Neue EU-Vorgaben für Cybersecurity in Kraft

Die EU-Richtlinie NIS2 (Network and Information ­Security Directive 2) ist in Deutschland bis zum Oktober 2024 in nationales Recht umzusetzen. NIS2 hat weitreichende Folgen für Betreiber kritischer Infrastrukturen, unter anderem Krankenhäuser und Feuerwehren. TÜV SÜD gibt einen Überblick, welche Vorkehrungen sie treffen und wo sie Dienstleister hinzuziehen müssen.

Während der Corona-Pandemie wurden 74 Prozent der im Gesundheitswesen befragten Unternehmen des DACH-Raums Opfer mindestens einer Cyberattacke. Das ergab 2021 eine Umfrage des Cybersicherheitsunternehmens Kaspersky. Kliniken, die laut BSI-Gesetz die Schwelle zur kritischen Infrastruktur überschreiten, weisen dabei deutlich mehr potenzielle Angriffspunkte auf als Krankenhäuser, die nicht im eigentlichen Sinn KRITIS sind.

Damit solche Schwachstellen im Gesundheitswesen und in anderen KRITIS-Einrichtungen nicht zu gefährlichen Ausfällen führen, gilt auf EU-Ebene seit Anfang 2023 die Richtlinie NIS2. Ihr Ziel ist, das Cybersicherheitsniveau gegenüber der ersten NIS-Richtlinie zu vereinheitlichen und anzuheben. Hinweise auf Kernforderungen des zu erwartenden NIS2-Umsetzungsgesetzes (NIS2­UmsuCG, NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) in Deutschland gibt das im September 2023 veröffentlichte (unverbindliche) Diskussionspapier. Es zeigt die Richtung, die betroffene Einrichtungen und Unternehmen, darunter kritische Infrastrukturen, einschlagen sollten. Diese sind gut beraten, schon jetzt Zeit in die Vorbereitung zu investieren. Einerseits, weil begrenzte Budgets und personelle Ressourcen nur unter planvollem Vorgehen optimal ausgenutzt sind. Andererseits, weil das Bundesamt für Sicherheit in der Informationstechnik (BSI) voraussichtlich schon drei Jahre, nachdem das NIS2UmsuCG in Kraft tritt, Nachweise in Form unabhängiger Prüfungen oder Zertifizierungen verlangen kann.

Mit der Bedeutung steigen die Anforderungen

Das Diskussionspapier zum NIS2UmsuCG entwirft eine Einteilung in wichtige und besonders wichtige Einrichtungen. Beide haben prinzipiell die gleichen Maßnahmen durchzuführen. Mit der Bedeutung verschärfen sich jedoch die Möglichkeiten der Behörden, Nachweise zu verlangen oder hohe Bußgelder zu verhängen. Das Diskussionspapier fordert zudem Engagement von höchster Ebene ein – wer eine besonders wichtige Einrichtung leitet, muss Weiterbildungen zur Cybersicherheit besuchen und die Entwicklung und Implementierung von Maßnahmen im Blick behalten. Einrichtungen, die zu einer der beiden Kategorien gehören, müssen sich innerhalb eines Vierteljahres beim BSI melden.

Besonders wichtig sind solche Einrichtungen, die mindestens 250 Angestellte haben beziehungsweise deren Jahresumsatz 50 Millionen Euro und deren Jahresbilanz 43 Millionen Euro übersteigen. Diese Schwellenwerte gelten für Betriebe der Gesundheits-, Wasser- und Energieversorgung, im Verkehrs- und Transportwesen, ebenso IT, Versicherungen und Banken. Niedriger sind die Schwellenwerte für Telekommunikationsanbieter, die schon ab 50 Angestellten oder Umsatz und Bilanz von jeweils mehr als 10 Millionen Euro im Jahr besonders wichtig sind. Ganz ohne Schwellenwerte zählen zu dieser Kategorie auch „qualifizierte […] Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter“.

Neben den besonders wichtigen nennt das Diskussionspapier die wichtigen Einrichtungen, die sich vor allem durch eine Erweiterung der Sektoren bestimmen. Dazu zählen die Entsorgung des Siedlungsabfalls, Produktionsbetriebe für Lebensmittel und ­Chemikalien sowie Suchmaschinen und soziale Netzwerke. ­Maßgeblich ist die Überschreitung des Schwellenwerts von 50 Angestellten oder von 10 Millionen Euro bei Jahresumsatz und -bilanz.

