Page 93 - KH_IT_1_21
P. 93
Geltungsbereich Erweiterte Befugnisse des Bundesamtes für
Formal sind Krankenhäuser vom IT-SiG 2.0 nur betroffen, Sicherheit in der Informationstechnik (BSI)
wenn sie unter die KRITIS-Verordnung fallen oder als „Unter- Über das IT-SiG 2.0 wird das BSI befugt, „Sicherheitslücken an
nehmen von besonderem öffentlichen Interesse“ angesehen wer- den Schnittstellen informationstechnischer Systeme zu öffent-
den. Dennoch sollten sich auch Nicht-KRITIS-Einrichtungen lichen TK-Netzen zu detektieren sowie Systeme und Verfahren
an den Anforderungen orientieren. Mangels gesetzlicher Ver- zur Analyse von Schadprogrammen und Angriffsmethoden
pflichtungen sind solche Einrichtungen oft schlechter geschützt einzusetzen“.
und deshalb für Cyberkriminelle umso interessanter, auch als Daher ist nicht nur mit Angriffen von Cyberkriminellen zu
Einstiegspunkt oder Zwischenstation auf dem Weg zum eigent- rechnen, sondern auch mit (unangekündigten) Überprüfungs-
lichen Angriffsziel. maßnahmen durch das BSI. Potenziell drohen negative Auswir-
kungen auf Ihre Systeme. Bei festgestellten Sicherheitsmängeln
Verschärfter Sanktionsrahmen kann das BSI sogar die Außerbetriebnahme betroffener Kompo-
Bei Nichterfüllung der IT-SiG 2.0-Anforderungen drohen nenten durchsetzen und damit die Arbeitsabläufe in der Klinik
Sanktionen bis zu 2 Mio. Euro. Entsprechend sollten Investitio- beeinträchtigen oder gar zum Erliegen bringen.
nen gesehen und die Wirtschaftlichkeit von Maßnahmen bewer-
tet werden. Für Einrichtungen, die trotz angedachter Schwel- Sinnvoll investieren und strategische
lenwerte (noch) nicht zu einer Kritischen Infrastruktur oder Partnerschaften nutzen
zu Unternehmen in besonderem öffentlichem Interesse werden, Zur Bewältigung der Anforderungen aus dem IT-SiG 2.0 ist
drohen bei Nichterfüllung zwar keine Sanktionen durch die eine „Make-AND-Buy“-Strategie empfohlen, bei der eigenes
Aufsichtsbehörde, möglicherweise aber auf zivil- oder strafrecht- Know-how gefördert wird, keine unnötigen Abhängigkeiten
lichem Wege, wenn sie bei einer Schädigung von Patienten den entstehen und geeignete externe Partner mit speziellem Wissen
Nachweis schuldig bleiben, dem aktuellen Stand der Technik und einschlägiger Erfahrung ergänzend wirken – etwa auf Basis
entsprochen zu haben. eines SOC/CDC (Security Operations Center/Cyber Defence
Center) als Managed Service.
Verpflichtender Einsatz von
„Systemen zur Angriffserkennung“ Fördermittel nutzen
Zur Angriffserkennung wird klassischerweise ein IDS (Intrusion Viele Maßnahmen bzw. Investitionen im Zusammenhang mit
Detection System) oder SIEM (Security Incident and Event dem IT-SiG 2.0 sind förderfähig, etwa mit Mitteln aus dem
Management) eingesetzt. Allerdings reicht das oft nicht aus, Krankenhausstrukturfonds bzw. Krankenhauszukunftsfonds.
weil nur ein Teil der potenziell gefährdeten Systemlandschaft
überwacht wird.
Mangels Zeit und geeigneten Personals lässt sich eine Reduk-
tion der protokollierten Datenflut auf tatsächlich sicherheits-
relevante Ereignisse in Eigenregie faktisch nicht leisten. Trotz
mittlerweile etablierter Künstliche Intelligenz-Algorithmen ist
zur finalen Beurteilung von Vorkommnissen menschliche Exper-
tise nötig, die nicht beliebig verfügbar ist.
Wesentlich schneller, wirksamer und wirtschaftlicher ist bei-
spielsweise die Inanspruchnahme eines spezialisierten Managed
Services.
Veränderte Aspekte bei der Beschaffung/
beim Betrieb von Komponenten
Für den Betrieb in Kritischen Infrastrukturen müssen kriti- Sascha M. Zaczyk, Manager Informationssicherheit & Premium
sche Komponenten ein Sicherheits-Prüfsiegel aufweisen, worauf Consultant, International Certified Lead Auditor ISO 27001,
bereits bei der Beschaffung zu achten ist. zertifizierter Lead Auditor EN 50600, zertifizierter (Agile) ITIL-
Experte & Datenschutzbeauftragter, Professional Scrum Master;
EnBW Energie Baden-Württemberg AG, Full Kritis Service,
s.zaczyk@enbw.com
IT-Sicherheit im Krankenhaus 1 /2021
093
