Im „Umsetzungsplan Kritische Infrastrukturen“ (UP KRITIS) wurde hierzu eine Einteilung in zehn Sektoren vorgenommen, zu denen neben Energie, Informationstechnik und Telekommunikation, Transport und Verkehr auch Wasser, Ernährung, Finanz- und Versicherungswesen sowie Gesundheit zählen.

Krankenhäuser sichern die stationäre Gesundheitsversorgung in Deutschland und sind unstreitig Teil dieser Kritischen Infrastrukturen. Zu den teilweise erheblichen Anforderungen an Betreiber, welche durch das IT-Sicherheitsgesetz für Kritische Infrastrukturen festgelegt wurden, zählen insbesondere die Verpflichtung, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung (damit voraussichtlich zum 1.1.2019) „angemessene organisatorische und technische Maßnahmen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.“ Hierzu muss mindestens alle zwei Jahre die Erfüllung dieser Anforderungen auf „geeignete Weise“ durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachgewiesen werden. Weiterhin ist dem BSI binnen 6 Monaten nach Inkrafttreten der Rechtsverordnung eine jederzeit erreichbare Kontaktstelle zur Krisenfrüherkennung, Krisenreaktion und Krisenbewältigung sowie Koordinierung der Zusammenarbeit zum Schutz der Sicherheit in der Informationstechnik Kritischer Infrastrukturen zu benennen. Es ergeben sich darüber hinaus Meldeverpflichtungen hinsichtlich erheblicher Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse. Dies gilt bereits dann, wenn eine potenzielle Störung oder Beeinträchtigung vorliegt, auch wenn diese noch nicht zu tatsächlichen Auswirkungen geführt hat.

Im Kontext der aktuellen Angriffe mit sogenannter „Ransomware“, welche durch Verschlüsselung von Datenbeständen mit anschließenden Erpressungsversuchen auch Krankenhäuser betroffen haben, geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) zwar nicht von gezielten Angriffen auf Krankenhäuser aus, stellt aber ausdrücklich fest, dass „Krankenhäuser […] aufgrund ihrer herausragenden Bedeutung für das Wohlergehen der Bevölkerung ein wichtiger Teil der Kritischen Infrastrukturen [sind]. Sie haben daher eine besondere Verpflichtung, die Verfügbarkeit ihrer Dienstleistungen sicherzustellen. Um dem gerecht zu werden, sollten Krankenhäuser die potenziellen Risiken für die Funktionsfähigkeit ihrer Prozesse kennen und diesen durch geeignete Maßnahmen der Prävention, Detektion und Reaktion begegnen.“ Das BSI hat ein Themenpapier zur Thematik „Ransomware“ veröffentlicht, das auch Hinweise für betroffene Einrichtungen enthält.

Eine Aussage, welche Krankenhäuser konkret als „Kritische Infrastruktur“ i. S. d. § 2 Abs. 10 BSI-Gesetz gelten werden, ist derzeit (noch) nicht möglich, da die entscheidende Grundlage hierzu - die entsprechende Rechtsverordnung nach § 10 Abs. 1 BSI-Gesetz, welche sektorspezifische Anhänge zur Definition der kritischen Infrastrukturen enthalten wird - seitens des BMI noch aussteht. Die Verordnung wird seitens des Bundesinnenministeriums in zwei Schritten („Körben“) veröffentlicht. Die Veröffentlichung des Referentenentwurfs zu „Korb 1“, welcher die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation umfasst, erfolgte Anfang Februar, „Korb 2, welcher auch den Sektor Gesundheit enthalten wird, wird für Ende 2016 erwartet.

Derzeit sind die Rahmenbedingungen (Kriterien, Schwellenwerte, Definition einer „Anlage“ i. S .d. BSI-Gesetz), unter denen ein Krankenhaus zur „Kritischen Infrastruktur“ wird, noch offen. Orientiert man sich an den Vorgaben, welche die Rechtsverordnung für den Sektor „Energie“ festschreibt, so wurde der Jahresdurchschitts-Energieverbrauch je Person erhoben. „Anlagen“ werden als kritisch angesehen, wenn mehr als 500.000 Personen potenziell von einem Ausfall oder einer Beeinträchtigung betroffen sein können. Anlagenspezifisch wurde daher ein Schwellenwert bspw. für einzelne „Erzeugungsanlagen“ (stromerzeugende Kraftwerke) von 3.700 GW/Jahr definiert, ab der ein Standort als kritische Infrastruktur i.S.d. BSI-Gesetzes gilt.

