Krankenhäuser rüsten sich gegen Cyberattacken
Dieser Artikel ist älter als ein Jahr!
Große Krankenhäuser und Kliniken in Deutschland müssen sich künftig intensiver um die Sicherheit ihrer IT-Infrastruktur kümmern. Ab Ende Juni gelten nach dem IT-Sicherheitsgesetz auch Krankenhäuser als „kritische Infrastruktur“. Betroffen seien allerdings „nur die großen Pötte“, erklärte Matthias Fischer vom Bundesinnenministerium am Dienstag auf einem Expertenforum in Berlin.
Die neuen Regeln gelten für insgesamt 110 Krankenhäuser und Kliniken, die mindestens 30.000 Behandlungsfälle im Jahr vorweisen. Die großen Einrichtungen hätten allerdings schon von jeher viel in IT-Sicherheit investiert, lautete die Kritik auf dem Forum. Dass kleinere Einrichtungen dabei nicht berücksichtigt würden, sei „mit der Versorgungsrealität nicht in Einklang zu bringen“, kritisierte zuletzt auch der Marburger Bund.
So falle etwa das Lukaskrankenhaus in Neuss, das im vergangenen Jahr Ziel eines Cyberangriffs gewesen sei, nicht unter die neuen Regelungen. Das Innenministerium könne aber die Versorgungsstrukturen nur aus Bundessicht bestimmen, sagte Fischer. Aus regionaler Sicht seien kleinere Häuser dagegen natürlich von großer Bedeutung.
WannaCry
Erst vor sechs Wochen waren von der Cyberattacke durch den Erpressungstrojaner „WannaCry“ allein in Großbritannien zahlreiche Krankenhäuser lahmgelegt worden. Die aktuell grassierende Attacke hat zumindest ein Krankenhaus im amerikanischen Pittsburgh erfasst. Eine Reihe von Referenten hatten auf dem Expertenforum in Berlin kurzfristig ihre Teilnahme wegen des laufenden Cyber-Angriffs abgesagt.
Die Angriffe seien sehr breit gestreut gewesen, sagte Jan Neuhaus von der Deutschen Krankenhausgesellschaft und appellierte gegen „Panikmache“. Bereits in den bislang bestehenden Strukturen hätten Krankenhäuser eigene Notfallpläne. Dennoch seien die Gefahren real, „und selbst zufällige Angriffe können erhebliche Schäden verursachen“.
Bislang basierte die Sicherung der IT-Systeme in Krankenhäusern weitgehend auf Freiwilligkeit. Künftig müssen sie etwa eine Kontaktstelle für IT-Sicherheitsfragen rund um die Uhr unterhalten und „erhebliche Störungen“ an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
Kommentare