Kritis im Gesundheitswesen

Das IT-Sicherheitsgesetz nimmt zukünftig auch medizinische Versorger wie Krankenhäuser, Labore oder Pharma-Unternehmen in die Pflicht. Als "Kritische Infrastrukturen“ - oder KRITIS - werden sie besondere Anforderungen erfüllen müssen, um die IT-Systeme auch in Ausnahmesituationen funktionstüchtig zu halten.

Herr Klagge, worauf müssen sich diese Unternehmen konkret einstellen?
Im Gegensatz zum Energiesektor etwa steht aktuell noch nicht fest, welche Kriterien genau im Gesundheitssektor zur Anwendung kommen. Die zuständigen Stellen im Torben KlaggeBundesinnenministerium werden eine Entscheidung darüber, welche Einrichtungen konkret betroffen sind und welche Security-Standards erfüllt werden müssen, voraussichtlich erst im Frühjahr 2017 treffen und veröffentlichen. Diese Regelungen müssen Gesundheitseinrichtungen dann bis spätestens 2019 umsetzen. Das bedeutet aktuell eine gewisse Unsicherheit. Im Prinzip ist aber damit zu rechnen, dass im Gesundheitssektor die Anforderungen zumindest sehr ähnlich sein dürften wie in den anderen KRITIS-Sektoren, und seitens des Gesetzgebers nur um einige Spezifika des Gesundheitssektors, wie z.B. aus der ISO 27799, ergänzt werden.

Angenommen, eine Einrichtung fällt unter die KRITIS-Kriterien - Was empfehlen Sie, um sich bestmöglich auf die neuen Regelungen vorzubereiten?
Die Umsetzungsspanne von knapp zwei Jahren ist eine sportliche Vorgabe, und die Umsetzungskomplexität ist hoch. Das gilt insbesondere für größere Häuser. Umso wichtiger ist es, dass die IT-Verantwortlichen nicht untätig bleiben, sondern so früh wie möglich auf die zu erwartenden Anforderungen reagieren. Wir gehen davon aus, dass sie als Mindestanforderung ein sogenanntes Information Security Management System (ISMS) einrichten müssen. Dabei hat der Gesundheitssektor einen Vorteil: Für die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation beispielsweise gelten die KRITIS-Regularien bereits seit Anfang 2016. Von den Erfahrungen dieser Branchen können gesundheitliche Einrichtungen lernen. So zeigt sich bei vergleichbaren Projekten in anderen KRITIS-Sektoren, dass die Schwierigkeiten vielerorts bereits bei der Begriffsbestimmung beginnen: Was gehört alles zur IT und was nicht? In der Vergangenheit waren z.B. technische Mess-, Steuer- und Regelsysteme in Kraftwerken und Versorgungsnetzen eine klassische Ingenieursdomäne. Die IT-Abteilung hatte mit dieser sogenannten Operational Technology (OT) kaum etwas zu tun. Im Zuge der fortschreitenden IP-Vernetzung unterliegen solche OT-Systeme jedoch denselben Sicherheitsrisiken wie ein Office-PC oder ein Datenbankserver. Übertragen auf den Gesundheitssektor mit seinen zahlreichen medizinischen Geräten und Applikationen, entsteht daraus schnell eine Herkulesaufgabe.

Was ist, wenn ein Krankenhaus oder ein Labor sich für auf die neuen Richtlinien vorbereitet und dann doch nicht unter die KRITIS-Kriterien fällt? War das eine Fehlinvestition?
Ganz und gar nicht! Denn ein erhöhtes IT-Sicherheitsniveau zahlt sich gerade im Gesundheitsmarkt aus - unabhängig von rechtlichen Verpflichtungen. Einrichtungen können dank höherer Systemresistenz gegenüber Cyber-Kriminalität grundsätzlich Schäden vermeiden. Denn Hacker machen auch vor Kliniken nicht halt. In deutschen Krankenhäusern haben Erpressungstrojaner Anfang dieses Jahres den Klinikbetrieb tagelang weitgehend lahmgelegt, und dabei handelte es sich nicht einmal um gezielte Angriffe auf diese Kliniken, sondern um recht weit verbreitete Schadsoftware. Daher zahlen sich solche Vorsichtsmaßnahmen schon für die Reputation aus: Ein ISMS wirkt wie ein Gütesiegel, das Vertrauen schafft, und in der digitalen Ära ist nachweislich sorgsamer Umgang mit sensiblen Patientendaten sowie die Bereitstellung einer verlässlichen und vertrauenswürdigen medizinischen Infrastruktur eindeutig ein Wettbewerbsvorteil.