Zweites IT-Sicherheitsgesetz

Härtere IT-Gangart für KRITIS-Kliniken

Das Bundeskabinett hat am Mittwoch das IT-Sicherheitsgesetz 2.0 auf den Weg gebracht. Für rund 90 Großkliniken in Deutschland heißt das, dass sie in puncto Cybersecurity weiter aufrüsten müssen.

Matthias WallenfelsVon Matthias Wallenfels Veröffentlicht:
Gehackte IT-Systeme sind kein seltenes Phänomen mehr in der heutigen Zeit. Besonderes Schadenspotenzial liegt vor, wenn das Angriffsziel zu den Kritischen Infrastrukturen wie Kliniken mit mehr als 30000 vollstationären Fällen pro Jahr gehört. Das IT-Sicherheitsgesetz 2.0 sieht hier härtere IT-Anforderungen für diese Unternehmen vor.

Gehackte IT-Systeme sind kein seltenes Phänomen mehr in der heutigen Zeit. Besonderes Schadenspotenzial liegt vor, wenn das Angriffsziel zu den Kritischen Infrastrukturen wie Kliniken mit mehr als 30000 vollstationären Fällen pro Jahr gehört. Das IT-Sicherheitsgesetz 2.0 sieht hier härtere IT-Anforderungen für diese Unternehmen vor.

© James Thew / stock.adobe.com

Berlin. Betreiber Kritischer Infrastrukturen (KRITIS) werden künftig verpflichtet, zur Steigerung ihres Schutzes vor Hackerattacken Systeme zur Angriffserkennung innerhalb ihrer IT-Struktur einzusetzen. Damit müssen die bundesweit rund 90 Kliniken, die mehr als 30.000 vollstationäre Fälle pro Jahr haben, nachrüsten, sofern sie noch nicht über solche Intrusion Detection Systeme (IDS) verfügen. Ab 1. Januar 2022 wären IDS dann Pflicht für die KRITIS-Kliniken.

Die höheren IT-Sicherheitsanforderungen sind in dem am Mittwoch vom Bundeskabinett verabschiedeten Entwurf eines „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0/IT-SiG 2.0 ) verankert, das aus dem Hause von Bundesinnenminister Horst Seehofer (CSU) stammt. „Wir haben in den letzten Jahren viel gegen den Terror getan. Wir müssen genauso viel dafür tun, dass Hacker und Spione nicht die Schaltzentralen unserer Krankenhäuser oder Energieversorger kapern. Mit dem IT-Sicherheitsgesetz 2.0 setzen wir neue Maßstäbe bei der Abwehr von Angriffen im Cyberraum. Das Gesetz ist ein Durchbruch für Deutschlands Cybersicherheit“, so Seehofer mit explizitem Rekurs auf das Gesundheitswesen.

Krankenhausgesellschaft teilt Seehofers Optimismus nicht

Die Deutsche Krankenhausgesellschaft (DKG) findet Seehofers Zeitplan zu ambitioniert. Dabei steht nicht der finanzielle Aufwand für die Investitionen im Fokus - laut Krankenhauszukunftsgesetz fließen den Kliniken für IT-Investitionen bis zu 645 Millionen Euro zu -, sondern der organisatorische Aspekt. „Neben der Einführung von geeigneter Hard- und Software ist auch der Aufbau entsprechender Monitoring-, Detektions-, Analyse-, Alarmierungs- und Reaktionsprozesse notwendig. Diese Aufgaben werden üblicherweise durch Security Operation Center (SOC) wahrgenommen. Hierbei handelt es sich faktisch um den Aufbau von hochspezialisierten Teams, die 24/7 tätig sind.

Für den Bereich des Gesundheitswesens – hier insbesondere die Krankenhäuser – besteht aktuell aufgrund der COVID-19-Pandemie sowie der massiven Digitalisierungsbestrebungen im Kontext der Telematikinfrastruktur, die seitens des BSI gesondert begleitet wird, ein erheblicher Handlungsdruck, der zu einer Überforderung der Krankenhäuser, die als kritische Infrastrukturen gelten, in diesem Bereich führen könnte“, heißt es in einer Stellungnahme der DKG zum IT-SiG 2.0. Zudem seien IDS bis dato kein Gegenstand des branchenspezifischen Sicherheitsstandards B3S. Auch würde eine vierjährige Protokollpflicht für Ereignisdaten die Kliniken überfordern, warnt die DKG.

Weiterhin moniert die DKG in ihrer Stellungnahme, dass mit einzelnen Regelungen bewusst nationale Regelungen ohne europäisches Pendant verfolgt würden. „Dies könnte Wettbewerbsnachteile für den Standort Deutschland nach sich ziehen oder, im ungünstigsten Fall, zu einer nachträglich notwendig werdenden Harmonisierung mit der auf europäischer Ebene maßgeblichen Netzwerk- und Informationssicherheits-Richtlinie (NIS-RL) führen“, so die DKG.

Erweiterter Kreis meldepflichtiger Unternehmen

Die bereits für KRITIS-Betreiber geltenden Meldepflichten gelten künftig auch für Firmen, die von besonderem öffentlichen Interesse sind wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen. „Bei der Festlegung von ‚Unternehmen im besonderen öffentlichen Interesse‘ wird derzeit nicht davon ausgegangen, dass hierunter Krankenhäuser gefasst werden, die nicht ohnehin bereits als kritische Infrastruktur gelten“, so die DKG.

Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), wertet dies als angemessene Reaktion auch auf das Pandemiegeschehen: „Insbesondere im Bereich dieser für Deutschland zentralen Unternehmen wird somit dem sprunghaften Anstieg der Digitalisierung durch Corona sowie den damit entstehenden Gefahren langfristig Rechnung getragen.“

Klinikverbünde unterfallen noch nicht der KRITIS-Verordnung

Keinen Eingang gefunden in das IT-SiG 2.0 hat derweil das BSI-Ansinnen, auch Klinikverbünden verschärfte IT-Sicherheitsvorschriften verbindlich vorzuschreiben. Wie es am Mittwoch auf Nachfrage der „Ärzte Zeitung“ aus dem BSI hieß, sei der Vorstoß noch nicht vom Tisch. Wahrscheinlich sei, dass die Klinikverbünde in einer Novelle der BSI-KRITIS-Verordnung berücksichtigt würden. Dazu müsse aber erst einmal das IT-SiG 2.0 in Kraft getreten sein.

Das BSI erfährt durch das IT SiG 2.0 eine umfassende Kompetenzerweiterung – so wird beispielsweise der digitale Verbraucherschutz dort verankert. Das BSI soll die Marktbeobachtung für IT-Produkte etablieren, sein Service-Center-Angebot für Bürgeranfragen erweitern und ein neues IT-Sicherheitskennzeichen auf den Markt bringen.

„Das IT-Sicherheitskennzeichen soll es Verbrauchern ermöglichen, schnell und auf einen Blick alle wichtigen Informationen über die IT-Sicherheitseigenschaften von Produkten wie Routern oder IoT-Devices zu erhalten“, erläutert Schönbohm.

Des Weiteren soll das BSI künftig Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen detektieren (Port-Scans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots). Das BSI kann zudem Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen bei bestimmten Gefahren für die Informationssicherheit anordnen.

Schlagworte:
Ihr Newsletter zum Thema
Mehr zum Thema

62 Kassen im Beitragssatz-Check

Höhere Zusatzbeiträge: So teuer wird Ihre Krankenkasse 2025

Das könnte Sie auch interessieren
Ein Roboter, der Akten wälzt? Künstliche Intelligenz kann bereits mit Leitlinien umgehen – jedenfalls wenn sie so gut strukturiert sind wie die der DEGAM.

© Iaroslav / stock.adobe.com

Digitalisierung in der Medizin

Kollegin Dr. ChatGPT? Wie Künstliche Intelligenz Ärzten helfen könnte

Digital und innovativ: Klinikum Siegen überzeugt von Fluency Direct

© Solventum Germany GmbH

Solventum Spracherkennung

Digital und innovativ: Klinikum Siegen überzeugt von Fluency Direct

Anzeige | 3M Healthcare Germany GmbH
Innovationsforum für privatärztliche Medizin

© Tag der privatmedizin

Tag der Privatmedizin 2024

Innovationsforum für privatärztliche Medizin

Kooperation | In Kooperation mit: Tag der Privatmedizin
Eine Sanduhr, durch die Geldstücke fall

© fotomek / stock.adobe.com

Tag der Privatmedizin 2024

Outsourcing: Mehr Zeit für Patienten!

Kooperation | In Kooperation mit: Tag der Privatmedizin
Buch mit sieben Siegeln oder edles Werk? KI-Idee einer in Leder eingebundenen neuen Gebührenordnung für Ärzte (GOÄ)

© KI-generiert mit ChatGPT 4o

Exklusiv Entwurf unter der Lupe

Das brächte Ihnen die neue GOÄ

Kommentare
Sonderberichte zum Thema
In der Klinik Königshof in Krefeld werden Menschen mit psychischen Erkrankungen behandelt. Die digitale Terminvergabe über Doctolib senkt eine Hemmschwelle: Es fällt leichter, mit wenigen Klicks einen Termin zu buchen, als im direkten Gespräch am Telefon.

© St. Augustinus Gruppe

Unternehmensstrategie für Krankenhäuser

Patientenportal stärkt die Reichweite der Klinik

Sonderbericht | Mit freundlicher Unterstützung von: Doctolib GmbH
Patientenportale: Greifbarer Mehrwert für Klinik und Patienten

© MQ-Illustrations / stock.adobe.com

Digitalisierung von Krankenhäusern

Patientenportale: Greifbarer Mehrwert für Klinik und Patienten

Sonderbericht | Mit freundlicher Unterstützung von: Doctolib GmbH
Susanne Dubuisson, Product Leader in Health Tech beim E-Health-Unternehmen Doctolib.

© Calado - stock.adobe.com

Tools zur Mitarbeiterentlastung

Online-Termine gegen den Fachkräftemangel

Sonderbericht | Mit freundlicher Unterstützung von: Doctolib GmbH
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Haben Sie schon unsere Newsletter abonniert?

Von Diabetologie bis E-Health: Unsere praxisrelevanten Themen-Newsletter.

Das war der Tag: Der tägliche Nachrichtenüberblick mit den neuesten Infos aus Gesundheitspolitik, Medizin, Beruf und Praxis-/Klinikalltag.

Eil-Meldungen: Erhalten Sie die wichtigsten Nachrichten direkt zugestellt!

Newsletter bestellen »

Top-Meldungen

Praxisabgabe mit Hindernissen

Warum Kollege Gieseking nicht zum Ruhestand kommt

Lesetipps
Krankenkassen haben zum Jahreswechsel schlechte Botschaften für ihre Mitglieder: die Zusatzbeiträge steigen stark. Die Kritik an versäumten Reformen der Ampel-Koalition ist einhellig.

© Comugnero Silvana / stock.adobe.com

Update

62 Kassen im Beitragssatz-Check

Höhere Zusatzbeiträge: So teuer wird Ihre Krankenkasse 2025