“Keine Strafzettel für Offenheit” – Krankenhäuser vermehrt zur KRITIS zählen

0
1136

“Es gibt keinen vernünftigen Grund, weshalb auch kleine Krankenhäuser das Thema IT-Sicherheit nicht ernst nehmen sollte”, betont Markus Holzbrecher-Morys von der Deutschen Krankenhausgesellschaft. Einige Krankenhäuser zählen zu den Kritischen Infrastrukturen (KRITIS), aber nicht alle. Gerade deshalb müsse die Kommunikation zwischen den Kliniken und dem BSI verbessert werden.
“Krankenhäuser sind relevant, ab einem Schwellenwert von 30.000 stationären Fällen pro Jahr, zählen sie zur KRITIS. Damit sind jedoch nur fünf bis zehn Prozent abgedeckt”, fährt er fort. Dementsprechend sind sie nicht in der Meldepflicht bei Cyber-Angriffen.

Ein Aspekt, den das Bundesamt für Informationssicherheit (BSI) kritisch betrachtet. Dr. Dirk Häger, Leiter des Fachbereiches “Operative Cyber-Sicherheit” aus dem BSI, bezieht sich auf diesen Sachverhalt: “Wir überlegen, ob wir mit den Schwellenwerten wirklich richtig sind, viele fallen nicht darunter.” Denn wenn mehrere kleine Krankenhäuser nacheinander ausfallen würden, weil ihre Systeme über einen gemeinsamen Hersteller gehackt wurden – wie es beim Cyberangriff “NotPetya” der Fall war – dann nehme es höhere Dimensionen des Schadens an.

Auch aus anderer Fehler lernen

Jedoch appellierte er gleichermaßen: “Wenn etwas passiert, dann kommen sie zu uns, sie erhalten keine Strafzettel”, so der Leiter. Die Sicherheitsvorgaben würden nur dazu dienen, um Verlässlichkeit aufzubauen. “Die Keulen, die im IT-Sicherheitsgesetz stehen, sind nur Mittel zum Zweck, damit sie uns lieber kontaktieren als es verschweigen”, sagte Dr. Häger auf der Connecting Healthcare IT 2018.

Außerdem zeigte er anhand von kritischen Fällen auf, worauf geachtet werden könnte. “Bei IT-Sicherheit müssen sie penibel sein, sonst wird es gefährlich, wie bei WannaCry. Trotz des Patches, wurde nicht rechtzeitig gepatcht.” Wichtig sei zudem, aus Fehlern zu lernen und dies nicht nur von den eigenen.

“Auch wenn sie einen Einbruch haben, dann überprüfen sie nicht nur, was gestohlen wurde, sondern auch was hinterlassen wurde. Mittels manipulierter Hardware, die eingeschleust wird, können langfristig Diebstähle begangen werden, wie beim Hafen von Antwerpen”, betonte der IT-Leiter.