- Gesundheit ist in Anhang I der NIS2-Richtlinie als Sektor hoher Kritikalität gelistet. Kliniken, Labore, Pharma und Medizintechnikhersteller ab 50 MA oder 10 Mio. € Umsatz sind betroffen.
- Das Gesundheitswesen unterliegt zusätzlicher Regulierung: DSGVO (Gesundheitsdaten als besondere Kategorie), MDR (Medizinprodukteverordnung) und branchenspezifische Normen wie B3S.
- Besondere Risiken: Medizingeräte mit Lebenszyklen von 10-20 Jahren, proprietäre Betriebssysteme, 24/7-Verfügbarkeit und die direkte Gefahr für Menschenleben bei Systemausfällen.
- Ein medizinisches Labor mit 70 MA kann NIS2-Compliance in 12 Monaten erreichen, muss aber die regulatorischen Überschneidungen (DSGVO, MDR, B3S) von Anfang an mitdenken.
- Die Geschäftsführung haftet persönlich, und im Gesundheitswesen kommen potenzielle strafrechtliche Konsequenzen hinzu, wenn mangelnde IT-Sicherheit zu Patientengefährdung führt.
Gesundheit als Sektor hoher Kritikalität
Das Gesundheitswesen gehört zu den Sektoren, bei denen ein Cyberangriff unmittelbar lebensbedrohlich werden kann. Wenn die IT eines Krankenhauses ausfällt, können Operationen nicht stattfinden, Notaufnahmen müssen Patienten abweisen und lebenserhaltende Systeme verlieren ihre Steuerung. Das ist keine theoretische Überlegung: Der Ransomware-Angriff auf die Universitätsklinik Düsseldorf im September 2020 zwang die Klinik, Notfallpatienten an andere Krankenhäuser umzuleiten. Eine Patientin verstarb auf dem längeren Transportweg, auch wenn der kausale Zusammenhang juristisch nicht abschließend geklärt wurde.
Die EU hat Gesundheit deshalb in Anhang I der NIS2-Richtlinie als Sektor hoher Kritikalität aufgenommen. Das NIS2-Umsetzungsgesetz erfasst folgende Teilbereiche:
- Gesundheitsdienstleister: Krankenhäuser, Kliniken, Rehabilitationseinrichtungen, Pflegeeinrichtungen (ab den Größenschwellen)
- EU-Referenzlaboratorien: Laboreinrichtungen, die bestimmte EU-weite Funktionen erfüllen
- Forschungs- und Entwicklungslaboratorien für Arzneimittel: Einschließlich klinischer Studien
- Hersteller von pharmazeutischen Grundstoffen und Zubereitungen: Pharmaunternehmen
- Hersteller von Medizinprodukten, die als kritisch eingestuft werden: Medizintechnikunternehmen, deren Produkte bei einer öffentlichen Gesundheitsnotlage als kritisch gelten
Darüber hinaus fallen Medizintechnikhersteller auch über Anhang II (verarbeitendes Gewerbe) unter NIS2, unabhängig davon, ob ihre Produkte als kritisch eingestuft werden. Die Schwellenwerte sind wie bei allen NIS2-Sektoren: mindestens 50 Mitarbeiter oder 10 Millionen Euro Umsatz.
Die regulatorische Landschaft: NIS2 trifft auf DSGVO, MDR und B3S
Was das Gesundheitswesen bei NIS2 besonders komplex macht, ist die Überlappung mit bestehenden Regulierungen. Kein anderer Sektor hat so viele parallele Compliance-Anforderungen im Bereich Informationssicherheit und Datenschutz.
DSGVO und Gesundheitsdaten
Gesundheitsdaten gehören nach Artikel 9 DSGVO zu den besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung unterliegt verschärften Schutzanforderungen. Ein Datenleck, bei dem Patientendaten abfließen, ist nicht nur ein NIS2-meldepflichtiger Sicherheitsvorfall, sondern auch eine meldepflichtige Datenschutzverletzung nach Artikel 33 DSGVO. Das bedeutet: Du meldest an zwei Stellen (BSI und Datenschutzbehörde), mit unterschiedlichen Fristen und Inhalten.
