Halbzeit für viele KRITIS-Krankenhäuser: Status Quo und Ausblick auf das nächste BSI-Nachweisverfahren

​veröffentlicht am 28. Juli 2022

Für die meisten Krankenhäuser, die mit vollstationären Fallzahlen von über 30.000 pro Jahr als Betreiber kritischer Infrastrukturen gelten (KRITIS), war Ende Juni 2021 Abgabefrist für den Nachweis nach § 8a BSIG. Der nächste Nachweis der Umsetzung des aktuellen Stands der Technik zur Sicherstellung der stationären Versorgung wird genau zwei Jahre nach Einreichung des letzten Nachweises fällig. Nachdem ein Jahr vergangen ist, dürfte für viele KRITIS-Krankenhäuser nun Halbzeit sein – ein Grund für uns den Status Quo zu betrachten. Welche Herausforderungen stellen Krankenhäuser derzeit vor Probleme?

1. Aktuell existiert kein gültiger Branchenspezifischer Sicherheitsstandard (B3S), nachdem eine zielgerichtete Maßnahmenumsetzung und Prüfungsvorbereitung für das BSI-Nachweisverfahren erfolgen kann. Noch ist unklar, wann eine vom BSI freigegebene Version des aktualisierten B3S vorliegen wird. Die Zeit zur Anpassung des eigenen Informationssicherheitsmanagementsystems (ISMS) an den B3S wird daher immer kürzer.
2. Viele Häuser kämpfen noch mit der Umsetzung geplanter Maßnahmen aus dem letzten Nachweisverfahren. Im Rahmen von KRITIS-Prüfungen werden neben den Abweichungen vom aktuellen Stand der Technik („Mängel”) auch die bereits initiierten und geplanten Maßnahmen dokumentiert sowie ein Zeitplan zu deren Umsetzung festgelegt. Diese Maßnahmen sind oftmals Gegenstand von Förderprogrammen (z.B. KHZG). Dies führt häufig zu Verzögerungen in der Umsetzung, da die Mittel zunächst bewilligt werden müssen. Wenn die Förderbescheide dann eingetroffen sind, tun sich zusätzliche Probleme auf: Wie sollen die Projekte mit den aktuellen Personalressourcen in der IT umgesetzt werden? IT-Abteilungen sind meist mit einem knappen Personalstand ausgestattet, welche auf das Tagesgeschäft und Regelbetrieb ausgelegt sind. Wenn dann mehrere Projekte zur Förderung der Informationssicherheit neben dem Alltagsgeschäft durchgeführt werden müssen, ist das mit der vorhandenen Personaldecke oftmals kaum zu schaffen.
3. Das BSI veröffentlichte Mitte Juni den Entwurf einer Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung. Die Orientierungshilfe definiert Anforderungen für die Angriffserkennung bei Betreibern in den drei Phasen Protokollierung, Erkennung und Reaktion, deren Umsetzung ab Mitte 2023 in KRITIS-Prüfungen nachgewiesen werden muss. Die Systeme zur Angriffserkennung müssen von KRITIS-Prüfern untersucht und der Reifegrad festgestellt werden. Die Konzeptionierung, die Einführung und der anschließende Betrieb sind mit hohem Personalaufwand verbunden. Der Aufwand für die Umsetzung dieser konkretisierenden Maßnahmen zur Angriffserkennung ist demnach nicht zu unterschätzen.

In allen drei Bereichen zeigt sich, dass der Faktor Mensch von großer Bedeutung ist – es reicht nicht aus viel Geld in IT-Systeme zu investieren. Für eine erfolgreiche Umsetzung der KRITIS-Anforderungen müssen für die Informationssicherheit ausreichend Personalressourcen zur Verfügung stehen oder weniger hoch priorisierte IT-Projekte zeitlich nach hinten geschoben werden. Sofern unklar ist, ob die IT-Personalausstattung für die anstehenden Aufgaben ausreichend ist, bietet es sich an, eine Personalbedarfsermittlung durchzuführen. Aber auch wenn zusätzlicher Personalbedarf festgestellt und die Einstellung freigegeben wird – bis zur tatsächlichen Einstellung dürfte einige Zeit vergehen. Umso wichtiger ist ein methodisches und gut geplantes Vorgehen bei IT-Projekten unter Berücksichtigung entsprechender Dringlichkeit und Priorität.

Auf Basis einer Projektplanung lässt sich abschätzen, welche Maßnahmen bis zum nächsten KRITIS-Nachweisverfahren umgesetzt werden können und wann die Prüfung stattfinden soll. Es empfiehlt sich, frühzeitig mit dem zukünftigen KRITIS-Prüfer Kontakt aufzunehmen und das Vorgehen zur Vorbereitung des Nachweisverfahrens abzustimmen, auch um Auswirkungen der nicht vollständig umgesetzten Maßnahmen bestmöglich abschätzen zu können.

Welche Herausforderungen haben Sie in der Umsetzung der Anforderungen des BSI? Als Prüfende Stelle mit Spezialisierung auf die Gesundheitswirtschaft freuen wir uns auf den Austausch mit Ihnen.


KRITIS 2023 - Effiziente Vorbereitung auf die nächste Runde für Sie kostenlos.