Schleppende Umsetzung des IT-Sicherheitsgesetzes in Kliniken
Bis Mitte 2019 sollen im Gesundheitswesen die Vorgaben für die Funktionsfähigkeit kritischer Infrastrukturen (KRITIS) umgesetzt sein.
- Jürgen Seeger
Nach den Energieversorgern härtet derzeit das Gesundheitswesen seine IuK-Infrastrukturen gemäß KRITIS-Anforderungen. Das heißt, bestimmte Einrichtungen müssen Mindestsicherheitsstandards erfüllen und sicherheitskritische IT-Vorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Betroffen davon sind zunächst Kliniken mit mindestens 30.000 stationären Fällen pro Jahr, was auf 120 von 1900 Krankenhäusern zutrifft.
Ob der Termin Juli 2019 einzuhalten ist, halten Insider für keineswegs sicher, schreibt iX in Ausgabe 8/2018 in einem ausführlichen Artikel zum Thema. Denn bislang seien weder die nötigen finanziellen Ressourcen freigegeben noch branchenspezifische Sicherheitsstandards geklärt.
Mit der bislang schleppenden Umsetzung der EU-Vorgaben für die IT-Sicherheit kritischer Infrastrukturen kämpft man nicht nur im Gesundheitswesen. Allein der Bereich Energieversorgung soll derzeit halbwegs im Plan liegen, alle anderen von Wasser und Ernährung über IT bis Medien hängen hinterher.
Welche Folgen eine Attacke auf das Gesundheitswesen haben kann, zeigte unter anderem ein IT-Angriff auf Krankenhäuser in NRW. Dort mussten deswegen Operationen verschoben werden.
Siehe dazu auch:
- IT-Sicherheit: Umsetzung des IT-Sicherheitsgesetzes in Kliniken, iX 8/2018, S. 70
(js)