Eine solch eindimensionale Festlegung ist aus Sicht der Geschäftsstelle für den Gesundheitsbereich problematisch, die DKG wird sich im Rahmen der Verordnung jedoch für eine handhabbare Ausgestaltung dieser Kriterien und Schwellenwerte einsetzen und unterstützt die Arbeiten des Branchenarbeitskreis „Gesundheitsversorgung“ im UP KRITIS zur Umsetzung des IT-Sicherheitsgesetzes, insbesondere in der Frage der Festlegung Branchenspezifischer Sicherheitsstandards. Hierzu sollen auch Umsetzungshinweise erstellt werden, welche den betroffenen Krankenhäusern bei der Ausgestaltung der notwendigen Maßnahmen als Hilfestellung dienen können.

Ob ein Krankenhaus schließlich unter die Vorgaben des BSI-Gesetzes hinsichtlich Meldeverpflichtung, Kontaktstelle und Umsetzung branchenspezifischer Sicherheitsstandards fällt, liegt in der Zuständigkeit des Betreibers, der anhand noch zu definierender Kriterien und Schwellenwerte jährlich eine Überprüfung hinsichtlich der Einstufung vorzunehmen hat. Die zunächst geltende Umsetzungsfrist von zwei Jahren nach Inkrafttreten der Rechtsverordnung wird nach aktuellem Stand nicht verlängert, sodass voraussichtlich ab dem 1.1.2019 bei unterjähriger Feststellung des Erfüllens der Kriterien eine Umsetzung ab dem Folgejahr notwendig wird. Krankenhäusern wird daher empfohlen, sich grundsätzlich mit den noch festzulegenden Anforderungen auseinanderzusetzen, zum einen sollte der Schutz der eigenen Infrastruktur bereits aus eigenem Interesse erfolgen, um den Geschäftsbetrieb aufrecht zu erhalten, zum anderen wird eine Umsetzung der schon heute absehbaren Anforderungen hinsichtlich der Umsetzung eines Informationssicherheitsmanagementsystems ohne vorbereitende Maßnahmen nur unter großer Anstrengung innerhalb weniger Monate umzusetzen sein.

Die finanzielle Dimension der zu erwartenden Mehrausgaben zur Umsetzung der entsprechenden Anforderungen kann derzeit noch nicht abgesehen werden. Zum einen ist ein „Stand der Technik“, welcher den umzusetzenden branchenspezifischen Sicherheitsstandards zugrunde gelegt werden soll, in dieser Form nicht bekannt und muss zunächst evaluiert werden. Auch die umzusetzenden Maßnahmen selbst und der damit verbundene Umsetzungsaufwand sind aktuell noch offen. Es wird jedoch davon ausgegangen, dass insbesondere für den Aufbau und die Zertifizierung eines Informationssicherheitsmanagementsystems (z. B: nach DIN IN 27001 oder BSI-Grundschutz) erhebliche finanzielle Aufwände anfallen, die von der nach wie vor defizitären Investitionsfinanzierung der Krankenhäuser nicht aufgefangen werden kann. Die DKG wird sich daher im politischen Prozess auch für die Refinanzierung der entstehenden Aufwände einsetzen, damit am Ende nicht das Ziel - der Schutz kritischer Infrastrukturen - durch den enormen finanziellen Aufwand ins Gegenteil verkehrt und das IT-Sicherheitsgesetz zur Gefahr für die Kritische Infrastruktur Krankenhaus wird.

Das BMI wird sich voraussichtlich ab Anfang Mai mit der Ausgestaltung der Rechtsverordnung im Sektor Gesundheit befassen, ein Referentenentwurf wird für Mitte des Jahres erwartet. Die Veröffentlichung der endgültigen Verordnung ist noch für 2016 vorgesehen, sodass eine Umsetzung der ersten Maßnahmen (Kontaktstelle, Meldepflichten) voraussichtlich ab dem 1.7.2017 verpflichtend sein wird.