Gesundheitsbereich ein „superkritischer Sektor“

Berlin – 141 Vorfälle haben sogenannte Einrichtungen der kritischen Infrastruktur (KRITIS) aus dem Gesundheits­wesen im Berichtsjahr 2024 an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Das zeigt ein neuer Report, den BSI-Präsidentin Claudia Plattner und Innenministerin Nancy Faser (SPD) vorstellten.

Plattner bezeichnete den Gesundheitsbereich heute als einen „superkritischen Sektor“, weil es dabei „um Menschen“ gehe. In Bezug auf das Gesundheitswesen seien viele große Digita­lisierungsprojekte auf den Weg gebracht worden. Bei­spielhaft nannte sie die elektronische Patientenakte (ePA) und das elektronische Rezept (E-Rezept).

Bei all diesen Projekten sei das BSI beteiligt und schaue auf das Thema Cybersicherheit. Man prüfe etwa Architek­turen oder Sicherheitskonzepte und berate dazu. „Wir heben auch einmal die Flagge, wenn wir sehen, das läuft nicht in die richtige Richtung“, sagte Plattner.

Solche Meldungen beträfen aber nicht nur das Bundesministerium für Gesundheit (BMG), sondern etwa auch die entsprechenden Institutionen wie etwa die Gematik oder die Krankenkassen. Plattner sprach von einem engen Austausch mit dem Ministerium und den Akteuren.

Insgesamt waren im Berichtszeitraum 726 Meldungen (2023: 490) aus KRITIS-Einrichtungen bei der Behörde ein­gegangen. Das BSI-Gesetz sieht eine Meldepflicht für KRITIS-Betreiber vor. Diese gilt für Störungen, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der KRITIS geführt haben oder führen könnten.

Zu den KRITIS-Betreibern gehören neben Betrieben aus dem Gesundheitssektor Bereiche wie Energie, Wasser, Ernährung, IT- und Telekommunikation, Finanz- und Versicherungswesen, Transport und Verkehr und Abfallent­sorgung.

Das BSI spricht in dem Report insgesamt von einer „anhaltend angespannten Gefährdungslage“ für Unternehmen . Die Zahl der Cybervorfälle steige. Dies gelte auch für die Teilmenge der Unternehmen, die zu den Kritischen Infra­strukturen gehörten.

„Erfolgreiche Angriffe auf KRITIS-Betreiber können nicht nur zu wirtschaftlichen Schäden führen, sondern sich auch auf die Versorgung der Bevölkerung mit kritischen Dienstleistungen auswirken“, so der Report. Um diesen Heraus­forderungen zu begegnen, müssten Betreiber ein hohes Niveau an Cybersicherheit erreichen und halten.

Die Bundesregierung plante zuletzt, Deutschland besser zu wappnen. Einen Gesetzentwurf zum besseren Schutz von kritischer Infrastruktur, der 1.400 bis 1.500 Unternehmen aus Bereichen wie Energie- oder Gesundheitsver­sor­gung verpflichten soll, sich gegen Ausfälle zu schützen, hat das Bundeskabinett zwar verabschiedet.

Ob es nach dem Ampel-Aus im Bundestag aber noch vor den Neuwahlen behandelt wird, ist offen. Plattner betonte heute, sie würde es begrüßen, wenn das Parlament das Gesetz noch verabschieden würde.

may