| Pflicht | NIS2 | DSGVO |
|---|---|---|
| Meldefrist | 24 Stunden (Erstmeldung) | 72 Stunden |
| Meldestelle | BSI | Zuständige Datenschutzbehörde |
| Meldepflicht | Erheblicher Sicherheitsvorfall | Verletzung personenbezogener Daten |
| Betroffeneninformation | Nicht explizit gefordert | Bei hohem Risiko für Betroffene |
| Bußgeld | Bis 10 Mio. € / 2 % Umsatz | Bis 20 Mio. € / 4 % Umsatz |
In der Praxis bedeutet das: Der Incident-Response-Plan muss beide Meldewege parallel abdecken. Und die Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO, die bei der Verarbeitung von Gesundheitsdaten in großem Umfang ohnehin Pflicht ist, liefert wertvolle Inputs für die NIS2-Risikoanalyse.
Medizinprodukteverordnung (MDR)
Für Medizintechnikhersteller kommt die EU-Medizinprodukteverordnung (Medical Device Regulation, MDR) hinzu. Die MDR fordert in Anhang I "grundlegende Sicherheits- und Leistungsanforderungen" für Medizinprodukte, die auch Cybersicherheitsaspekte umfassen. Seit 2021 verlangt die MDR explizit, dass Hersteller Cybersicherheitsrisiken in ihrem Risikomanagement berücksichtigen.
Für Einrichtungen, die Medizinprodukte einsetzen (Krankenhäuser, Labore), bedeutet die MDR: Die Verantwortung für die Cybersicherheit von Medizinprodukten liegt beim Hersteller, aber du als Betreiber musst sicherstellen, dass die Betriebsumgebung den Vorgaben des Herstellers entspricht. Wenn der Hersteller eines CT-Scanners eine bestimmte Netzwerksegmentierung oder Patch-Level voraussetzt, musst du das umsetzen.
Branchenspezifischer Sicherheitsstandard (B3S)
Für den Gesundheitssektor existiert bereits seit 2019 ein branchenspezifischer Sicherheitsstandard (B3S) für die Gesundheitsversorgung im Krankenhaus. Dieser B3S wurde auf Basis des IT-Sicherheitsgesetzes entwickelt und vom BSI anerkannt. Krankenhäuser, die bereits den B3S umgesetzt haben, haben einen Vorsprung bei der NIS2-Compliance, denn die Anforderungen überlappen stark.
Der B3S ist allerdings auf Krankenhäuser zugeschnitten. Labore, Pharmaunternehmen und Medizintechnikhersteller können sich daran orientieren, müssen aber branchenspezifische Anpassungen vornehmen.
Besondere Risiken im Gesundheitswesen
Die Risikolandschaft im Gesundheitswesen unterscheidet sich in mehreren Punkten grundlegend von anderen Sektoren.
Medizingeräte: Altlasten und Herstellerabhängigkeit
Medizingeräte sind die größte Herausforderung für die IT-Sicherheit im Gesundheitswesen. Ein MRT-Scanner kostet zwischen 500.000 und 3 Millionen Euro und hat eine erwartete Nutzungsdauer von 10 bis 15 Jahren. Laboranalysegeräte laufen oft 8 bis 12 Jahre. Patientenmonitore, Infusionspumpen und Beatmungsgeräte haben ähnliche Lebenszyklen.
Das Problem: Diese Geräte laufen auf dem Betriebssystem, das zum Zeitpunkt der Zulassung aktuell war. Ein MRT-Scanner von 2015 läuft auf Windows 7 oder Windows Server 2012. Eine Laborstraße von 2018 nutzt möglicherweise Windows 10, aber in einer Version, die der Hersteller nicht für Updates freigegeben hat. Denn jede Änderung am Betriebssystem könnte die Zulassung als Medizinprodukt gefährden.
Die Konsequenzen für die NIS2-Compliance:
- Patching ist oft nicht möglich ohne Freigabe des Herstellers, die manchmal Monate oder Jahre dauert
- Endpoint-Protection kann nicht installiert werden, weil der Hersteller dies nicht zulässt oder die Geräteleistung darunter leidet
- Netzwerksegmentierung ist die wichtigste kompensatorische Maßnahme, um ungepatchte Geräte zu isolieren
- Hersteller-Support ist entscheidend: Kläre vertraglich, wie schnell der Hersteller Sicherheitsupdates bereitstellt und welche kompensatorischen Maßnahmen er empfiehlt
24/7-Verfügbarkeit ohne Ausnahme
Krankenhäuser und Labore, die Notfallversorgung leisten, können Systeme nicht einfach für Wartung herunterfahren. Ein CT-Scanner, der um 3 Uhr nachts gebraucht wird, muss um 3 Uhr nachts funktionieren. Laborgeräte, die Notfall-Blutbilder analysieren, dürfen keine Wartungsfenster haben.
