Jörg Rauschenberger
Im digitalen Zeitalter rückt die IT-Sicherheit von Unternehmen immer mehr in den Fokus. Hier lagern eine Vielzahl von Daten, die für Dritte einen hohen ökonomischen Wert besitzen: Neben Kundendaten wie Kreditkarten- und Kontoinformationen, Anschrift oder E-Mailadressen finden sich auch sensible Unternehmensdaten, aus denen sich die Unternehmensstrategie ableiten lässt.
Aus diesem Grund werden IT-Systeme zunehmend Gegenstand von Angriffen. Dabei entwenden Hacker Unternehmensdaten und setzen diese für illegale Zwecke ein. Dies birgt für Unternehmen und ihre Kunden große Risiken.
Aufgrund dieser Gefährdungslage trat im Juli 2015 ein Gesetz zur Erhöhung der Sicherheit informationstechnischer System in Kraft – das IT-Sicherheitsgesetz. Dieses änderte eine Reihe bestehender Gesetze und verpflichtet Betreiber von kritischen Infrastrukturen zu Mindestsicherheitsstandards und Meldung von IT-Sicherheitsvorfällen.
Was sind kritische Infrastrukturen?
Das IT-Sicherheitsgesetz regelt hierzu Folgendes:
„Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die (1) den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und (2) von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.“
Die Definition einer Anlage für kritische Infrastruktur findet sich in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-KritisV.
Kritische Dienstleistungen und Infrastrukturen im Sektor Gesundheit
Kritische Dienstleistungen zur Versorgung der Allgemeinheit im Sinne der BSI-KritisV sind Dienstleistungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde. Im Sektor Gesundheit sind dies (i) die stationäre medizinische Versorgung, (ii) die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind, (iii) die Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper und (iv) die Laboratoriumsdiagnostik.
Kritische Infrastrukturen im Sektor Gesundheit sind Anlagen oder Teile solcher Anlagen, die den in Anhang 5 Teil 3 Spalte B der BSI-KritisV genannten Kategorien zuzuordnen sind und die für die stationäre medizinische Versorgung, die Versorgung mit Medizinprodukten, die Verbrauchsgüter sind, die Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper und die Laboratoriumsdiagnostik in den Bereichen erforderlich sind, die in den Absätzen 2 bis 5 der BSI-KritisV genannt werden, und die in der der BSI-KritisV genannten Schwellenwerte überschreiten. Krankenhäuser gelten danach als Kritische Infrastrukturen, wenn die Anzahl der vollstationären Fallzahlen pro Jahr 30.000 überschreitet. Labore sind als Kritische Infrastrukturen einzuordnen, wenn die Anzahl der Aufträge pro Jahr 1,5 Mio. überschreitet. Apotheken wiederum gelten als Kritische Infrastrukturen, wenn sie pro Jahr mehr als 4,65 Mio. Packungen abgeben.
Schnittstellen zu kritischen Infrastrukturen aus anderen Sektoren
Dass kritische Infrastrukturen im Sektor Gesundheit anzutreffen sind, ist wenig überraschend. Sensible Patientendaten haben einen besonders hohen monetären Wert. Werden diese entwendet oder manipuliert, drohen dem betroffenen Menschen unter Umständen irreparable Schäden, die sogar lebensgefährdend sein können.
Die besondere Stellung des Sektors wird allein durch die Abhängigkeit von sektorfremden kritischen Infrastrukturen deutlich. So ist beispielsweise für Leistungserbringer die Versorgung mit Energie und Wasser essenziell. Die Verpflegung der Patienten im stationären Bereich wird durch Kooperationen mit dem Ernährungssektor gesichert. Und schließlich hat auch der Sektor Transport und Verkehr für die Gesundheit eine große Bedeutung, wenn es um ein funktionierendes Gesundheitssystem geht.
Versorgungssicherheit heißt auch IT-Sicherheit
Dass die Versorgung der Bevölkerung im Gesundheitssektor gesichert wird, ist keine Errungenschaft des IT-Sicherheitsgesetzes. Dieses Prinzip ist bereits seit langem ein Kernbestandteil des Sozialversicherungsrechts. Neu ist allerdings, dass mit dem Gesetz flankierende Maßnahmen in Kraft treten. Denn Hacker-Angriffe auf Krankenhäuser und andere Gesundheitseinrichtungen sind bereits Realität. Sie können die medizinische Versorgung der Bevölkerung beeinträchtigen und im Extremfall sogar ausschließen. Dies soll das IT-Sicherheitsgesetz in Zusammenspiel mit der BSI-KritisV verhindern.
Jörg Rauschenberger