Business Security

Zum Inkrafttreten der KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln

Zum Inkrafttreten der KRITIS-Verordnung im Gesundheitsbereich: Krankenhäuser müssen dringend handeln
Mit der KRITIS-Verordnung stehen zahlreiche Kliniken vor großen Herausforderungen, ein Kommentar von Arved Graf von Stackelberg, Managing Director von DRACOON.

Am 30. Juni dieses Jahres ist es soweit: Zahlreiche deutsche Kliniken müssen die KRITIS- Verordnung des BSI (Bundesamt für Sicherheit in der Informationstechnik) bis zu diesem Datum umsetzen. Das Gesetz umfasst insgesamt acht Branchen, die das BSI aufgrund des Betriebs kritischer Infrastrukturen als besonders angriffsrelevant und schützenswert ansieht. Unter den Begriff „Kritische Infrastrukturen“ fallen schließlich Organisationen, die eine große Rolle für das staatliche Gemeinwesen spielen.

33 % aller Kliniken betroffen

Wen genau das Gesetz betrifft, regelt die BSI-KRITIS-Verordnung (auch „Korb I“ genannt) sowie die erste Änderungsverordnung (bekannt unter „Korb II“). Hier ist anhand transparenter Kriterien festgelegt, für welche Betreiber aus den Bereichen Energie, Wasser, Informationstechnik und Telekommunikation, Ernährung, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr Nachweispflichten gemäß BSI-Gesetz (§ 8a) gegenüber der Behörde bestehen. Für den Gesundheitssektor bedeutet dies konkret, dass Krankenhäuser mit über 30.000 vollstationären Fällen im Jahr als „KRITIS“-Betreiber gelten. Als vollstationär gilt eine Behandlung, wenn der Patient Tag und Nacht im Krankenhaus untergebracht ist und die stationären Leistungen komplett in Anspruch nimmt. Hiervon sind in Deutschland etwa 33 % aller Kliniken betroffen.

Bis zum Stichtag in knapp zwei Wochen müssen eine Reihe von Anforderungen erfüllt sein – zum einen muss alle zwei Jahre ein Nachweis über geeignete Vorkehrungen zur IT-Sicherheit erbracht werden. Zum anderen muss von Seiten des Betriebs eine Kontaktstelle, beziehungsweise ein Funktionspostfach benannt werden, außerdem müssen IT-Störungen dem Amt umgehend gemeldet werden. Auf technischer Ebene muss sichergestellt sein, dass betroffene Healthcare-Unternehmen dem neuesten Stand der Technik entsprechen und den Prüfstandards der Bundesbehörde gerecht werden.

IT-Sicherheit im Healthcare-Sektor mangelhaft

Wie wichtig die neue Verordnung ist, zeigt eine kürzlich erschienene Studie zur IT-Sicherheit im Gesundheitssektor, die vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) in Auftrag gegeben wurde. Hier offenbarte etwa ein Test der Mailserver mit dem Analysetool Cysmo, dass Patientendaten in deutschen Kliniken und Arztpraxen häufig nicht sicher aufgehoben sind. Insgesamt wurden neben den IT-Systemen von rund 1.200 niedergelassenen Ärzten auch 250 Kliniken und Apotheken untersucht. Das erschreckende Ergebnis war, dass lediglich 5 % der Kliniken einen sicheren Verschlüsselungsstandard nach Empfehlung des BSI verwendeten. 31 % nutzten die veralteten Standards SSL 2 und SSL 3, etwa 63 % die von der Bundesbehörde nicht mehr empfohlenen Standards TLS 1.0 oder TLS 1.1. Besonders erschreckend ist auch die Erkenntnis der Studie, dass E-Mail- und Passwortkombinationen von 60 % der Kliniken im Darknet aufzufinden waren.

Angesichts dieser Zahlen überrascht die Tatsache nicht – wie eine vor zwei Jahren erschienene, großangelegte Erhebung von Roland Berger ergab – dass von 500 befragten Kliniken 64 % bereits Opfer eines Hackerangriffs wurden. Diese Zahlen deuten darauf hin, dass das Problem der Mängel in Bezug auf die IT-Sicherheit im Healthcare-Sektor ein strukturelles ist. Kliniken müssen in dieser Hinsicht unbedingt reagieren und sich auf die neuen Herausforderungen einstellen, die mit der fortschreitenden Digitalisierung einhergehen.

