Aber was steht eigentlich in dieser Rechtsverordnung?

Sie ist Teil der Umsetzung des IT-Sicherheitsgesetzes (BSIG) und nimmt insbesondere Betreiber sogenannter kritischer Infrastrukturen (KRITIS) in die Pflicht. Dazu zählen etwa die Wasser- und Stromversorgung, Finanzen, Telekommunikation und der Gesundheitssektor. Kritisch ist eine Infrastruktur immer dann, wenn bei einem Versorgungsausfall drastische Auswirkungen auf Wirtschaft, Staat und Gesellschaft zu erwarten sind. Im Gesundheitswesen betrifft die Verordnung vor allem Krankenhäuser, und zwar konkret jene, die mehr als 30.000 vollstationäre Fälle pro Jahr zu verzeichnen haben.

Das Gesetz sieht vor, dass nach dem Roll-Out binnen sechs Monaten eine Kontaktstelle für das BSI (Bundesamt für Sicherheit in der Informationstechnik) benannt werden muss (§ 8b Abs. 3 BSIG), erhebliche Störfälle sind zu melden (§ 8b Abs. 4 BSIG). Spätestens nach Ablauf einer Zweijahresfrist müssen geeignete Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme sowohl getroffen wie auch erstmals geprüft bzw. auditiert worden sein (§ 8a Abs. 1-3 BSIG).

Betreiber und Fachverbände sind gefragt

Woran sich diese Vorkehrungen zu orientieren haben, umschreibt der Gesetzgeber mit „Stand der Technik“ – ein Passus, der dem Versuch gleiche, „einen Pudding an die Wand zu nageln“, umschreibt Jan Neuhaus von der Deutschen Krankenhausgesellschaft e.V. die Situation im Rahmen der – zum Teil sehr hitzigen – Podiumsdiskussion. Es ist allerdings so, dass an dieser Stelle die betroffenen Betreiber und Fachverbände gefragt sind, um die Worthülse „Stand der Technik“ mit Leben zu füllen und in Form eines branchenspezifischen Sicherheitsstandards (B3S) anwendbar zu machen (§ 8a Abs.2 BSIG) – von dieser Seite sei jedoch noch zu wenig passiert.

Und was haben die Hersteller damit zu tun?

Das BSI-Gesetz verpflichtet zwar vordergründig die Betreiber kritischer Infrastrukturen, dennoch ist eines klar: Erhöht sich der Druck von oben, wird dieser unweigerlich nach unten – in diesem Falle also in Richtung der Hersteller von IT-Lösungen – weitergegeben. Der IT-Sicherheitsforscher Florian Grunow geht in seinem Vortrag auf der conhIT sogar noch ein Stück weiter und plädiert dafür, dass die Hersteller grundsätzlich für die IT-Security verantwortlich sein sollten. „Security by design“ heißt das Zauberwort, wobei der Dialog zwischen Betreibern und Herstellern eine herausgehobene Stellung einnehmen muss. Einerseits sollten die Krankenhäuser unbedingt in die Ausarbeitung von Sicherheitsleitlinien investieren, andererseits müssen die Hersteller sich ihrer Mitwirkungspflicht bewusst sein und die entsprechenden Anforderungen bereits in der Entwicklung konsequent umsetzen.