. „Dies könnte Wettbewerbsnachteile für den Standort Deutschland nach sich ziehen oder, im ungünstigsten Fall, zu einer nachträglich notwendig werdenden Harmonisierung mit der auf europäischer Ebene maßgeblichen Netzwerk- und Informationssicherheits-Richtlinie (NIS-RL) führen“, so die DKG.

Erweiterter Kreis meldepflichtiger Unternehmen

Die bereits für KRITIS-Betreiber geltenden Meldepflichten gelten künftig auch für Firmen, die von besonderem öffentlichen Interesse sind wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen. „Bei der Festlegung von ‚Unternehmen im besonderen öffentlichen Interesse‘ wird derzeit nicht davon ausgegangen, dass hierunter Krankenhäuser gefasst werden, die nicht ohnehin bereits als kritische Infrastruktur gelten“, so die DKG.

Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), wertet dies als angemessene Reaktion auch auf das Pandemiegeschehen: „Insbesondere im Bereich dieser für Deutschland zentralen Unternehmen wird somit dem sprunghaften Anstieg der Digitalisierung durch Corona sowie den damit entstehenden Gefahren langfristig Rechnung getragen.“

Klinikverbünde unterfallen noch nicht der KRITIS-Verordnung

Keinen Eingang gefunden in das IT-SiG 2.0 hat derweil das BSI-Ansinnen, auch Klinikverbünden verschärfte IT-Sicherheitsvorschriften verbindlich vorzuschreiben. Wie es am Mittwoch auf Nachfrage der „Ärzte Zeitung“ aus dem BSI hieß, sei der Vorstoß noch nicht vom Tisch. Wahrscheinlich sei, dass die Klinikverbünde in einer Novelle der BSI-KRITIS-Verordnung berücksichtigt würden. Dazu müsse aber erst einmal das IT-SiG 2.0 in Kraft getreten sein.

Das BSI erfährt durch das IT SiG 2.0 eine umfassende Kompetenzerweiterung – so wird beispielsweise der digitale Verbraucherschutz dort verankert. Das BSI soll die Marktbeobachtung für IT-Produkte etablieren, sein Service-Center-Angebot für Bürgeranfragen erweitern und ein neues IT-Sicherheitskennzeichen auf den Markt bringen.

„Das IT-Sicherheitskennzeichen soll es Verbrauchern ermöglichen, schnell und auf einen Blick alle wichtigen Informationen über die IT-Sicherheitseigenschaften von Produkten wie Routern oder IoT-Devices zu erhalten“, erläutert Schönbohm.

Des Weiteren soll das BSI künftig Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen detektieren (Port-Scans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots). Das BSI kann zudem Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen bei bestimmten Gefahren für die Informationssicherheit anordnen.

Mehr zum Thema

Teilhabestärkungsgesetz

Auch Reha-Apps sollen in die Erstattung kommen

Tiergestützte Therapie

Pudeldame besucht herzkranke Kinder auf Station

Schlagworte
Kommentare

Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Newsletter bestellen »

Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte, Medizinstudenten, MFA und weitere Personengruppen viele Vorteile.

Die Anmeldung ist mit wenigen Klicks erledigt.

Jetzt anmelden / registrieren »

Top-Meldungen
Lockdown: Die sonst belebte Düsseldorfer Königsallee ist nahezu menschenleer.

Pandemie-Meldewesen

Deutschland im Corona-Blindflug