Krankenhäuser müssen nachrüsten

Vor allem aber im Hinblick auf den vom BSI geforderten Aspekt des „neuesten Standes der Technik“ müssen deutsche Krankenhäuser dringend nachrüsten und eine einheitliche zeitgemäße Lösung einsetzen. Eine große Rolle spielt hier eine lückenlose clientseitige Datenverschlüsselung, mithilfe derer die Informationen bereits am Endgerät verschlüsselt werden. Dadurch hat nicht einmal der Hersteller der Lösung die Möglichkeit, auf gespeicherte Daten zuzugreifen.

Sinnvoll ist es außerdem, eine Softwarelösung „Made & Hosted in Germany“ zu wählen. Denn deutsche Anbieter unterliegen den strengen deutschen Datenschutzgesetzen und versichern zugleich, dass die Lösung auch der EU- DSGVO entspricht. Entsprechende Zertifizierungen und Auszeichnungen wie z. B. die ISO27001 untermauern die Konformität zusätzlich. Wichtig ist außerdem, dass sich von autorisierten Personen jederzeit nachvollziehen lässt, wann welche Daten von wem bearbeitet wurden. Nur so lassen sich auch unkontrollierte Datenabflüsse erkennen und vermeiden.

Bußgelder drohen

Ein feingranulares Rechtesystem regelt außerdem detailliert, wer auf welche Daten zugreifen und diese bearbeiten darf. Wenn die Lösung zusätzlich noch über einen integrierten Ransomware-Schutz verfügt, mittels dem sich geschädigte Daten zeitnah wiederherstellen lassen, ist ein Maximum an Datensicherheit und -schutz gewährleistet. Klinikbetreiber müssen insgesamt das Risiko ernst nehmen und sich mit der Implementierung einer technisch zeitgemäßen Lösung auseinandersetzen – auf diese Weise sind sie künftig gewappnet im Kampf gegen Cyberkriminelle und vermeiden zudem verheerende Bußgelder im Rahmen der BSI-KRITIS-Verordnung. Auch Patienten können sich somit sicher sein, dass ihre sensiblen Daten in guten Händen sind und nicht kompromittiert werden.

Über DRACOON

Jedes Unternehmen steht vor der Herausforderung, Daten digital sicher zu speichern, zu verwalten und zu teilen. DRACOON aus Regensburg ist Marktführer im Bereich Enterprise Filesharing im deutschsprachigen Raum und gibt der Welt die Souveränität über ihre Daten zurück.

Der Service wurde von unabhängigen Top-Analysten wie ISG als „Leader“ bezeichnet, außerdem bescheinigen verschiedene Zertifikate und Siegel wie ISO27001, EuroPriSe und ULD-Datenschutz-Gütesiegel DRACOON höchste Sicherheitsstandards. Nach dem Prinzip „Privacy by Design“ verfügt die Software über eine integrierte clientseitige Verschlüsselung. Versendete und gespeicherte Daten sind somit maximal geschützt; nicht einmal der Admin oder der Betreiber hat Zugriff auf die Daten. Das feingranulare Benutzer- und Rechtemanagement bietet individuelle Zugriffsrechte auf alle abgelegten Daten. Somit

haben die autorisierten Nutzer die vollständige Kontrolle über die Daten. DRACOON lässt sich intuitiv bedienen und ist für alle Mitarbeiter als zentrale Datenaustauschplattform geeignet. Das universelle API ermöglicht die Integration externer Services und Applikationen, über sichere E-Mail-Kommunikation bis hin zur vollständigen Modernisierung des File Services.

Diese Unternehmen vertrauen DRACOON:

KfW, Rossmann, Helios Kliniken, Rödl & Partner, ElringKlinger,
EbnerStolz, DATEV, Nürnberger Versicherung, Thyssen Steel, Deutsche Telekom, Hutchison, Bechtle u.v.m.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben