Härtere IT-Gangart für KRITIS-Kliniken

Berlin. Betreiber Kritischer Infrastrukturen (KRITIS) werden künftig verpflichtet, zur Steigerung ihres Schutzes vor Hackerattacken Systeme zur Angriffserkennung innerhalb ihrer IT-Struktur einzusetzen. Damit müssen die bundesweit rund 90 Kliniken, die mehr als 30.000 vollstationäre Fälle pro Jahr haben, nachrüsten, sofern sie noch nicht über solche Intrusion Detection Systeme (IDS) verfügen. Ab 1. Januar 2022 wären IDS dann Pflicht für die KRITIS-Kliniken.

Die höheren IT-Sicherheitsanforderungen sind in dem am Mittwoch vom Bundeskabinett verabschiedeten Entwurf eines „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0/IT-SiG 2.0 ) verankert, das aus dem Hause von Bundesinnenminister Horst Seehofer (CSU) stammt. „Wir haben in den letzten Jahren viel gegen den Terror getan. Wir müssen genauso viel dafür tun, dass Hacker und Spione nicht die Schaltzentralen unserer Krankenhäuser oder Energieversorger kapern. Mit dem IT-Sicherheitsgesetz 2.0 setzen wir neue Maßstäbe bei der Abwehr von Angriffen im Cyberraum. Das Gesetz ist ein Durchbruch für Deutschlands Cybersicherheit“, so Seehofer mit explizitem Rekurs auf das Gesundheitswesen.

Krankenhausgesellschaft teilt Seehofers Optimismus nicht

Die Deutsche Krankenhausgesellschaft (DKG) findet Seehofers Zeitplan zu ambitioniert. Dabei steht nicht der finanzielle Aufwand für die Investitionen im Fokus - laut Krankenhauszukunftsgesetz fließen den Kliniken für IT-Investitionen bis zu 645 Millionen Euro zu -, sondern der organisatorische Aspekt. „Neben der Einführung von geeigneter Hard- und Software ist auch der Aufbau entsprechender Monitoring-, Detektions-, Analyse-, Alarmierungs- und Reaktionsprozesse notwendig. Diese Aufgaben werden üblicherweise durch Security Operation Center (SOC) wahrgenommen. Hierbei handelt es sich faktisch um den Aufbau von hochspezialisierten Teams, die 24/7 tätig sind.

Für den Bereich des Gesundheitswesens – hier insbesondere die Krankenhäuser – besteht aktuell aufgrund der COVID-19-Pandemie sowie der massiven Digitalisierungsbestrebungen im Kontext der Telematikinfrastruktur, die seitens des BSI gesondert begleitet wird, ein erheblicher Handlungsdruck, der zu einer Überforderung der Krankenhäuser, die als kritische Infrastrukturen gelten, in diesem Bereich führen könnte“, heißt es in einer Stellungnahme der DKG zum IT-SiG 2.0. Zudem seien IDS bis dato kein Gegenstand des branchenspezifischen Sicherheitsstandards B3S. Auch würde eine vierjährige Protokollpflicht für Ereignisdaten die Kliniken überfordern, warnt die DKG.

Weiterhin moniert die DKG in ihrer Stellungnahme, dass mit einzelnen Regelungen bewusst nationale Regelungen ohne europäisches Pendant verfolgt würden. „Dies könnte Wettbewerbsnachteile für den Standort Deutschland nach sich ziehen oder, im ungünstigsten Fall, zu einer nachträglich notwendig werdenden Harmonisierung mit der auf europäischer Ebene maßgeblichen Netzwerk- und Informationssicherheits-Richtlinie (NIS-RL) führen“, so die DKG.

Erweiterter Kreis meldepflichtiger Unternehmen

Die bereits für KRITIS-Betreiber geltenden Meldepflichten gelten künftig auch für Firmen, die von besonderem öffentlichen Interesse sind wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen. „Bei der Festlegung von ‚Unternehmen im besonderen öffentlichen Interesse‘ wird derzeit nicht davon ausgegangen, dass hierunter Krankenhäuser gefasst werden, die nicht ohnehin bereits als kritische Infrastruktur gelten“, so die DKG.

Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), wertet dies als angemessene Reaktion auch auf das Pandemiegeschehen: „Insbesondere im Bereich dieser für Deutschland zentralen Unternehmen wird somit dem sprunghaften Anstieg der Digitalisierung durch Corona sowie den damit entstehenden Gefahren langfristig Rechnung getragen.“

Klinikverbünde unterfallen noch nicht der KRITIS-Verordnung

Keinen Eingang gefunden in das IT-SiG 2.0 hat derweil das BSI-Ansinnen, auch Klinikverbünden verschärfte IT-Sicherheitsvorschriften verbindlich vorzuschreiben. Wie es am Mittwoch auf Nachfrage der „Ärzte Zeitung“ aus dem BSI hieß, sei der Vorstoß noch nicht vom Tisch. Wahrscheinlich sei, dass die Klinikverbünde in einer Novelle der BSI-KRITIS-Verordnung berücksichtigt würden. Dazu müsse aber erst einmal das IT-SiG 2.0 in Kraft getreten sein.

Das BSI erfährt durch das IT SiG 2.0 eine umfassende Kompetenzerweiterung – so wird beispielsweise der digitale Verbraucherschutz dort verankert. Das BSI soll die Marktbeobachtung für IT-Produkte etablieren, sein Service-Center-Angebot für Bürgeranfragen erweitern und ein neues IT-Sicherheitskennzeichen auf den Markt bringen.

„Das IT-Sicherheitskennzeichen soll es Verbrauchern ermöglichen, schnell und auf einen Blick alle wichtigen Informationen über die IT-Sicherheitseigenschaften von Produkten wie Routern oder IoT-Devices zu erhalten“, erläutert Schönbohm.

Des Weiteren soll das BSI künftig Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen detektieren (Port-Scans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots). Das BSI kann zudem Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen bei bestimmten Gefahren für die Informationssicherheit anordnen.