:quality(80)/p7i.vogel.de/wcms/53/6b/536b37e3daf47fb90db60ffca0b11e85/0118142394.jpeg "Ein Beratungsangebot für die Cybersicherheit in Kommunen: Über eine fiktive Kommune werden Cyberangriffe simuliert und Handlungsmöglichkeiten aufgezeigt. (©Катерина Євтехова – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/4f/b64f456a610cd3fd2188f865afeeef58/0118191530.jpeg "Fabian Ziegler, stellvertretender Vorsitzender des Augsburger Digitalrats. (© TEAM23)")
:quality(80)/p7i.vogel.de/wcms/10/c0/10c09b1a74a0c96dfb456c08d6d4e57b/0118127141.jpeg "(Bild: Maksim Kabakou – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/2c/f62c38c4691c2c01d7949cce6b76411f/0118125904.jpeg "(© kilimanjaro – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f407a8e795bbf33d2507396a944999b1/0118187904.jpeg "Die Registerlandkarte enthält Registerinformationen, wie Name, Beschreibung, Kategorisierung, Rechtsgrundlagen, Technische Informationen, Verknüpfungen zu Leistungen und Nachweisen. (©rrice – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/b8/3fb8b31fddc1948c72e9dc4cbaba8001/0118150140.jpeg "Ein interaktives und mit KI ausgestattete Klassenzimmer – mit dem digitalen Fortschritt eröffnen sich allerlei Möglichkeiten, für das Bildungssystem Kompetenzen und Wissen zu fördern. (©Zaleman – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/d3/10d3f6186c77c1feb781677dbc8e5a48/0118095101.jpeg "Die 115 ist die zentrale Telefonnummer der Öffentlichen Verwaltung. (© blobbotronic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/67/0b67329f071038086431ff662ae852b6/0118069935.jpeg "Die IT-Infrastruktur wird nach den Hackerangriffen in Vorpommern-Rügen neu aufgebaut und die Leistungen der Zulassungs- und Fahrerlaubnisbehörde können wieder wahrgenommen werden. (©peterschreiber.media – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/88/928890319d4b9ec7f863059d0d5009b7/0117071097.jpeg "Beim Abschlusspanel des 27. Europäischen Verwaltungskongresses wurden die Ergebnisse der vier Fachforen zusammengetragen und Impulse für den Arbeitsalltag in der Verwaltung gesetzt. (© Vogel IT-Medien GmbH / Johannes Kapfer)")
:quality(80)/p7i.vogel.de/wcms/df/b3/dfb32d42c3cd22159e14d6c15246d34a/0116969784.jpeg "(Bild: MarkRademaker – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/c0/47c09abe598c961d1307149cb4ca6e8c/0116558121.jpeg "Mit der Überwachungsgesamtrechnung soll das Netz an Überwachungsbefugnissen auf wissenschaftlicher Grundlage ermittelt und analysiert werden. (©Synesthesia AI Stock – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/3a/a73aca22b2ef5d55310a1fedec7d9ef5/0116425698.jpeg "Das Urheberrecht gilt nicht nur für gedruckte Werke, auch bei frei zugänglichen Materialen im Netz ist dieses zu beachten. (Bild: Sri – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/38/5138f8e1b5d847f8f67b87be6d0a67c0/0118036710.jpeg "Informationssicherheitsbeauftragte, Mitarbeiter von Landes- und Kommunalverwaltungen bzw. deren Institutionen oder Einrichtungen (z. B. kommunale IT-Dienstleister) waren am Kongress beteiligt. (©sizsus – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/b3/70b317e05a69a769a50617ecb34e2fde/0118045541.jpeg "Ralf Stettner ist der neue CIO des Landes Hessen. (© Hessisches Ministerium für Digitalisierung und Innovation)")
