Auswirkungen der Cyber-Sicherheitsstrategie der Bundesregierung auf das Gesundheitswesen

Bereits im Jahr 2011 wurde durch die damalige Bundesregierung eine Cyber-Sicherheitsstrategie für Deutschland beschlossen. Kernelemente der Strategie sind neben der Einrichtung eines Nationalen Cyber-Abwehrzentrums und der Sensibilisierung der Bevölkerung zum Thema IT-Sicherheit, insbesondere der Schutz kritischer Infrastrukturen im Hinblick auf deren IT-Systeme. Resultierend u. a. aus der Cyber-Sicherheitsstrategie wird seitens der Bundesregierung verstärkt an einem entsprechenden Gesetzesvorhaben gearbeitet (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme).

Ein Referentenentwurf des Bundesministeriums des Innern liegt seit März 2013 vor. Neben Kritiken aus den Fachverbänden, die in dem vorliegenden Gesetzesentwurf Tendenzen zur Überregulierung und Überschneidung von Kompetenzen sehen, hat insbesondere die fehlende Unterstützung des Bundeswirtschaftsministeriums in der letzten Legislaturperiode dazu geführt, dass das Gesetzesvorhaben vorläufig auf Eis gelegt werden musste. Konkrete Absichtserklärungen innerhalb des aktuellen Koalitionsvertrages sowie die Ankündigung von Thomas de Maizière auf der diesjährigen CeBIT im März lassen darauf schließen, dass noch in diesem Jahr mit einer Verabschiedung des IT-Sicherheitsgesetzes gerechnet werden kann.

Mit dem geplanten Gesetz sollen besonders gefährdete Infrastrukturen (sogenannte kritische Infrastrukturen) wie Energie- oder Telekommunikationsnetze besser vor Hacker-Angriffen geschützt werden. Neben verpflichtenden Meldungen seitens der Betreiber solcher Infrastrukturen über IT-Sicherheitsvorfälle sollen zudem gesetzliche Mindeststandards für die IT-Sicherheit bei den Betreibern festgelegt werden. Neben den zuvor genannten Branchen mit kritischen Infrastrukturen gehören u. a. auch das Gesundheitswesen sowie das Notfall- und Rettungswesen. Folglich würde sich beim Inkrafttreten des Gesetzesvorhabens ein konkreter Handlungsbedarf insbesondere für die Krankenhausbranche ergeben. So sieht der aktuelle Entwurf beispielsweise verpflichtende Sicherheitsaudits alle zwei Jahre vor. Hierüber sowie über aufgedeckte Sicherheitsmängel ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre mittels einer entsprechenden Aufstellung zu informieren.

Im Rahmen durchgeführter IT-Systemprüfungen seitens der Solidaris kann immer wieder festgestellt werden, dass sich ein uneinheitliches Niveau der IT-Sicherheit innerhalb der Gesundheitsbranche ergibt. So verfügen beispielsweise einige Akteure über ein ausgeprägtes Risikomanagement mit übergreifenden Sicherheitskonzepten und regelmäßigen Übungen. In manchen Bereichen sind diese Maßnahmen noch nicht oder nur sehr rudimentär entwickelt.

Es ist daher davon auszugehen, dass bei einer Umsetzung des aktuellen Entwurfes für die Betreiber kritischer Infrastrukturen (hier insbesondere Krankenhäuser) erhebliche Mehraufwendungen zur Schaffung und Einhaltung eines Mindestniveaus an IT-Sicherheit zukommen könnte. Wegen der zu erwartenden Anforderungen an einen Mindeststandard an Sicherheit und deren Auswirkungen sollte das Gesetzgebungsverfahren indes weiter beobachtet werden, um rechtzeitig die erforderlichen IT-Sicherheit-Compliance Prüfungen und Anpassungen einzuleiten.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
CISA/CISO
Oliver Schikora
+49 (0)2203 8997-228
 
Prokurist der Solidaris Revisions-GmbH WPG STB, Köln, Leiter Geschäftsfeld IT-Beratung/Geschäftsbereich Unternehmensberatung

Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

Schikora

Bei Solidaris seit 2004

Qualifikationen

  • Certified Information Systems Auditor (CISA)
  • Chief Information Security Officer (CISO) ISO/IEC 27001/BSI-ITGrundschutz
  • IT-Auditor IDW
  • IT-Security Beauftragter (TÜV)
  • Dipl.-Betriebswirt (FH), Fachhochschule Koblenz

Schwerpunkte

  • Systemprüfungen im Rahmen von Jahresabschlussprüfungen, IT-Revision sowie datenanalytische Prüfungen
  • Langjährige Verantwortung als Prüfungsleiter für Jahresabschlussprüfungen und prüfungsnahe Beratungsleistungen bei gemeinnützigen Organisationen
  • Erfahrung in der Prüfung und Optimierung IT-gestützter Geschäftsprozesse
  • Begleitung von Software-MigrationenErfahrung im Auf- und Ausbau informationstechnischer Sicherheitssysteme (z. B. ISMS n. DIN ISO 27001)
  • Referent bei verschiedenen internen und externen Fortbildungsveranstaltungen im Bereich der IT-Revision
  • Autorentätigkeit
  • Leitung des KompetenzTeam Prüfungsnahe IT-Anwendungen der Solidaris

Mitgliedschaften

  • ISACA International/German Chapter
  • Deutsches Institut für Interne Revision e. V. (DIIR)

Veröffentlichungen in der Fachpresse
2020

  • Datenschutz und Informationssicherheit in der Altenhilfe: So schützen Sie sich und die Daten der von Ihnen betreuten Menschen: Pflege Management, 2-3/2020, S. 10.

Veröffentlichungen in der Fachpresse
2019

  • Prüfung jetzt!: Health&Care Management, 4/2019, S. 60-61.
  • IT-Sicherheit 2019: Best Practice und typische Fallstricke im Krankenhaus: Wümek, 5/2019,
    S. 126-127.
  • Wie sichern Sie Ihre Kronjuwelen? Der Umgang mit Informationswerten im digitalen Zeitalter: PflegeManagemet, 10/11/2019, S. 11.