KRITIS-Prüfungen im Sektor Gesundheit: Erfahrungen aus der ersten Runde

veröffentlicht am 29. August 2019; Autoren: Jürgen Schwestka, Konrad Klein

Wichtigste Erkenntnisse aus der ersten Runde der KRITIS-Prüfungen im Sektor Gesundheit: Probleme mit dem ISMS (Information Security Management System) und teilweise kein Informationssicherheitsbeauftragter (ISB).

Das IT-Sicherheitsgesetz

Das vom Bundestag verabschiedete IT-Sicherheitsgesetz ist im Juni 2017 für den 2. Korb in Kraft getreten. Betreiber Kritischer Infrastrukturen müssen seitdem ein Mindestsicherheitsniveau an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Am 30. Juni 2019 ist die 2-Jahres-Frist der KRITIS-Betreiber bis zur Umsetzung angemessener organisatorischer und technischer Vorkehrungen für die kritischen Dienstleistungen nach dem Stand der Technik abgelaufen.

Den KRITIS-Betreibern aus dem Sektor Gesundheit ist die reale Bedrohung aus dem Cyber-Raum durchaus bewusst. Dies liegt nicht zuletzt an den zahlreichen Hackerangriffen der vergangenen Jahre, über die in den Medien ausführlich berichtet wurde.

Die erste Runde

Mittlerweile ist die Frist zur Einreichung der Prüfnachweise an das BSI, wie bereits erwähnt, abgelaufen und die „erste Runde” aus Sicht der KRITIS-Betreiber abgeschlossen. Auch Rödl & Partner hat im Bereich der Gesundheits- und Sozialwirtschaft einige Prüfungen nach §8a BSIG durchgeführt. Unsere Prüfung orientierten wir dabei an dem branchenspezifischen Sicherheitsstandard (B3S) für die Gesundheitsversorgung.

Über die Erfahrungen aus den Prüfungen möchten wir in Auszügen kurz berichten. Zunächst ist festzuhalten, dass die meisten KRITIS-Betreiber gut aufgestellt sind und die reale Gefahr aus dem Internet verinnerlicht haben. Dementsprechend ist das Streben nach mehr IT-Sicherheit bei den Verantwortlichen groß.

Dennoch zeigt der Status Quo noch Nachbesserungsbedarf. Die Sicherheitsmängel waren oft die gleichen:

Die Sensibilisierungsmaßnahmen greifen nicht weitgehend genug
Probleme beim Einführen bzw. Aufbau eines ISMS (Information Security Management System)
Teilweise keine Besetzung der Stelle des Informationssicherheitsbeauftragten (ISB)

Der Externe Informationssicherheitsbeauftragte

Heutzutage muss nicht nur die Sicherheit der IT gewährleistet werden, sondern auch die Sicherheit aller verarbeiteten Informationen. Hierbei gilt es, den Menschen als Schlüsselfaktor zu betrachten.

Um Zuständigkeiten und Verantwortung für operative Aufgaben eindeutig zuordnen zu können, ist ein Informationssicherheitsbeauftragter (ISB) zu ernennen. Dies ist auch eine der Anforderungen aus dem B3S. Allerdings sind auf dem Arbeitsmarkt aktuell kaum entsprechend qualifizierte Mitarbeiter zu finden. Alternativ kann daher ein externer Informationssicherheitsbeauftragter bestellt werden, der den hohen Anforderungen gerecht wird.

Wir unterstützen Sie gerne mit unserer Branchenkenntnis und Erfahrung im Bereich IT-Security!