Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

Value Newsletter

TÜV SÜD vor Ort

Value Newsletter

TÜV SÜD vor Ort

KRITIS: Nachweispflicht-Frist für Krankenhäuser abgelaufen

Krankenhäuser mussten dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bis Juni einen Nachweis über ihre IT-Sicherheitsvorkehrungen erbringen. Was ist zu tun, wenn die Frist nicht gehalten werden konnte?

Die Cyberattacke im Juli auf 20 Kliniken in Rheinland-Pfalz hat einmal mehr eindrucksvoll bewiesen, dass es speziell im Gesundheitswesen noch nicht gut um die IT-Sicherheit bestellt ist. Und das, obwohl Krankenhäuser in Deutschland zur kritischen Infrastruktur (KRITIS) gehören und damit verpflichtet sind, besondere Vorkehrungen zu treffen. Ihre IT-Sicherheit muss dem „Stand der Technik“ entsprechen – so will es die BSI-KRITIS-Verordnung (BSI-KritisV). Allerdings: Gerade die Digitalisierung von Arbeitsabläufen macht Krankenhäuser und andere Einrichtungen im Gesundheitswesen heute noch verwundbarer.

20 Kliniken betroffen – auf einen Schlag

Der spektakuläre Hackerangriff auf den Krankenhausverbund in Rheinland-Pfalz legte zeitgleich zwanzig Einrichtungen lahm. Nach Einschätzung des BSI war dies bundesweit der erste Fall dieser Größenordnung. Im Zuge der Ransomware-Attacke hatte ein Trojaner die Server und Datenbanken verschlüsselt. Die Mitarbeiter konnten die Systeme nicht mehr verwenden. Für die Patientenaufnahme mussten sie zu Stift und Papier greifen. Das geforderte Lösegeld wurde nicht bezahlt, und erst nach mehr als einer Woche war auch der letzte Server wieder verfügbar. Es sollen weder Patientendaten verloren gegangen noch medizinische Geräte betroffen gewesen sein. Somit ging der Vorfall vergleichsweise glimpflich aus. Auch wenn das die bisher wohl größte Attacke auf das Gesundheitswesen in Deutschland war, ist sie bei Weitem kein Einzelfall. Laut einer Studie der Unternehmensberatung Roland Berger waren bereits zwei Drittel aller deutschen Kliniken Opfer eines Cyberangriffs. Nicht zuletzt deshalb ist der Gesetzgeber aktiv geworden.

KRITIS: Nachweispflicht ist abgelaufen – Sanktionen drohen

Betreiber kritischer Infrastrukturen im Gesundheitswesen und anderen Branchen müssen dem BSI gemäß der BSI-KritisV nachweisen, dass ihre IT-Sicherheit auf dem „Stand der Technik“ ist. Dazu hatten sie nach Inkrafttreten der Verordnung zwei Jahre Zeit – diese Frist endete für den Bereich Gesundheit am 30. Juni 2019. Über die Notwendigkeit solcher Maßnahmen braucht man – speziell in Zeiten der Digitalisierung – nicht zu diskutieren. „Fälle wie der in Rheinland-Pfalz führen sehr eindrucksvoll vor Augen, wie abhängig die Patientenversorgung auch von sicheren IT-Prozessen ist und wie wichtig präventive Maßnahmen zum Schutz sensibler Patientendaten sind. Die gesetzliche Pflicht zum Nachweis der IT-Sicherheit muss sehr ernst genommen werden“, erklärt Jens Linstädt, Product-Compliance-Manager Healthcare bei TÜV SÜD Management Service GmbH. Und dennoch: Wegen angespannter Ressourcenlage haben es einige Kliniken noch nicht geschafft, ihre Nachweispflicht zu erfüllen, sie riskieren damit Sanktionen. Als Hilfestellung gibt es einen branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus, an dem sich die Einrichtungen orientieren können. Diesen hat die Deutsche Krankenhausgesellschaft (DKG) entwickelt, die Freigabe durch das BSI steht allerdings derzeit (Stand 16.9.19) noch aus.

Fristverlängerung beantragen

Nicht alle Krankenhäuser zählen zur kritischen Infrastruktur. Lediglich Einrichtungen mit mehr als 30.000 Behandlungsfällen pro Jahr fallen unter die BSI-KritisV, das sind nach aktuellem Stand über 100 Kliniken. Wenn solche Einrichtungen ihren Nachweis bisher nicht erbracht haben, sollten sie sich umgehend um eine Verlängerung der Frist bemühen. Zudem müssen sie dem BSI die Gründe für die Verzögerung nachvollziehbar darlegen und eine Bestätigung – etwa einen konkreten Umsetzungsplan – einreichen, der belegt, dass die notwendigen Maßnahmen zur Erfüllung des § 8a BSIG (BSI-Gesetz) ohne weitere Verzögerung umgesetzt werden. Wichtig dabei: Die Zusammenarbeit mit einer prüfenden Stelle wie TÜV SÜD und ein konkreter Prüfungstermin sind für eine mögliche Fristverlängerung erforderlich.

Alternative für KMU – IT-Sicherheit nach ISO/IEC 27001

Alternativ ist eine Zertifizierung nach ISO/IEC 27001 ebenfalls eine starke Basis, um Informationssicherheit im Unternehmen zu etablieren. Ein solches Zertifikat ist zwar kein Ersatz für den Nachweis an das BSI, jedoch können speziell kleinere und mittelständische Unternehmen, die nicht zu KRITIS zählen, damit die Sicherheit ihrer IT und der zugehörigen Prozesse belegen. Viele Auftraggeber – und speziell KRITIS-Unternehmen – erwarten von ihren Lieferanten eine entsprechende Zertifizierung.

TÜV SÜD Ansprechpartner: Jens Linstädt, Product-Compliance-Manager Healthcare, TÜV SÜD Management Service GmbH

Das könnte Sie auch interessieren

KRITIS

KRITIS

Nachweis über angemessene IT-Sicherheit

Erfahren Sie mehr

IT Management

ISO 27001 ISMS-Zertifizierung

Ausgewiesene Informationssicherheit nach ISO/IEC 27001

Erfahren Sie mehr

Zertifizierer wechseln

Wechsel-Service

Mit unserer Unterstützung können Sie auch während Ihrer bestehenden Zertifikats-Laufzeit zu TÜV SÜD wechseln

Erfahren Sie mehr

Wie können wir Ihnen helfen?

WORLDWIDE

Global

Americas

Asia

Europe

Middle East and Africa