Skip to main content
Switch to English

Das neue IT-Sicherheitsgesetz:

Was das Gesundheitswesen wissen sollte und warum es nie zu früh ist, sich gut vorzubereiten.

Auch Unternehmen des Gesundheitswesens unterliegen als Betreiber "Kritischer Infrastrukturen" (KRITIS) zukünftig dem geltenden "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme", kurz IT-Sicherheitsgesetz.
Dieses Gesetz verpflichtet Sie als Betreiber dieser "Kritischen Infrastrukturen", Ihre IT-Systeme nach dem Stand der Technik angemessen abzusichern und dient der Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit.
Was bedeutet das konkret für Sie? Worauf müssen Sie sich einstellen? Dieser Fachbeitrag gibt eine erste Orientierung.


Angespannte IT-Sicherheitslage erfordert neue gesetzliche Standards - auch für das Gesundheitswesen.

Das Risiko von Unternehmen, Ziel einer Cyberattacke zu werden, ist in den letzten Jahren stark gestiegen – auch im Bereich des Gesundheitswesens. Im Frühjahr 2016 wurden mehrere Angriffe und Erpressungsversuche auf deutsche Krankenhäuser bekannt. Eine Klinik in Neuss musste alle IT-Systeme vom Netz nehmen, um ein Ausbreiten schadhafter Software zu verhindern. Als Betreiber Kritischer Infrastrukturen, abgekürzt KRITIS, werden auch Krankenhäuser durch das IT-Sicherheitsgesetze künftig zu Maßnahmen im Rahmen der IT-Sicherheit verpflichtet sein: Es gilt, angemessene technische und organisatorische Vorkehrungen zur IT-Sicherheit zu treffen sowie den umfangreichen Meldepflichten bei IT-Sicherheitsvorfällen gerecht zu werden. Dr. Constanze Woldenga , Expertin für Qualitäts- und Informationsmanagement im Gesundheitswesen, sieht die Branche noch nicht ausreichend auf die neue gesetzliche Regelung vorbereitet: "Das Bewusstsein für das neue IT-Sicherheitsgesetz ist bei den Krankenhaus-Verantwortlichen grundsätzlich vorhanden. Allerdings fehlt oft die Zeit oder auch die Kenntnis der genauen Anforderungen, wo sie ansetzen müssen, um ihre Systeme und Prozesse anzupassen." Aus diesem Grund haben wir für Sie im Folgenden die wichtigsten Fragen zum IT-Sicherheitsgesetz beantwortet.

Wie erfahre ich, ob mein Unternehmen eine kritische Infrastruktur im Sinne des neuen Gesetzes betreibt?

Welche Unternehmen im Gesundheitswesen als KRITIS eingestuft werden, d.h. für wen dann das IT-Sicherheitsgesetz gilt, wird voraussichtlich im Frühjahr 2017 auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI) veröffentlicht. Eine erste Definition von KRITIS und der entsprechenden Branchen und Sektoren findet sich beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Dr. Constanze Woldenga prognostiziert: "Ich gehe davon aus, dass künftig nicht nur die Krankenhäuser, die als KRITIS eingestuft werden, sondern alle deutschen Krankenhäuser gehalten sind, die Anforderungen des IT-Sicherheitsgesetzes umzusetzen. So regt das BSI in der "Sektorstudie Gesundheit" die Prüfung des Regelungsbedarfs hinsichtlich der IT-Sicherheit auch für nicht-kritische Betreiber an und empfiehlt, bereits jetzt erste Vorbereitungsmaßnahmen zu treffen."

Was sind die wichtigsten Aspekte des neuen IT-Sicherheitsgesetzes?

Das neue IT-Sicherheitsgesetz erhebt folgende Forderungen an Betreiber Kritischer Infrastrukturen:

  • Einhaltung von Mindestanforderungen an die IT-Sicherheit nach dem Stand der Technik (§8a Abs. 1 BSI-Gesetz)
  • Übermittlung der Aufstellung der durchgeführten Sicherheitsaudits mindestens alle zwei Jahre an das BSI (§8a Abs. 3 BSI-Gesetz)
  • Benennung von "Warn- und Alarmierungskontakten" für das BSI 24/7 (§8b Abs. 4 BSI-Gesetz)
  • Unverzügliche Meldepflicht bei "Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder geführt haben." (§8b Abs. 4 BSI-Gesetz)
  • Meldepflicht bezüglich "erheblicher" Sicherheitsmängel (§8b Abs. 4 BSI-Gesetz)

Wieviel Zeit haben wir für die Umsetzung des IT-Sicherheitsgesetzes im Gesundheitswesen?

Für die Einführung der geforderten Maßnahmen ist eine Umsetzungsfrist von zwei Jahren vorgesehen. Die Frist beginnt mit dem Datum, an dem der Kreis der betroffenen Unternehmen des Gesundheitswesens kommuniziert wird. Die Veröffentlichung dieses Teils der KRITIS – für einige Branchen ist das bereits festgelegt – wird für das Frühjahr 2017 erwartet. Dementsprechend muss die Umsetzung im Gesundheitswesen voraussichtlich bis Frühjahr 2019 erfolgt sein.

Was droht uns bei Verstößen gegen das Gesetz?

Die Nicht-Beachtung der Verpflichtung zur Schaffung angemessener technischer und organisatorischer Sicherheitsmaßnahmen oder der Vorgaben zur Meldepflicht von Sicherheitsvorfällen kann als Ordnungswidrigkeit mit Bußgeldern in Höhe von 50.000 bis 100.000 Euro geahndet werden. Dies wird aber erst der Fall sein, wenn die zweijährige Übergangsfrist zur Umsetzung der Maßnahmen abgelaufen ist.

Was können wir als Unternehmen des Gesundheitswesens tun, um die Forderungen des IT-Sicherheitsgesetzes zu erfüllen?

Neben den technischen Anforderungen aus dem IT-Sicherheitsgesetz sind auch organisatorische Maßnahmen und Anpassungen an die verwendete Software vorzunehmen, um die Sicherheit der Patientendaten in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität sicherzustellen.

Aufgrund der besonderen Relevanz des Gesundheitswesens für die Gesellschaft sowie der Zunahme an Angriffen auf Krankenhäuser empfiehlt sich eine grundsätzliche Risikoanalyse.

Speziell mit Blick auf das Risikomanagement, das durchgängige Informationsmanagement sowie das Datenmanagement sollten folgende Fragen geklärt werden:

  • Sind die Daten Ihres Unternehmens (zum Beispiel Patientendaten) sicher vor unbefugten Zugriffen?
  • Wie ist das Berechtigungsmanagement hinsichtlich der Rechtevergaben bei Ihnen angelegt?
  • Sind Ihnen die klassischen Schwachstellen Ihrer Systemlandschaft bekannt?
  • Haben Sie einen (Echtzeit-) Überblick über kritische Vorfälle?

Auf Grundlage der Antworten können unternehmensspezifische Sicherheitsmaßnahmen geplant und umgesetzt werden. Unabhängig davon, ob Ihr Unternehmen zukünftig unter die Gesetzesauflagen fällt, dienen diese Maßnahmen dem Erfolg Ihres Unternehmens sowie in aller erster Linie der Gesundheit Ihrer Patienten.