Das bedeutet für die NIS2-Umsetzung:
- Redundanz ist nicht optional, sondern lebensnotwendig. Kritische Systeme müssen redundant ausgelegt sein, damit ein System gewartet werden kann, während das andere den Betrieb übernimmt.
- Rolling Updates statt Big-Bang-Patches. Sicherheitsupdates werden auf einem Gerät eingespielt, während das Zweitgerät den Betrieb sicherstellt.
- Notfall-Betriebsverfahren müssen ohne IT funktionieren. Was passiert, wenn das Laborinformationssystem (LIS) ausfällt? Können Ergebnisse manuell dokumentiert und übermittelt werden?
Patientendaten als Hochwertziel
Gesundheitsdaten sind auf dem Schwarzmarkt deutlich mehr wert als Kreditkartendaten. Eine gestohlene Kreditkarte bringt einem Angreifer 5 bis 10 Dollar. Ein vollständiger Gesundheitsdatensatz (Name, Geburtsdatum, Versicherungsnummer, Diagnosen, Medikation) kann 200 bis 1.000 Dollar bringen, weil er sich für Identitätsdiebstahl, Versicherungsbetrug und Erpressung nutzen lässt.
Für Labore kommt hinzu: Analyseergebnisse können für Insiderhandel relevant sein (etwa wenn ein Labor klinische Studien für börsennotierte Pharmaunternehmen durchführt) oder für Erpressung (Manipulation von Testergebnissen).
Vernetzte Medizintechnik und IoT
Die zunehmende Vernetzung von Medizingeräten (Internet of Medical Things, IoMT) erweitert die Angriffsfläche erheblich. Infusionspumpen, die über WLAN gesteuert werden. Patientenmonitore, die Daten an die zentrale Überwachungsstation senden. Laborgeräte, die Ergebnisse automatisch an das LIS übermitteln. Jedes dieser Geräte ist ein potenzielles Einfallstor.
Typische Schwachstellen: fest einprogrammierte Zugangsdaten, unverschlüsselte Kommunikation (HL7 ohne TLS, DICOM ohne Sicherheitserweiterungen), fehlende Authentifizierung und seltene Firmware-Updates.
NIS2-Maßnahmen für das Gesundheitswesen
Die zehn Mindestmaßnahmen aus Artikel 21 gelten uneingeschränkt. Einige davon erfordern im Gesundheitswesen eine spezifische Ausprägung.
Risikoanalyse: Patientensicherheit als Leitkriterium
Im Gesundheitswesen kommt zur klassischen Risikobewertung (Vertraulichkeit, Integrität, Verfügbarkeit) ein viertes Kriterium hinzu: Patientensicherheit. Ein Systemausfall, der in einem Bürobetrieb ein Ärgernis ist, kann in einer Klinik oder einem Labor lebensbedrohlich sein.
Die Risikoanalyse muss daher folgende Fragen beantworten:
- Welche Systeme sind direkt oder indirekt an der Patientenversorgung beteiligt?
- Was passiert, wenn dieses System ausfällt? Können Patienten zu Schaden kommen?
- Wie lange kann der klinische Betrieb ohne dieses System aufrechterhalten werden?
- Gibt es manuelle Rückfallverfahren, und sind die Mitarbeiter darin geschult?
Die Priorisierung der Risiken muss das Patientensicherheitskriterium über die rein wirtschaftliche Betrachtung stellen. Ein System, dessen Ausfall einen Patienten gefährden kann, hat immer Vorrang vor einem System, dessen Ausfall nur finanziellen Schaden verursacht.
Netzwerksegmentierung: Medizingeräte isolieren
Die wichtigste technische Maßnahme im Gesundheitswesen ist eine konsequente Netzwerksegmentierung. Medizingeräte, die nicht gepatcht werden können, müssen in isolierten Netzwerksegmenten betrieben werden, die nur die minimal notwendigen Verbindungen zulassen.