Wie kritisch sind KRITIS?

Sogenannte kritische Anlagen, meist als KRITIS bezeichnet, sind automatisch auch besonders wichtige Einrichtungen. Umgekehrt sind allerdings nicht alle besonders wichtigen Einrichtungen auch kritisch. Ob ein Krankenhaus oder eine Feuerwehr kritisch sind, legt laut Paragraf 57 des NIS2UmsuCG-Diskussionspapiers das Bundesinnenministerium per Rechtsverordnung fest. Dabei stützt es sich auf „als kritisch anzusehende […] Dienstleistungen“. Deren Kritikalität wird anhand von Grenzwerten für jede einzelne Dienstleistung bestimmt. Zu den kritischen Dienstleistungen in der Gesundheitsversorgung zählen unter anderem alle Schritte einer stationären Behandlung im Krankenhaus. Außerdem wird die Ausstattung mit rezeptpflichtigen Medikamenten sowie deren Verteilung als kritische Dienstleistung geführt. Ebenso ist die Analyse zur Krankheitserkennung in Laboren kritisch.

Laut der aktuellen Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) sind solche Kliniken als Ganzes kritische Anlagen, die öfter als 30 000 mal im Jahr eine Behandlung vollstationär durchführen. Voraussichtlich wird sich das Bundesinnenministerium bei seiner zukünftigen Einschätzung kritischer Anlagen unter anderem an der BSI-KritisV orientieren. Jedoch fließen in die Einschätzung, ob ein Betrieb der Gesundheitsversorgung kritisch ist oder nicht, weitere Erwägungen ein. In Gegenden mit geringer Abdeckung kann ein Krankenhaus weit unterhalb der Schwelle von 30 000 vollstationären Behandlungen im Jahr kritisch sein. Demzufolge ist für die Kritikalität immer auch wesentlich, ob der fragliche Betrieb entscheidend dazu beiträgt, die Bevölkerung zu versorgen und die öffentliche Sicherheit zu erhalten. Um das zu beurteilen, kann das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) Daten von Einrichtungen erheben (Zivilschutz- und Katastrophenhilfegesetz, kurz ZSKG, Paragraph 17). Anhand dieser Heran­gehensweise ist denn auch von Fall zu Fall zu entscheiden, ob Feuerwehren zu den kritischen Anlagen zu zählen sind oder nicht. Maßgeblich für die Umsetzung in den Kommunen werden auch Fortschritte beim KRITIS-Dachgesetz sein, dessen zweiter Entwurf seit Dezember 2023 vorliegt.

Diese Maßnahmen fordert das Diskussionspapier

Betroffene Einrichtungen und kritische Anlagen müssen laut Diskussionspapier gewährleisten, dass ihre Dienste verfügbar bleiben und Systeme und Daten gegen Angriffe und Spionage geschützt sind. Ein Zwischenfall muss dem BSI innerhalb eines Tages mitgeteilt werden. Binnen 72 Stunden sind Einzelheiten zum Angriff zu melden. Bei der Beseitigung von Schäden werden nicht nur ökonomische, sondern gesellschaftliche Folgen berücksichtigt. Das betrifft insbesondere Einrichtungen des Zivil- und Bevölkerungsschutzes.

Um Angriffe von vornherein zu vermeiden, muss in jeder kritischen Anlage (wie schon bisher) ein System zur Angriffserkennung (SzA) potenzielle Risiken im Alltagsbetrieb erkennen und, wenn möglich, abwehren. Dafür stellt das BSI eine Orientierungshilfe zur Verfügung, die im Internet abgerufen werden kann. Schon bei der Anschaffung von IT-Komponenten ist deren Widerstandskraft gegen Cyberangriffe zu überprüfen. Um Betriebsunterbrechungen zu vermeiden, müssen besonders wichtige und wichtige Einrichtungen die Kommunikation im Notfall sowie eine zügige Wiederherstellung nach Ausfällen gewährleisten.

