Studie: Nicht alle Kliniken sind auf die KRITIS-Vorgaben gut vorbereitet

Eine Studie beleuchtet den Stand der Umsetzung der KRITIS-Vorgaben in hiesigen Kliniken. Manche überfordern die BSI-Regularien.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Studie: Die meisten Kliniken sind auf die KRITIS-Vorgaben gut vorbereitet
Lesezeit: 3 Min.
Von

Am 30. Juni ist Stichtag für deutsche Krankenhäuser: Nach den Energieversorgern müssen nun sie die KRITIS-Verordnung umsetzen. Sie betrifft acht Branchen, die laut BSI angriffsrelevante und damit kritische Infrastrukturen betreiben.

Einige Kliniken haben sich bereits intensiv vorbereitet, erste interne Audits weitgehend hinter sich und teils weitere Schutzmaßnahmen getroffen. Insgesamt aber sind die Krankenhäuser Hans-Wilhelm Dünn zufolge, Präsident des Cyber-Sicherheitsrat Deutschland e.V., noch nicht ausreichend gegen Angriffe von Cyberkriminellen gerüstet. Hier werde es voraussichtlich über den Stichtag hinaus noch Nachbesserungen geben müssen. Das liege aber nicht allein an den Häusern, sondern auch an einem Mangel an Auditoren und Zertifizierern für die geforderten Sicherheitsstandards. Generell stelle das IT-Sicherheitsgesetz viele Kliniken ressourcentechnisch vor große Herausforderungen.

Im internationalen Vergleich stehen deutsche Krankenhäuser in Sachen IT-Sicherheit nicht schlecht da.

(Bild: Infoblox)

Das unterstreicht eine Studie der Londoner Marktforscher Censuswide im Auftrag des US-Anbieters für Netzwerk-Management Infoblox. Befragt wurden 606 IT-Fachkräfte im Gesundheitswesen in Deutschland, Großbritannien, den USA und den Benelux-Staaten. Demnach stellt die KRITIS-Verordnung für deutsche Krankenhäuser keine unüberwindbare Belastung dar. Genau die Hälfte der unter die KRITIS-Regularien fallenden Befragten meinten, sie seien nicht überfordert mit der Umsetzung der Vorgaben. Ein Drittel allerdings fühlt sich überlastet, vor allem durch fehlendes IT-Fachpersonal (66 Prozent) und zu wenig finanzielle Mittel (52 Prozent). Dennoch bezeichnen 66 Prozent der deutschen Studienteilnehmer KRITIS als einen Schritt in die richtige Richtung. Bei 60 Prozent von ihnen hat seit Inkrafttreten der Verordnung vor gut einem Jahr ein Umdenken stattgefunden.

Mit Erlass der BSI-KRITIS-Verordnung waren zunächst nur die großen Krankenhäuser gezwungen, ihre IT-Sicherheitsstandards zu überarbeiten. Sie schafften es, Budgets und Fördermittel für ihre Projekte zu erhalten. Jetzt macht sich die Deutsche Krankenhausgesellschaft (DKG) dafür stark, auch allen nicht unter die Verordnung fallenden Einrichtungen (Schwellenwert: 30.000 stationäre Behandlungen jährlich) ebenfalls eine Refinanzierung für Maßnahmen rund um die Erhöhung der IT-Sicherheit zu ermöglichen. Bei rund 40 Prozent der Befragten in Deutschland sind die verfügbaren finanziellen Mittel innerhalb des letzten Jahres um elf bis 20 Prozent gestiegen. Das meiste Geld wird dabei für Anti-Virus-Software (60 Prozent) ausgegeben, gefolgt von Schulungen für Mitarbeiter (59 Prozent) und Firewalls (55 Prozent).

Im Vergleich zu den in der Studie ebenfalls untersuchten Ländern sieht die Studie die hiesigen Häuser klar in einer Vorreiterrolle. Deutsche IT-Sicherheitsbeauftragte (ISB) sind sich nicht nur sicher, dass sie ihre Systeme patchen oder aktualisieren können (95 Prozent) – sie tun das auch regelmäßig: 63 Prozent mindestens einmal die Woche oder noch öfter. US-, UK- und Benelux-ISB patchen und aktualisieren nur zu 44 Prozent regelmäßig. Zudem sind lediglich 87 Prozent davon überzeugt, dass sie es könnten. 71 Prozent der Befragten in Deutschland haben bis zu 2.000 Geräte in ihrem Netzwerk. Die Mehrheit der angeschlossenen Geräte läuft heute unter Microsoft Windows 10 (64 Prozent). Pikantes Detail: Noch jedes zehnte Gerät nutzt Windows XP, das Microsoft seit 2014 nicht mehr unterstützt. (fo)