Empfohlene Netzwerkzonen:
| Zone | Systeme | Sicherheitsniveau |
|---|---|---|
| Klinisches Netzwerk | KIS/LIS, klinische Arbeitsplätze, Befundserver | Hoch (Zugriffskontrolle, Verschlüsselung) |
| Medizingeräte-Zone | MRT, CT, Laborstraße, Analysegeräte | Sehr hoch (maximale Isolation, nur notwendige Verbindungen) |
| Office-Netzwerk | Verwaltung, E-Mail, Internet | Standard (Firewall, Endpoint-Protection) |
| IoMT-Zone | Patientenmonitore, Infusionspumpen, Wearables | Sehr hoch (separate VLANs, Gateway-basierte Kommunikation) |
| DMZ | Webserver, Patientenportale, Schnittstellen zu externen Partnern | Hoch (WAF, IDS/IPS) |
| Gäste-WLAN | Patienten, Besucher | Strikt isoliert, kein Zugriff auf interne Systeme |
Zwischen den Zonen kommunizieren nur definierte Dienste über definierte Ports und Protokolle. Alles andere wird blockiert und geloggt.
Incident Response: Klinischen Betrieb aufrechterhalten
Der Incident-Response-Plan im Gesundheitswesen hat eine Besonderheit: Die oberste Priorität ist nicht die schnelle Wiederherstellung der IT, sondern die Aufrechterhaltung der Patientenversorgung. Das klingt trivial, hat aber praktische Konsequenzen.
Wenn ein Ransomware-Angriff das Laborinformationssystem verschlüsselt, ist die erste Frage nicht "Wie stellen wir das LIS wieder her?", sondern "Wie stellen wir sicher, dass Notfall-Laborergebnisse weiterhin erstellt und an die behandelnden Ärzte übermittelt werden?" Die IT-Wiederherstellung läuft parallel, aber der klinische Notbetrieb hat Vorrang.
Spezifische Elemente des Incident-Response-Plans:
- Klinischer Notbetriebsplan: Für jede Abteilung definiert, wie die Versorgung ohne IT aufrechterhalten wird
- Priorisierte Wiederherstellungsreihenfolge: Lebenserhaltende Systeme > Diagnostik > Dokumentation > Verwaltung
- Kommunikation mit Aufsichtsbehörden: BSI-Meldung (24h), Datenschutzbehörde (72h bei Patientendaten), ggf. zuständige Gesundheitsbehörde
- Benachrichtigung zuweisender Einrichtungen: Wenn ein Krankenhaus keine Notfälle mehr aufnehmen kann, müssen Rettungsleitstelle und umliegende Kliniken sofort informiert werden
Personalschulung: Klinisches Personal einbeziehen
Im Gesundheitswesen ist die Schulungsherausforderung besonders groß. Ärzte, Pflegekräfte und medizinisch-technische Assistenten sind hochqualifiziert in ihrem Fachgebiet, aber IT-Sicherheit ist selten Teil der Ausbildung. Gleichzeitig arbeiten sie unter hohem Zeitdruck, was die Anfälligkeit für Phishing und Social Engineering erhöht.
Schulungskonzept für das Gesundheitswesen:
- Kurz und praxisnah: 30-Minuten-Module statt ganztägiger Seminare. Klinisches Personal hat keine Zeit für lange Schulungen.
- Fallbeispiele aus dem Gesundheitswesen: Nicht abstrakte IT-Szenarien, sondern konkrete Beispiele wie "Phishing-Mail getarnt als Laborbefund" oder "USB-Stick mit angeblichen Patientendaten gefunden".
- Integration in bestehende Fortbildungen: NIS2-relevante Inhalte in die ohnehin verpflichtenden Pflichtschulungen (Hygiene, Brandschutz, Datenschutz) integrieren.
- Spezialschulung für IT-Personal: Vertiefung zu OT-Sicherheit (Medizingeräte), HL7/FHIR-Sicherheit, DICOM-Absicherung.
Praxisbeispiel: Medizinisches Labor mit 70 Mitarbeitern
Schauen wir uns an, wie ein mittelständisches Labor die NIS2-Umsetzung angehen kann.
