superbanner image
skybanner image

Nachholbedarf bei KMU

Die Hacker-Angriffe Mitte 2017 haben eindringlich gezeigt, dass Viren, Trojaner und andere schädliche Software nicht bei dem heimischen PC oder dem Smartphone in der Tasche Halt machen. Im Rahmen der fortschreitenden Digitalisierung können die unterschiedlichsten Lebensbereiche betroffen sein: von der Logistik über die Wirtschaft bis hin zum Gesundheitswesen. Mit dem Schutz solcher Kritischen Infrastrukturen (KRITIS) im digitalen Sektor ist das Bundesamt für Sicherheit in der Informationstechnologie (BSI) betraut.

Am 25. Juli 2015 trat das IT-Sicherheitsgesetz in Kraft. Im Fokus des Gesetzes steht die Absicherung der Informationstechnologie in sieben von neun KRITIS-Sektoren. Kernpunkte der Neuregelungen sind die Berücksichtigung des aktuellen Stands der Technik, regelmäßige Prüfungen sowie unverzügliche Meldungen an das BSI im Falle erheblicher Störungen. „Unabhängig davon, ob sie vom IT-Sicherheitsgesetz betroffen sind, sind alle IT-Geräte potenzielle Ziele für Cyber-Attacken. Besonders gefährdet sind sie, wenn sie an das Internet angeschlossen sind“, erklärt ein Sprecher des BSI.

Software legt Krankenhäuser lahm 

Die Gefährlichkeit von Cyber-Attacken belegen Zahlen aus einer Studie des Digitalverbandes „Bitkom“: Jedes zweite Unternehmen in Deutschland ist innerhalb der letzten zwei Jahre Opfer solcher Angriffe geworden. Gipfel dieser digitalen Attacken waren die weltweiten Angriffswellen „Wanna-Cry“ und „NotPetya“ im Mai sowie Juni 2017. Große Sorge bereitet den Experten des BSI ein ganz spezieller Bereich: „Im Gesundheitswesen werden besonders sensible Patientendaten verarbeitet. Neben einem möglichen Datendiebstahl ist aber auch die Verfügbarkeit dieser Informationen von besonderer Bedeutung. Der WannaCry-Angriff, bei dem rund 60 Krankenhäuser in Großbritannien ihre Patienten nicht mehr hinreichend versorgen konnten, ist hier ein warnendes Beispiel“, heißt es von Seiten des BSI. Bereits im Februar 2016 musste auch ein deutsches Krankenhaus wegen Erpressungssoftware für einige Tage in den Notbetrieb gehen.

Gesundheitssektor fällt unter IT-Gesetz

Es überrascht deshalb nicht, dass die Cyber-Sicherheit im Gesundheitssektor eines der zentralen Themen des diesjährigen vom Bundesministerium für Wirtschaft und Technologie ausgerichteten Digital-Gipfels Anfang Juni gewesen ist: „Die Digitalisierung prägt seit Jahren die Entwicklungen in der Gesundheitsbranche“, weiß Arne Schönbohm, Präsident des BSI, „der Gestaltung der IT-Sicherheit kommt damit eine herausragende Bedeutung zu – denn es geht um Leib und Leben.“ Der Gesundheitssektor sei von den typischen Cyber-Bedrohungen nicht ausgenommen und sich dieser Gefährdung und der daraus wachsenden Verantwortung meist bewusst. „Dennoch sehen wir hier Handlungsbedarf, um die IT-Sicherheit noch stärker in den Geschäftsprozessen zu verankern. Das IT-Sicherheitsniveau im Gesundheitssektor ist robust aufgestellt, für eine Kritische Infrastruktur aber noch nicht zufriedenstellend“, betonte BSI-Präsident Schönbohm.