Ein Kommunikationskonzept für den Notfall sollte nicht nur den internen Austausch, sondern auch Behörden und Öffentlichkeit einbeziehen. Welche Behörden müssen auf jeden Fall informiert werden? Wie werden Betroffene und, falls notwendig, die Öffentlichkeit auf dem Laufenden gehalten? Wer übernimmt die Kommunikation? Welche internen Ansprechpartner sind zu kontaktieren? Wer ist wann auf welche Weise zu erreichen, auch an Feiertagen wie Weihnachten oder Ostern? Diese Fragen sollten schon im Vorfeld geklärt und Antworten in Form von Prozessen, Personen- und Checklisten gut auffindbar, auch offline dokumentiert werden. Bei einem Angriff hätte es schwerwiegende Folgen, wenn beispielsweise in der Cloud abgelegte Notfallpläne nicht verfügbar wären, oder wenn wertvolle Zeit aufgrund lückenhafter Dokumentation verloren geht.

Außerdem fordert das Diskussionspapier, Zugriffe auf Anlagen und Dienste sowie Mailverkehr, ebenso Telefonie und Videomeetings, stets abzusichern und ggf. zu verschlüsseln. Ein Beispiel ist die Vorgabe der Multi-Faktor-Authentifizierung beispielsweise mit einer Authenticator-App. Cybersecurity soll insofern im Alltag verankert werden. Der Umgang mit Cyberrisiken ist mit der gesamten Belegschaft zu üben und getroffene beziehungsweise vorgehaltene Abwehrmaßnahmen sind stets auf ihre Wirksamkeit zu überprüfen. Backups müssen regelmäßig erstellt und Prozesse zur Wiederherstellung (Recovery) definiert und getestet werden. Dennoch hatten 2021 nur knapp über zwei Drittel der in Deutschland befragten Gesundheitsunternehmen einen regelmäßig geprüften „Business Continuity Plan“ beziehungsweise „Disaster Re­­covery Plan“.

Wer mit wem? So wichtig sind Lieferanten

Regelmäßig zeigt sich, dass sich Cybervorfälle bei Lieferanten schnell bis in Kernsysteme auswirken. So zog ein Ausfall beim Dienstleister Südwestfalen-IT im Oktober 2023 zahlreiche angeschlossene Kommunen in Mitleidenschaft. Deshalb fokussiert NIS2 auch die Sicherheit von Lieferketten. Das meint vor allem solche Lieferanten, die an der Verarbeitung von Informationen beteiligt sind. Dazu zählen Anbieter von Datenclouds, Rechenzentren, ausgelagerte Anfrage-Bearbeitungs- oder IT-Leasing-Dienste mit Remote-Zugriff. Welche Anforderungen müssen an diese Dienstleister weitergegeben werden? Welche Backups berücksichtigt mein Lieferant? Welches meiner IT-Segmente benötigt welchen Support beziehungsweise Eskalation (ein Mailing-System ist z. B. höher zu priorisieren als ein Drucker)? Wie können Meldefristen auch über mehrere Stufen hinweg eingehalten werden?

Regelmäßig prüfen

Die Bedrohungslandschaft entwickelt sich auch im Gesundheitswesen dynamisch. Um Schritt zu halten, ist es unumgänglich, Systeme und Konzepte regelmäßig mit Risikoanalysen zu überprüfen. Deckt dieses oder jenes System noch alle Anforderungen ab? Erfordert ein konkreter Anlass eine spontane Analyse abseits des regelmäßigen Takts? Das kann beispielsweise ein Vorfall bei einem Zulieferer wie einem ERP-Anbieter sein oder auch ein Wechsel der internen IT-Systeme. Regelmäßige Penetrationstests helfen, unerwartete Schwachstellen aufzudecken. So gelangte ein Hacker-Kollektiv im Sommer 2023 an Standortdaten von Feuerwehrfahrzeugen, zu denen eigentlich nur ein berechtigter Personenkreis Zugang haben sollte. Die zeitlichen Abstände ­turnusmäßiger Prüfungen können sich daran orientieren, wie viele Schwachstellen zwischen zwei Prüfungen beseitigt werden können – so entsteht kein Aufgabenstau bis zum nächsten Termin.