Ausgangslage:
BioAnalytica GmbH (fiktives Beispiel) ist ein medizinisches Labor mit Sitz in Hessen. 70 Mitarbeiter, 12 Millionen Euro Jahresumsatz. Das Labor bietet ein breites Spektrum an Labordiagnostik: klinische Chemie, Hämatologie, Mikrobiologie, Immunologie und molekulare Diagnostik. Die Kunden sind niedergelassene Ärzte, Kliniken und andere Labore.
Die IT- und Laborinfrastruktur:
- Laborinformationssystem (LIS): Swisslab (On-Premise, zwei Server im Hochverfügbarkeitscluster)
- Analysegeräte: 25 verschiedene Laborgeräte von 8 Herstellern (Roche, Siemens Healthineers, Abbott, Beckman Coulter, bioMérieux, Hologic, Illumina, QIAGEN)
- Middleware: Kommunikationsschicht zwischen LIS und Analysegeräten
- Probenmanagement: Automatisierte Probenverteilung und Prä-Analytik
- Server-Infrastruktur: 4 physische Server (2x LIS-Cluster, 1x Fileserver/AD, 1x Backup)
- Arbeitsplätze: 35 PCs (Labor und Verwaltung)
- Kommunikation: Microsoft 365, Fax (ja, noch immer), Laborportal für Einsender
- Schnittstellen: HL7-Verbindungen zu 120 Einsender-Praxissystemen, Verbindung zu 3 Kliniken, Anbindung an die Telematikinfrastruktur (TI)
Die IT wird von einem IT-Leiter und einem Systemadministrator betreut. Ein externer Systemhaus-Partner übernimmt Server-Wartung und Netzwerkmanagement. Ein ISMS existiert nicht. Die Datenschutzanforderungen (DSGVO) werden durch einen externen Datenschutzbeauftragten abgedeckt, aber die technischen Maßnahmen sind nicht systematisch dokumentiert.
Phase 1: Bestandsaufnahme und regulatorische Einordnung (Monat 1-2)
Betroffenheitsanalyse: BioAnalytica fällt mit 70 Mitarbeitern und 12 Millionen Euro Umsatz unter NIS2. Gesundheitssektor (Labor) steht in Anhang I. Einstufung: wichtige Einrichtung.
Regulatorische Bestandsaufnahme: BioAnalytica unterliegt neben NIS2 folgenden Regelwerken:
- DSGVO (Gesundheitsdaten, Art. 9)
- Medizinprodukterecht (als Betreiber von In-vitro-Diagnostika)
- Richtlinie der Bundesärztekammer zur Qualitätssicherung (RiliBÄK)
- Datenschutzrechtliche Anforderungen der Kassenärztlichen Vereinigung
- Telematikinfrastruktur-Anforderungen (gematik)
Die Risikoanalyse und Maßnahmenplanung müssen alle diese Anforderungen integriert betrachten. Ein Vorteil: Viele Anforderungen überlappen sich, sodass eine Maßnahme oft mehrere Compliance-Ziele gleichzeitig erfüllt.
ISB benennen: Der IT-Leiter übernimmt die ISB-Rolle mit 50 % Zeitanteil. Da das Labor bereits einen externen Datenschutzbeauftragten hat, werden ISB und DSB eng zusammenarbeiten, um Überschneidungen zu nutzen und Doppelarbeit zu vermeiden.
Asset-Inventar erstellen:
| Kategorie | Anzahl | Kritischstes Asset |
|---|---|---|
| Laborgeräte | 25 | Roche cobas 8000 (Hauptanalysegerät für klinische Chemie) |
| Server | 4 | LIS-Cluster (Swisslab) |
| Arbeitsplätze | 35 | LIS-Arbeitsplätze im Labor |
| Netzwerk | 12 | Core-Switch, Firewalls, WLAN |
| Schnittstellen | 123 | HL7-Verbindungen zu Einsender-Praxen |
| Middleware | 2 | Kommunikationsserver Laborgeräte-LIS |
| Cloud-Dienste | 3 | Microsoft 365, Laborportal, TI-Konnektor |
Besondere Feststellung: Von den 25 Laborgeräten laufen 8 auf Windows 7 Embedded oder älter. Der Roche cobas 8000 (Baujahr 2017) läuft auf Windows 7, und Roche hat für diese Generation keine Betriebssystem-Migration angeboten. Drei ältere Geräte laufen auf Windows XP Embedded.