:quality(80)/p7i.vogel.de/wcms/1c/27/1c2761f2f67962f919d884846b1f9018/0117986213.jpeg "(v. l.) Dennis Miller (Prosoz), Leslie Czienienga (Prosoz) und André Vonthron (VSK) (© prosoz.de)")
:quality(80)/p7i.vogel.de/wcms/45/54/4554cb608ba640cbb7c0ccfa1de0eb1e/0117759256.jpeg "Der Oberbürgermeister hat im Hauptausschuss seine Vorschläge für die zukünftigen Mitglieder vorgestellt – sechs neue Mitglieder soll der Digitalrat in Potsdam bekommen. (Bild: Alwie99d – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9c/21/9c2184e4a6c6f69e42da1b6bc7b75fbb/0118132991.jpeg "(© iStock/Computacenter)")
:quality(80)/p7i.vogel.de/wcms/09/14/0914be05006ccff4b31c9fe3b20b5018/0117547747.jpeg "(© shutterstock_1857216142, anyaberkut)")
:quality(80)/p7i.vogel.de/wcms/18/eb/18eb7727b93a1b6b79c0fc39e39906ca/0117380549.jpeg "(© Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/9b/31/9b31da32b9c43c4eee44382d046ca162/0116862123.jpeg "(© Syda Productions – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/30/e5306226b8ed3c71f4b15dff96179e15/0112479295.jpeg "eGovernment Summit 2023: Gespannt verfolgten die Teilnehmenden die Paneldiskussion zum Thema „Beyond OZG“ (©Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/07/be/07be94eba5a59c8027e7022f4b90cd2a/0118161692.jpeg "(© ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/30/5c/305c962276db5649b3c05f6899328021/0118158425.jpeg "(© Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/5a/28/5a28b92026cca328881c37e56e34d1ce/0114238949.jpeg "Die Gewinner des eGovernment Readers' Choice Award 2023 (©Offenblen.de)")
:quality(80)/p7i.vogel.de/wcms/80/18/8018b1e135c7834d4bfb2cc8dc98f19a/0118035545.jpeg "Die Effizienz eigener IT-Systeme kann durch Interoperabilität maximiert werden. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/0c/df/0cdf097a6c594c8d6b3c5348b4d1a1f0/0118033622.jpeg "Unified Markup Language (UML) ermöglicht effizientes Design und Kommunikation. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c9/99/c999e370a9fb5d85def4e8de67429c64/0118031915.jpeg "Effiziente Softwareentwicklung mit der Plattform OpenCoDE. (Bild: scyther5, Getty Images via Canva.com)")
Cyber-Security KRITIS 2.0: Neue Vorgaben an die IT-Sicherheit
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/123500/123503/65.png "GISA_Xing-Profilbild.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/54/6554d90caa9d3/fp-dbs-logo-jpg.jpeg "fp-dbs-logo-jpg (FP Digital Business Solutions GmbH)"){kind=logo}
In Deutschland sind kritische Infrastrukturen wie Krankenhäuser und medizinische Labore seit 2016 dazu verpflichtet, sich gegen digitale Bedrohungen abzusichern. Mit der Novelle des IT-Sicherheitsgesetzes hat die deutsche Bundesregierung die Anforderungen an KRITIS-Betreiber nun weiter verschärft. Helmut Semmelmayer von tenfold verrät, was sich durch KRITIS 2.0 ändert.
Der Siegeszug von Ransomware & Co. macht auch vor dem Gesundheitswesen nicht halt: Immer öfter werden Kliniken zum Ziel von Schadsoftware und Cyberangriffen. Der Ausfall des Informationsverbunds kann den normalen Krankenhausbetrieb dabei empfindlich stören, den Zugang zu Patientendaten erschweren und letztlich wichtige Behandlungen verzögern oder verhindern. Als wäre die Lage in medizinischen Zentren aufgrund der Corona-Pandemie nicht angespannt genug.