Seit Ende Juni 2017 gilt das IT-Gesetz deshalb auch für Unternehmen des Gesundheitswesens. Es sieht vor, dass Betreiber Kritischer Infrastrukturen verpflichtet sind, binnen zwei Jahren ein Sicherheitsniveau auf dem aktuellen Stand der Technik zu belegen. Dazu erklärt das BSI: „Nach Inkrafttreten der entsprechenden Verordnung Ende Juni können Akteure des Gesundheitswesens anhand transparenter Kriterien überprüfen, ob sie unter das IT-Sicherheitsgesetz fallen. Die Umsetzung entsprechender Maßnahmen wird dann künftig im Auftrag des BSI kontrolliert.“

Informationssicherheit mitdenken

Dabei gilt es, eine Vielzahl unterschiedlicher adäquater Maßnahmen zu erfüllen. An erster Stelle steht die Einführung eines Managementsystems für Informationssicherheit, das unter anderem Aktualisierungsprozesse und Zugriffsrechte regelt. Auf diese Weise kann weder unerwünschte Software noch ein unberechtigter Benutzer ins System eindringen. „Besonders wichtig ist auch eine Netzwerksegmentierung, damit einzelne infizierte Systeme nicht ein ganzes Netzwerk stören können“, so ein BSI-Sprecher. Das Netzwerk wird dabei in kleine Teile gesplittet, sodass Schadsoftware auf einen Bereich isoliert werden kann. Die wohl wichtigste Maßnahme sind jedoch regelmäßige Sicherungskopien, sogenannte Back-ups. Diese erlauben es, durch Ransomware verschlüsselte Daten einfach wiederherzustellen.

Mögliche Sicherheitslücken in der Hardware schließt man am besten, indem immer die aktuellste Software verwendet wird oder durch die Isolierung von nicht geschützten Bereichen und Geräten. Insbesondere bei Medizinprodukten muss die Informationssicherheit sowohl von Hard- wie auch von Software stets mitgedacht werden. Hersteller sind in der Verantwortung, den Schutz entsprechender Geräte schon bei der Entwicklung zu berücksichtigen. Von besonderer Bedeutung ist dies beim Auf- und Ausbau von vernetzten Systemen und Infrastrukturen im Gesundheitswesen, etwa bei der Telematikinfrastruktur oder der Elektronischen Gesundheitskarte. Ein weiterer unverzichtbarer Bestandteil der sicheren Anwendung von IT-Produkten im medizinischen Umfeld ist schließlich die Sensibilisierung der Nutzer für die Gefahren von Cyber-Attacken.

Gutes Niveau mit Nachholbedarf

Obwohl die Auswirkungen der Cyber-Angriffswellen zunächst Anderes vermuten lassen, befindet sich Deutschland bei den Kritischen Infrastrukturen der Bundes- und Landesbehörden sowie der großen Konzerne auf einem hohen Niveau. Bei kleinen und mittelständischen Unternehmen sieht das BSI allerdings Nachholbedarf: „Viele nehmen die Bedrohung nicht ernst genug“, glaubt Bundesamtspräsident Schönbohm, „Informationssicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung. Deshalb muss IT-Sicherheit Chefsache sein!“

Bürger und Unternehmen seien in der Verantwortung, ihre IT-Infrastruktur bestmöglich abzusichern, ähnlich wie sie es mit ihrer Wohnung oder einem Bürogebäude auch täten. Dazu bietet das Bundesamt Unterstützung in Form zahlreicher Initiativen, Empfehlungen und Hinweise. Daneben gibt es die BSI-Kooperationsplattform „Allianz für Cyber-Sicherheit“, auf der sich kleine und mittelständische Unternehmen mit dem BSI und mit über 2.300 anderen Firmen über Herausforderungen und Lösungsansätze der ITSicherheit austauschen können.

Alexander Müller

Kritische Infrastrukturen

Kritische Infrastrukturen versorgen die Gesellschaft mit Dienstleistungen, ohne die das moderne Leben nicht denkbar wäre. Dazu gehören insbesondere die Bereiche Wasser, Lebensmittel und Gesundheitsservices, Strom und Telekommunikation, Finanzen und Transport sowie die Verfügbarkeit von Datennetzen und -verarbeitung. Ein Großteil dieser elementaren Infrastrukturen hängt heutzutage vom Funktionieren der entsprechenden IT-Systeme ab.

Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist im Geschäftsbereich des Bundesministeriums des Innern für Fragen der IT-Sicherheit zuständig. Das BSI als die nationale Cyber-Sicherheitsbehörde hat den Auftrag, im Rahmen fortschreitender Digitalisierung durch Prävention, Detektion und Reaktion für Informationssicherheit von Staat, Wirtschaft und Gesellschaft zu sorgen. Mit Unterstützung des Bundesamts soll die IT-Sicherheit von privaten Unternehmen als wichtiges Thema erkannt und eigenverantwortlich umgesetzt werden.