Phase 2: Risikoanalyse (Monat 3-4)
Die Risikoanalyse berücksichtigt sowohl IT-Sicherheitsrisiken als auch die Auswirkungen auf die Patientenversorgung. In ISMS Lite lässt sich das Kriterium Patientensicherheit als vierte Dimension in der Risikobewertung abbilden und die Priorisierung entsprechend anpassen.
| Risiko | Auswirkung auf Betrieb | Auswirkung auf Patienten | Bewertung |
|---|---|---|---|
| Ransomware verschlüsselt LIS | Laborbetrieb steht still | Notfall-Diagnostik nicht verfügbar | Kritisch |
| Kompromittierung von Patientendaten | Meldepflicht DSGVO + NIS2, Reputationsschaden | Datenschutzverletzung | Kritisch |
| Laborgerät (Win XP) als Einfallstor | Laterale Bewegung ins Netzwerk | Manipulierte Ergebnisse denkbar | Hoch |
| Manipulation von Laborergebnissen | Falsche Befunde werden versendet | Direkte Patientengefährdung | Kritisch |
| Ausfall der HL7-Schnittstellen | Ergebnisse erreichen Einsender nicht | Verzögerte Diagnosen | Hoch |
| Kompromittierung des Laboportals | Unbefugter Zugriff auf Befunde | Datenschutzverletzung | Hoch |
| TI-Konnektor kompromittiert | Zugang zum Gesundheitsnetzwerk | Datenabfluss möglich | Mittel |
Besonders kritisch identifiziert: Die Integrität der Laborergebnisse. Wenn ein Angreifer Analysewerte manipuliert, können Ärzte falsche Diagnosen stellen und falsche Therapien einleiten. Dieses Risiko wird mit höchster Priorität behandelt.
Phase 3: Technische Maßnahmen (Monat 5-8)
Netzwerksegmentierung (Monat 5-6): Das Netzwerk wird in Sicherheitszonen aufgeteilt:
- Labor-Zone: Analysegeräte, Middleware, Probenautomation. Strikt isoliert, nur definierte Verbindungen zum LIS über die Middleware.
- LIS-Zone: LIS-Server, LIS-Arbeitsplätze. Zugriff nur aus der Labor-Zone (über Middleware), von autorisierten Arbeitsplätzen und über definierte Schnittstellen.
- Schnittstellen-Zone (DMZ): HL7-Gateway, Laborportal, TI-Konnektor. Kontrollierter Datenverkehr nach innen und außen.
- Office-Zone: Verwaltung, E-Mail, Internet. Kein direkter Zugriff auf Labor- oder LIS-Zone.
- Management-Zone: Server-Management, Backup, Monitoring. Nur für IT-Personal zugänglich.
Die Laborgeräte, die auf Windows XP oder Windows 7 laufen, werden in ein eigenes Mikrosegment gestellt. Die Firewall-Regeln erlauben ausschließlich die Kommunikation mit der Middleware über den HL7-Port. Kein Internetzugang, kein Zugriff auf Fileserver oder E-Mail.
Integritätsschutz für Laborergebnisse (Monat 6-7): Für die Integrität der Laborergebnisse werden zusätzliche Schutzmaßnahmen implementiert:
- Digitale Signaturen auf Befunden im LIS
- Audit-Trail für alle Änderungen an Ergebnissen (wer hat wann was geändert)
- Plausibilitätsprüfungen: Automatische Alarmierung bei Ergebnissen, die außerhalb definierter Bereiche liegen
- Vergleich zwischen dem Wert, den das Analysegerät sendet, und dem Wert, der im LIS ankommt (Erkennung von Manipulation auf dem Transportweg)
MFA und Zugriffskontrolle (Monat 6): MFA wird für alle externen Zugänge (VPN, Laborportal-Administration, Microsoft 365) und für alle privilegierten Accounts eingeführt. Für die LIS-Arbeitsplätze im Labor wird eine chipkartenbasierte Authentifizierung implementiert (kompatibel mit dem elektronischen Heilberufsausweis).