Angesichts der steigenden Bedrohungslage stößt der Schutz digitaler Systeme auch in der Politik auf reges Interesse. Um die grundlegende Versorgung der Bevölkerung gegen digitale Angriffe abzusichern, hat die deutsche Bundesregierung etwa durch die BSI-KRITIS-Verordnung 2016 erstmals Sektoren festgelegt, die ein bestimmtes Maß an IT-Sicherheit nachweisen müssen. Auch Krankenhäuser, Labore, sowie die Hersteller von Medikamenten und medizinischen Produkten zählen ab einer gewissen Größe zu diesen kritischen Infrastrukturen.
Durch die Novelle des IT-Sicherheitsgesetzes, die 2021 verabschiedet wurde, und die damit verknüpfte Anpassung der KRITIS-Verordnung (besser als KRITIS 2.0 bekannt) arbeitet der Gesetzgeber nun weiter an der Absicherung essentieller Bereiche der öffentlichen Versorgung. In diesem Überblick erklären wir, was sich für KRITIS-Betreiber jetzt verändert.
Ausweitung von KRITIS
Das erste Ziel von KRITIS 2.0 ist die Ausweitung der Verordnung: Neben der Abfallentsorgung als neuem KRITIS-Sektor entsteht etwa eine neue Kategorie für Unternehmen mit hoher inländischer Wertschöpfung oder solche, die mit Gefahrstoffen und Rüstungsgut arbeiten. Die Novelle passt zudem einige Schwellenwerte in bestehenden Sektoren an. Der Bereich Gesundheit ist von diesen Änderungen im Wesentlichen nicht betroffen. Die einzige Ausnahme bildet die Zusammenfassung der bisherigen KRITIS-Anlagen „Transport- bzw. Kommunikationssystem für Aufträge und Befunde“, die nun unter dem Titel „Laborinformationsverbund“ zusammengefasst werden.
Zusätzlich zur Erweiterung des KRITIS-Geltungsbereiches wird auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit neuen Kompetenzen ausgestattet. Wie bislang sind KRITIS-Betreiber verpflichtet, erhebliche Störungen an die Behörde zu melden und zu diesem Zweck eine Kontaktstelle einzurichten. Das BSI kann nun aber auch eigenständig Informationen zur Behebung von Störungen einfordern, einschließlich personenbezogener Daten.
Als vorbeugende Maßnahme müssen Betreiber in Zukunft darüber hinaus „kritische Komponenten“ in ihrem Informationsverbund beim BSI registrieren. Darunter versteht die Verordnung IT-Produkte (Hardware und Software), deren Ausfall eine KRITIS-Anlage erheblich beeinträchtigen würde, oder die eine zuvor definierte kritische Funktion erfüllen. Diese Funktionen sind bislang allerdings nur für den Sektor der Telekommunikation definiert worden.
Für die Anmeldung von kritischen Komponenten ist außerdem eine Garantieerklärung des jeweiligen Herstellers nötig, der sich dadurch unter anderem verpflichtet, entdeckte Schwachstellen umgehend zu melden und mit dem BSI bezüglich von Sicherheitskontrollen zu kooperieren. Hat das Bundesamt Zweifel an der Sicherheit von Komponenten, kann es den Einsatz (rückwirkend) untersagen. Ob es in der Praxis zu derartigen Fällen kommen wird, muss sich erst zeigen. Jedenfalls ergibt sich für Betreiber durch die Anmeldung der Komponenten zusätzlicher Aufwand bei der Inventarisierung des eigenen Informationsverbundes.
Systeme zur Angriffserkennung
Auch auf technischer Ebene sieht die KRITIS-Novelle eine Änderung vor: Der Einsatz von automatischen Systemen zur Erkennung von Angriffen, die viele Sicherheitsstandards schon jetzt empfehlen, wird durch KRITIS 2.0 ausdrücklich vorgeschrieben – allerdings mit Übergangsfrist bis Mai 2023. Diese Vorgabe bezieht sich auf Software für das Security Information & Event Management (SIEM). Darunter versteht man Systeme, die laufend das eigene Netzwerk überwachen und automatisch auf verdächtige Aktivität hinweisen, etwa fehlgeschlagene Zugriffsversuche oder ein plötzlicher Traffic-Anstieg.
