Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
Handelsblatt Inside

Ukraine-Krieg BSI warnt vor mehr Cyberangriffen

IT-Experten schätzen, dass Krankenhäuser die IT-Sicherheit ad hoc nicht hochfahren können. Kliniken äußern sich zurückhaltend, wenn es um die Umsetzung der geforderten Maßnahmen geht.
14.03.2022 - 08:09 Uhr Kommentieren
Laut Experten ist die IT-Security in Deutschland unterfinanziert. Quelle: imago images/Chris Emil Janßen
IT-Sicherheit

Laut Experten ist die IT-Security in Deutschland unterfinanziert.

(Foto: imago images/Chris Emil Janßen)

Düsseldorf Angesichts des Ukrainekrieges wächst bei Sicherheitsbehörden die Sorge vor Cyberangriffen. Das Bundesinstitut für Sicherheit in der Informationstechnik (BSI) hatte eine Warnung an Unternehmen, Behörden und Kliniken geschickt, in dem die Behörde die Bedrohungslage mit der zweithöchsten Warnstufe orange bewertet.

Erreichen will das BSI mit der Warnmeldung nicht nur Kliniken, die zur Kritischen Infrastruktur (KRITIS) zählen, sondern alle Krankenhäuser. Ein Krankenhaus ist ein KRITIS-Betreiber, wenn dort jährlich 30.000 Patienten stationär behandelt werden.

Diese Einrichtungen müssen sich an gesetzliche Vorgaben und IT-Sicherheitsstandards halten. Durch das Patientendaten-Schutz-Gesetz werden aber auch kleinere Krankenhäuser in die Verantwortung gezogen, ihre IT-Sicherheit auf den aktuellen Stand der Technik zu bringen. Doch welche Bedeutung hat die BSI-Warnung nun für medizinische Einrichtungen?

Handelsblatt Inside gegenüber betont das BSI, dass es aktuell keine branchenspezifische Bedrohungslage geben würde. Die Sicherheitsrisiken für KRITIS-Betreiber wie Kliniken seien zudem eher Nebeneffekte, die aus Cyberangriffen resultieren würden.

„Wenn ein Satellit angegriffen wird, können IT-Services gestört werden, die auch von anderen Einrichtungen genutzt werden“, teilt die Bundesbehörde mit. Wird die Funktionsweise eines Satelliten also einmal unterbrochen, wirkt sich das auch auf andere Einrichtungen aus, die einen gleichen IT-Service nutzen.

Mit der Warnmeldung möchte das BSI bewirken, dass IT-Verantwortliche in Kliniken „in Aktion treten“. „Das heißt, sie sollen wachsamer und aktionsbereiter sein“, erklärt die Bundesbehörde.

Backups für die Klinik-Sicherheit

Manuel Atug ist als leitender Entwickler bei der IT-Sicherheitsberatung Hisolutins beschäftigt und KRITIS-Prüfer. Kliniken müssten nach der Warnmeldung nun mehr auf Ungereimtheiten in Systemen achten. Das BSI empfiehlt, tägliche Backups zu erstellen. Das sollte laut Atug in jeder Klinik schon lange Standard sein.

„Das ist für einen ITler etwa so wie, wenn man einem Autofahrer sagt, schnalle dich an und benutze ein Airbag – manche Menschen schnallen sich im Auto trotzdem nicht an“, sagt er. Seiner Einschätzung nach werde IT-Sicherheit weltweit noch kleingeschrieben.

Einen ähnlichen Eindruck hat Tilman Frosch, selbstständiger IT-Sicherheitsberater: „Die Resilienz aller Sektoren ist in der Fläche nicht ausreichend und das lässt sich auch nicht kurzfristig ändern.“ Für die meisten Bereiche habe sich die Bedrohungslage durch den Ukrainekrieg und die wirtschaftlichen Sanktionen gegen Russland nicht geändert, vereinzelten Vergeltungsdrohungen durch russische Kriminelle zum Trotz.

Die Verteidigung lasse sich in der Kliniklandschaft aber nicht beliebig schnell hochfahren, fährt Frosch fort. „Und Deutschland hat gerade erst vorsichtig begonnen, die chronische Unterfinanzierung der IT-Sicherheit im Gesundheitswesen anzugehen.“ So sollten im Rahmen des Krankenhauszukunftsgesetzes zwar Mittel für diesen Bereich zur Verfügung gestellt werden, laut Handelsblatt-Inside-Recherchen fließt aber noch kein Geld in die IT-Sicherheit, weil Anträge schleppend bewilligt werden (siehe Inside).

Kliniken äußern sich zurückhaltend

Rudolf Dück, IT-Leiter am Universitätsklinikum Schleswig-Holstein, sagt, dass die IT-Sicherheit in seiner Uniklinik unabhängig von den KHZG-Anträgen gewährleistet werden könnte. „Im Rahmen des KHZG werden Erweiterungen für neue Anwendungsverfahren durchgeführt.“

Die neuesten Empfehlungen und Hinweise vom BSI würde die Uniklinik bei der Konfiguration der Infrastruktur berücksichtigen. Genauer möchte Dück die Umsetzung allerdings nicht darlegen.

Das Charité-Universitätsklinikum in Berlin bestätigt Handelsblatt Inside gegenüber, dass die vom BSI empfohlenen Maßnahmen „kurzfristig und situationsbedingt“ erfüllt werden. Ähnlich reagieren Kliniken auf die BSI-Warnmeldung, die zu der Asklepios-Gruppe zählen: „Dort wo es notwendig ist, werden Maßnahmen ab sofort umgesetzt.“ Dabei müsse aber „die Aufrechterhaltung der Versorgungsfähigkeit“ beachtet werden, teilt die Klinikgruppe mit.

Auch die Deutsche Krankenhausgesellschaft äußert sich zu der BSI-Warnmeldung nur zurückhaltend: „IT-Sicherheit bedeutet im Krankenhaus am Ende jedoch immer auch Patientensicherheit und ist folglich eine Herausforderung für alle Krankenhäuser.“

Mehr: Das Expertengremium für Interoperabilität gründete zwei Arbeitskreise und leitete die Aufnahme von Mitgliedern in den sogenannten Expertenkreis ein

E-Mail Pocket Flipboard
0 Kommentare zu "Ukraine-Krieg: BSI warnt vor mehr Cyberangriffen"

Das Kommentieren dieses Artikels wurde deaktiviert.