Backup und Recovery (Monat 7): Das bestehende Backup wird um Offline-Backups erweitert. Die Recovery-Zeiten werden getestet und dokumentiert:
- LIS: RTO 2 Stunden (hochverfügbares Cluster deckt die meisten Ausfallszenarien ab, Backup-Restore als Fallback)
- Laborgeräte-Konfigurationen: Jährliche Sicherung aller Gerätekonfigurationen und Kalibrierdaten
- HL7-Schnittstellen-Konfigurationen: Dokumentiert und versioniert, Wiederherstellung in 4 Stunden
Schwachstellenmanagement (Monat 7-8): Für IT-Systeme wird ein regulärer Patch-Zyklus etabliert. Für Laborgeräte wird ein differenzierter Ansatz verfolgt:
| Gerätekategorie | Patch-Strategie |
|---|---|
| Geräte mit aktuellem OS (Win 10/11) | Patches nach Herstellerfreigabe, quartalsweise |
| Geräte mit End-of-Life-OS (Win 7) | Kompensatorische Maßnahmen (Segmentierung, Monitoring), kein Patching |
| Geräte mit Win XP | Maximale Isolation, Zugriff nur über Middleware, geplanter Ersatz innerhalb von 2 Jahren |
| Geräte ohne Windows | Firmware-Updates nach Herstellerfreigabe, ansonsten Netzwerkisolation |
Phase 4: Organisatorische Maßnahmen (Monat 8-10)
Schulungsprogramm:
- Alle Mitarbeiter: 30-Minuten-Online-Modul zu Cyberhygiene, integriert in die jährliche Pflichtschulung
- Laborpersonal (MTA, BTA): Zusatzschulung zu sicherer Nutzung der Laborgeräte, Meldewege bei ungewöhnlichem Systemverhalten, Umgang mit USB-Sticks und Datenträgern
- IT-Team: Vertiefung zu HL7/FHIR-Sicherheit, Medizingeräte-Netzwerksicherheit, Incident Response
- Geschäftsführung: NIS2-Pflichten, persönliche Haftung, Genehmigungsrolle, Zusammenspiel NIS2/DSGVO
- Externer DSB: Einbindung in das ISMS, Abstimmung der Meldeprozesse
Lieferantenbewertung: BioAnalytica identifiziert 15 kritische Lieferanten:
| Lieferant | Besondere Anforderungen |
|---|---|
| Roche (Analysegeräte) | Patch-Policy, Fernwartungssicherheit, Lebenszyklusplanung |
| Siemens Healthineers | Dito |
| Swisslab (LIS-Anbieter) | Sicherheitszertifizierung, SLA inkl. Security-Response-Zeiten |
| Externer IT-Dienstleister | Sicherheitsfragebogen, NIS2-Klauseln im Vertrag |
| Microsoft (M365) | Compliance-Dokumentation vorhanden (SOC 2, ISO 27001) |
| Laborportal-Hoster | Hosting-Standort, Verschlüsselung, Backup, Verfügbarkeit |
| gematik/TI-Anbieter | Sicherheitsarchitektur der TI-Anbindung prüfen |
Besonders wichtig ist die Bewertung der Laborgerätehersteller. BioAnalytica klärt mit jedem Hersteller:
- Welche Betriebssystem-Versionen werden aktuell unterstützt?
- Wie schnell werden Sicherheitsupdates bereitgestellt?
- Welche kompensatorischen Maßnahmen empfiehlt der Hersteller für End-of-Life-Geräte?
- Gibt es einen Migrationspfad auf aktuelle Betriebssysteme?
- Welche Anforderungen bestehen an die Netzwerkumgebung?
Business-Continuity-Plan: Der Notbetriebsplan definiert für jeden Bereich manuelle Rückfallverfahren:
| System | RTO | Manuelles Verfahren |
|---|---|---|
| LIS | 2 Stunden (Cluster-Failover) / 8 Stunden (Backup-Restore) | Ergebnisse auf Papier dokumentieren, per Telefon/Fax an Einsender |
| Analysegeräte | Geräteabhängig | Einzelgeräte können oft stand-alone betrieben werden |
| HL7-Schnittstellen | 4 Stunden | Befundübermittlung per Fax/Laborportal manuell |
| Laborportal | 8 Stunden | Befunde per Fax oder verschlüsselter E-Mail |
Der Plan wird in einer Tabletop-Übung getestet. Szenario: Ransomware-Angriff am Montagmorgen, LIS nicht verfügbar, 200 Proben warten auf Analyse. Ergebnis: Der Notbetrieb mit manuellem Ergebnisversand funktioniert, aber die Durchsatzrate sinkt auf circa 30 % des Normalbetriebs. Priorisierung nach medizinischer Dringlichkeit (Notfallproben zuerst) wird ins Verfahren aufgenommen.
