Gesundheitswesen immer stärker im Visier
Einrichtungen des Gesundheitswesens sind seit dem Jahr 2019 verstärkt zum Ziel von Hackerangriffen geworden. Der Hacker-Angriff auf das Klinikum Fürth ist ein Beispiel aus der näheren Vergangenheit, und die Folgen des Angriffs waren gravierend: Rund 100.000 Patienten werden hier behandelt, davon 42.000 stationär. Wegen des Angriffs konnten zeitweise keine Patienten aufgenommen werden, Operationen mussten verschoben werden.
Doch das Thema bleibt brandaktuell: Der Angriff auf den Klinikverbund Soest sorgte für Systemausfälle, die Neuaufnahmen und geplante Operationen unmöglich machten. Die betroffenen Kliniken sind vorübergehend von der Notfallversorgung abgemeldet, so dass sich umliegende Krankenhäuser um die Notfälle kümmern müssen. Wann der Krankenhaus-Alltag wieder nach Plan läuft, ist unklar.
Investitionsstau erzeugt Teufelskreis
Die bestehende Technik und die Abwehrmechanismen in medizinischen Einrichtungen können häufig nicht mit den aktuellen Weiterentwicklungen der Cyber-Kriminellen mithalten. Der Grund dafür sei ein enormer Investitionsstau in der IT. Es müsse mehr in die Sicherheit von IT-Infrastrukturen investiert werden, so Manuel Atug von der AG Kritis.
Bis es so weit ist, werden veraltete IT-Systeme weiterhin zu Ransomware-Infektionen und die Unersetzbarkeit medizinischer Infrastrukturen wiederum zu einer höheren Bereitschaft führen, Lösegeld zu zahlen. Betroffene Systeme müssen schließlich möglichst schnell wieder nutzbar sein. Leider lockt genau diese Bereitschaft immer neue Angreifer, Einrichtungen des Gesundheitswesens zu attackieren.
NIS2 zwingt Krankenhäuser und Kliniken zum Handeln
Das Ziel der EU-Richtlinie NIS2 (Network and Information Security) ist die Verbesserung der Cybersicherheit für Betreiber kritischer Infrastrukturen (KRITIS) – was auch Krankenhäuser und andere medizinische Einrichtungen einschließt.
Die NIS2-Richtlinie wurde im Dezember 2020 von der Europäischen Kommission vorgeschlagen, trat am 16. Januar 2023 auf EU-Ebene in Kraft und sieht vor, dass die Pflichten der Richtlinie bis zum 17. Oktober 2024 umgesetzt werden.
Was fordert NIS2?
Neben Vorgaben und Fristen zur Meldung von Sicherheitsvorfällen bringt NIS2 eine Reihe von Verpflichtungen für betroffene Unternehmen und Einrichtungen mit sich, darunter die Registrierung bei der zuständigen Behörde im eigenen Mitgliedstaat, die Offenlegung von Kontaktdaten und die Meldung erheblicher Sicherheitsvorfälle, d. h. von Vorfällen, die zu schweren Betriebsstörungen führen können. Die größte Veränderung für die Unternehmen werden jedoch die zusätzlichen Sicherheitsanforderungen sein, die durch NIS2 auferlegt werden. Des Weiteren fordert NIS2 verschiedene Maßnahmen bezüglich des Krisenmanagements, der Vorfallsbewältigung, der Kryptographie und weiteren sicherheitsrelevanten Bereichen.
E-Mail-Kommunikation verschlüsseln ist elementar
Für den Bereich der E-Mail-Sicherheit bedeutet dies den Einsatz von Kryptographie und Verschlüsselung bei der E-Mail-Kommunikation, um den Schutz kritischer Daten sicherzustellen. Viel konkreter ist das Gesetz zur Umsetzung von NIS2 in der EU allerdings noch nicht: Es liegt seit Frühling 2023 als Entwurf vor, so dass man noch auf Konkretisierungen warten muss. Dennoch zeigt sich hier, dass wirkungsvolle E-Mail-Verschlüsselung ein elementarer Teil bei der Erfüllung der NIS2-Richtlinie ist.
Strafen bei Nichtbeachtung von NIS2
Krankenhäuser – die zu den Sektoren mit hoher Kritikalität gehören – müssen bei Nichtbeachtung der NIS2-Richtlinie mit Strafen bis zu einem Höchstbetrag von mindestens 10 Millionen Euro oder 2 % des weltweiten Umsatzes im vorigen Jahr – je nachdem, welcher Betrag höher ist.
Cybersicherheit erhöhen – mit NoSpamProxy.
Gehen Sie wichtige Schritte in Richtung NIS2-Konformität, indem Sie Ihre IT-Infrastruktur absichern und Ihre E-Mail-Kommunikation schützen. Testen Sie NoSpamProxy jetzt kostenfrei!