Interview zum IT-Sicherheitsgesetz

Was KRITIS-Betreiber beachten und dem BSI melden müssen

| Redakteur: Stephan Augsten

Security-Insider: Wann gilt ein Vorfall als „erheblich“?

Eitel: Die jüngere Vergangenheit hat gezeigt, dass Infrastrukturen durchaus Schaden erleiden und Beeinträchtigungen kritischer Prozesse weitreichende soziale und ökonomische Folgen haben können. Die Anschläge in New York (2001), Madrid (2004) oder London (2005), aber auch Katastrophen wie die großen Hochwasser an Elbe und Oder, der Orkan „Kyrill“ (2007) oder die Kraftwerkskatastrophe in Fukushima (2011) machen deutlich, dass das private und das öffentliche Leben von kritischen Infrastrukturen abhängig ist.

In der IT wird unter einer Katastrophe der dauerhafte Ausfall der gesamten Informationstechnik verstanden. Die Auswirkungen haben einen gravierenden Einfluss auf die Funktionsfähigkeit des Unternehmens selbst und damit oftmals auch kritische Auswirkungen auf Kunden und/oder Subunternehmer.

Security-Insider: Greifen wir einmal den Sektor Gesundheitswesen heraus: Können Sie uns einen Einblick geben, welche speziellen Anforderungen Betreiber aus diesem Bereich zu erfüllen haben?

Eitel: Im Datenschutz gelten Gesundheitsdaten als besonders schutzwürdig, liegt es da nicht nahe, dass auch die Gesundheitsversorgung der Bevölkerung einem besonderen Schutz unterliegt? Von den zuvor genannten etwa 2.000 Unternehmen, die dem IT-Sicherheitsgesetz nachkommen müssen, kommt auch ein kleiner Teil aus dem Gesundheitssektor.

Aus meiner Sicht sollten eigentlich alle Kliniken zu den KRITIS-Unternehmen gezählt werden. Nehmen wir eine Klinik mit 600 Betten und mehreren Standorten: Dank vieler Investitionen existiert eine nahezu papierlose Klinik, alles läuft digital auf dem neuesten Stand der Technik ... Eine – mutwillige? – Beschädigung des Klinikinformationssystems führt dann nahezu zwangsläufig zu einem Zusammenbruch aller Prozesse.

Sicherlich kann das Personal die Notfallpatienten behandeln, aber es fehlen Details: Wer liegt in welchem Zimmer, ist woran erkrankt, braucht welche Medikamente und wieviel davon? Kann die OP durchgeführt werden, welche soll überhaupt gemacht werden und was muss an benötigtem Material abgerufen werden? Diese Liste ließe sich endlos weiterführen. Notfallpläne sind oft nicht vollumfänglich vorhanden, und eine Datensicherung wäre bei einem defekten Informationssystem nutzlos.

Hier gilt es, organisatorische Maßnahmen zu ergreifen, die wenigstens die grundlegenden Funktionen erhalten. Mit der Erfahrung aus vielen Jahren IT-, Organisations- und Qualitätsmanagement im Krankenhaus müssen aus meiner Sicht alle Kliniken verstärkt konzeptionelle Vorsorge betreiben und mehr in IT-Sicherheitslösungen investieren. So ist zum Beispiel auch die etwaige Abhängigkeit von anderen Unternehmen von immenser Bedeutung.

Ist beispielsweise der Netzwerkanbieter nach einer Cyberattacke vollständig korrumpiert, fällt die EDV an allen Standorten der Klinik aus. Wenn dann vielleicht die IT ebenfalls noch ausgelagert wurde, steht das Unternehmen still. Jeder IT-Mitarbeiter weiß um den Druck, der durch 24/7-Ansprüche auf ihm lastet; hier die gesetzliche Anforderung zur Umsetzung eines IT-Risikomanagements zu erfüllen, sollte eigentlich allen IT-Abteilungen entgegenkommen.

Security-Insider: Wie schnell müssen die Anforderungen umgesetzt werden? Wird den betroffenen Unternehmen eine Übergangszeit eingeräumt?

Eitel: Wie bereits erwähnt, müssen Betreiber von Kernkraftwerken und auch Telekommunikationsanbieter ab sofort erhebliche IT-Sicherheitsvorfälle melden. Die betroffenen Unternehmen sind vom BSI informiert worden, und so ist ein erster Schritt bereits erfolgt. Alle anderen Betreiber kritischer Infrastrukturen müssen auf eine Definition ihres Status durch eine noch in Arbeit befindliche Rechtsverordnung warten. Erst dann wird deutlich, wer wirklich zur KRITIS-Kategorie gehört.

Einige Dienstleister sind sich aber schon jetzt ihrer Bedeutung für die Gesellschaft bewusst und stehen kurz vor Einführung eines funktionierenden IT-Sicherheitsmanagements oder haben es bereits in Betrieb. Wann genau die Rechtsverordnung Klarheit bringen wird, kann noch nicht gesagt werden. Wenn sie dann aber in Kraft ist, müssen alle betroffenen Unternehmen schnellstmöglich ihren Anteil beitragen … Wir befinden uns also eigentlich genau jetzt in einer nicht näher definierten Übergangszeit.

Security-Insider: Und wenn diese Frist nicht eingehalten wird? Müssen die Betreiber dann mit Sanktionen oder konkreten Geldstrafen rechnen?

Eitel: Den bislang spezifizierten Unternehmensbereichen drohen schon jetzt maximale Bußgelder in Höhe von bis zu 100.000 Euro, wenn Störungen nicht durch angemessene organisatorische und technische Maßnahmen verhindert wurden. Mit geringeren Bußgeldern sollen dagegen verspätete Meldungen von Sicherheitspannen sanktioniert werden.

Aus meiner Sicht ergibt die Androhung von Strafen so lange keinen Sinn, bis nicht klar definiert ist, wer von dem Gesetz überhaupt betroffen ist und welche Sicherheitsstandards eingehalten werden müssen. Man sollte also das Thema IT-Sicherheit nicht auf die lange Bank schieben und nicht erst dann etwas unternehmen, wenn per Gesetz Sanktionen drohen, sondern sich schon jetzt mit dem Thema auseinandersetzen und auf die kommenden Konkretisierungen vorbereitet sein.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43809440 / Compliance und Datenschutz )