Struktur, Standpunkt und Marschrichtung klären

Am Anfang des Weges zu einer besseren Cybersecurity ist zu klären, ob die eigene Einrichtung vom NIS2UmsuCG betroffen sein wird. Dabei genügt es nicht, die Mitarbeiterzahl und letzte Jahresbilanz nachzuschlagen. Vielmehr muss das gesamte Organigramm betrachtet werden. Aus welchen (Geschäfts-)Bereichen besteht das Unternehmen? Wie sind diese Bereiche intern und extern verflochten? Wo sind diese Verflechtungen mit Abhängigkeiten verbunden und was wird zentral gesteuert (zum Beispiel Kassensystem einer Supermarktkette mit mehreren Filialen)?

Ist die Struktur geklärt, können eine Business-Impact- und ­Stakeholder-Analyse folgen. Diese beantworten unter anderem folgende Fragen: Welche Erwartungen haben Gesellschaft und Öffentlichkeit an eine Einrichtung wie eine freiwillige Feuerwehr oder einen Energieversorger? Welchen Einfluss hätte es, wenn deren Dienste ausfallen? Müssen diese ununterbrochen verfügbar sein? Welche Ausfälle sind hinnehmbar? Ein soziales Netzwerk beispielsweise mag im Alltag als Beiwerk wahrgenommen werden. In Krisensituationen allerdings dient es dazu, Verwandte und Freunde aufzufinden und sich über deren Sicherheit zu informieren. Fiele das Netzwerk durch einen Cyberangriff aus, stünde auch den Behörden ein Kanal weniger zur Verfügung, um die Bevölkerung aufzuklären und anzuleiten. Es gilt, Fehlschlüsse zu vermeiden: Wie schätzt eine Einrichtung selbst ihre Bedeutung ein? Wie groß ist ihre Bedeutung tatsächlich? Vielleicht steuern nur wenige Mitarbeiter das Klärwerk einer Kleinstadt – das bedeutet aber nicht, dass ein Ausfall dieses Dienstes durchaus verkraftbar wäre.

Hat eine Einrichtung ihren Standpunkt und ihre Bedeutung geklärt, können Ziele und Wege abgesteckt werden. Welche Maßnahmen erfüllt die Einrichtung bereits? Welche Maßnahmen werden be­nötigt? Die Business-Impact-Analyse hilft an dieser Stelle, Maßnahmen anhand von Risiko und Impact zu priorisieren. Unübersichtliche „Baustellen“ werden so in machbare Teilschritte zerlegt.

Außerdem fließen praktische Erwägungen in die Priorisierung ein. Muss die physische Sicherheit beispielsweise durch zeitaufwändige bauliche Maßnahmen wie Türen und Zäune erhöht werden? Kann in der Zwischenzeit das Personal geschult werden, um Cyberhygiene im Alltag einzuüben? Kann oder muss die IT segmentiert werden, um einen „Domino-Effekt“ bei erfolgreichen Angriffen zu vermeiden? Wo entstehen Risiken, wenn Mitarbeiter private Geräte auch für die Arbeit nutzen? Sollen Backups vor allem schnell verfügbar sein oder vielmehr besonders gesichert aufbewahrt werden? Auch ist die Bedeutung einer Zweitmeinung nicht zu unterschätzen. Genügt es, die Hilfe eines Dienstleisters in Anspruch zu nehmen oder profitiert die Einrichtung von ­verschiedenen Blickwinkeln und Herangehensweisen?

Ressourcen planen und zielführend einsetzen

Schließlich können auf Basis dieser Erkenntnisse personelle Ressourcen und Budgets geplant und bereitgestellt werden. Hier gilt es Vorlaufzeiten zu beachten: Was kann intern abgedeckt werden? Wie viel Zeit benötigt die Personalabteilung, um weitere Experten einzustellen? Wie lang dauern Vertragsverhandlungen mit Dienstleistern? Gerade die Planung von Budget, Personal und Umsetzungsfolge sollte nicht dem Zufall überlassen werden. Erkennt eine Einrichtung ihren Handlungsbedarf zu spät, wird es schwieriger, diesen Rückstand aufzuholen. Eine bereits ge­troffene Maßnahme nachzujusti eren ist einfacher, als in kurzer Zeit unter Druck einen guten Plan zu entwerfen und umzusetzen. Beim Aufdecken von Schwachstellen, der Priorisierung und Überprüfung von Maßnahmen sowie der Vorbereitung auf Zertifizierungsaudits helfen unabhängige Dienstleister wie TÜV SÜD.