Obwohl sich diese Daten automatisch sammeln lassen, braucht es zur Auswertung eine menschliche Kontrollinstanz, da nur entsprechend geschultes Personal beurteilen kann, ob es sich bei einem Vorfall um einen harmlosen Fehlalarm oder eine echte Bedrohung handelt, und wann das BSI kontaktiert werden muss. Experten sprechen deshalb in einem Atemzug von SIEM und SOC: Automatische Angriffserkennung plus ein laufend besetztes Security Operation Center (SOC), das die Meldungen der Software verarbeitet. Dabei geht es nicht nur um die unmittelbare Reaktion auf Bedrohungen, sondern auch langfristige Erkenntnisse zur Verbesserung der Sicherheitsstrategie oder für die Planung neuer Tests und Kontrollmaßnahmen.
Baustelle Informationssicherheit
Um die neuen Vorgaben an die IT-Sicherheit zu erfüllen, genügt es also nicht, eine SIEM-Lösung zu installieren. Es muss auch der nötige organisatorische und personelle Rahmen geschaffen werden, um die laufende Auswertung zu ermöglichen. Neben der verstärkten Kommunikation mit dem BSI bildet der Auf- bzw. Ausbau des Security Teams die größte neue Hürde für KRITIS-Betriebe, da IT-Abteilungen in der Regel bereits ausgelastet und Fachkräfte nach wie vor schwer zu finden sind.
Dieses Ressourcenproblem lässt sich mit der passenden Software lösen, indem Routineprozesse automatisiert und Fachkräfte somit für wichtigere Aufgaben freigespielt werden. Ansatzpunkte gibt es hier viele, vom automatischen Einspielen wichtiger Updates bis hin zu selbstständigen Backups. Zu den größten Zeitfressern für IT-Abteilungen zählt insbesondere das händische Anlegen neuer Benutzerkonten und die Konfiguration der Zugriffsrechte, die User für ihre Arbeit benötigen. Software-Lösungen für Identitäts- und Berechtigungsmanagement erleichtern die Verwaltung und verbessern gleichzeitig Sicherheit und Datenschutz, da überflüssige Rechte und alte Konten konsequent entfernt werden.
Bei der Verbesserung der IT-Sicherheit sind Krankenhäuser übrigens nicht auf sich allein gestellt. Kliniken, die unter die KRITIS-Verordnung fallen, haben bis 2024 Anspruch auf Fördermittel aus dem Krankenhausstrukturfonds II. Die Investition in Software-Lösungen fällt dabei unter den Fördertatbestand der „Verbesserung der IT-Sicherheit von Gesundheitseinrichtungen“. Nähere Informationen zur Förderung stellt das Bundesamt für Soziale Sicherung bereit.
:quality(80)/images.vogel.de/vogelonline/bdb/1919700/1919737/original.jpg "Seit November 2021 werden vermehrt Förderanträge gestellt (nito - stock.adobe.com)")
Digitale Infrastruktur im Krankenhaus
KHZG: Antragswelle der Länder
* Helmut Semmelmayer ist Senior Manager Channel Sales und Mitglied der Geschäftsführung bei tenfold Software, Wien
(ID:47971967)
:quality(80)/p7i.vogel.de/wcms/3d/47/3d47c5922aa66f55188e4fd8c21d4827/0115533052.jpeg "Kritische Infrastrukturen werden immer häufiger Ziel von Cyber-Attacken. (© kebox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/db/9e/db9ed73a5cc04b601b7883ee36e6a689/0115387799.jpeg "0115387799 (Bild: Purple Penguin GFX – stock.adobe.com)")