Phase 5: Audit und kontinuierliche Verbesserung (Monat 10-12)
Internes Audit: Systematische Prüfung aller NIS2-Mindestmaßnahmen, zusätzlich Abgleich mit DSGVO-Anforderungen und RiliBÄK.
Feststellungen des Audits:
- Drei Laborgeräte auf Windows XP haben keinen Ersatzplan (Korrekturmaßnahme: Budget für Gerätetausch in den nächsten 18 Monaten beantragen)
- Die Fax-Kommunikation ist unverschlüsselt (akzeptiertes Restrisiko, da Fax in der medizinischen Kommunikation etabliert und datenschutzrechtlich akzeptiert ist, aber Migrationspfad auf verschlüsselte Kanäle definieren)
- Zwei HL7-Verbindungen zu Einsender-Praxen laufen unverschlüsselt (Korrekturmaßnahme: TLS-Verschlüsselung einführen, Einsender informieren)
Management-Review: Die Geschäftsführung genehmigt den Restrisiko-Katalog, das Budget für das Folgejahr (Schwerpunkt: Austausch der Windows-XP-Geräte) und den Schulungsplan.
Budget-Übersicht
| Position | Einmalig (Jahr 1) | Jährlich (ab Jahr 2) |
|---|---|---|
| Externe Beratung (ISMS-Aufbau) | 30.000-45.000 € | 8.000-12.000 € |
| Netzwerksegmentierung (Hardware + Konfiguration) | 15.000-25.000 € | 2.000-3.000 € |
| Backup-Erweiterung | 5.000-10.000 € | 2.000-3.000 € |
| MDM/MFA | 3.000-5.000 € | 2.000-3.000 € |
| Schulungen | 5.000-8.000 € | 3.000-5.000 € |
| ISB-Zeitanteil (intern) | 30.000-35.000 € | 30.000-35.000 € |
| Gesamt | 88.000-128.000 € | 47.000-61.000 € |
Nicht enthalten sind die Kosten für den Austausch der End-of-Life-Laborgeräte, da diese ohnehin im regulären Investitionsplan berücksichtigt werden müssen. Durch die NIS2-Anforderungen wird der Austausch allerdings beschleunigt, was das Investitionsbudget der nächsten zwei bis drei Jahre belastet. Bei den Tool-Kosten lässt sich sparen: ISMS Lite deckt alle ISMS-Module 500 Euro pro Jahr ab, ohne Seat-Lizenzen oder versteckte Kosten.
Besondere Herausforderungen und Lösungsansätze
Zusammenspiel ISB und DSB
Im Gesundheitswesen arbeiten Informationssicherheitsbeauftragter und Datenschutzbeauftragter notwendigerweise eng zusammen. Beide befassen sich mit dem Schutz von Patientendaten, aber aus unterschiedlichen Perspektiven. Der ISB betrachtet die Sicherheit der Systeme und Daten umfassend, der DSB fokussiert auf den Schutz personenbezogener Daten und die Rechte der Betroffenen.
Empfehlung: Gemeinsame Risikoanalyse durchführen, getrennte Verantwortlichkeiten beibehalten. Die DSFA kann als Input für die NIS2-Risikoanalyse dienen und umgekehrt. Meldeprozesse (BSI und Datenschutzbehörde) parallel aufsetzen, aber den Auslöser gemeinsam definieren.
Umgang mit Herstellerabhängigkeit
Im Gesundheitswesen bist du bei Medizingeräten stärker vom Hersteller abhängig als in den meisten anderen Branchen. Du kannst ein Laborgerät nicht einfach selbst patchen oder dessen Netzwerkkonfiguration ändern, ohne die Zulassung zu gefährden.
Lösungsansatz: Nimm Cybersicherheitsanforderungen bereits in die Beschaffungskriterien auf. Wenn du ein neues Laborgerät kaufst, verhandle gleichzeitig: garantierte Patch-Bereitstellung innerhalb definierter Fristen, Betriebssystem-Migrationen innerhalb des Lebenszyklus, dokumentierte Sicherheitsarchitektur und Unterstützung bei der Netzwerkintegration.
Was du jetzt tun solltest
Wenn du im Gesundheitswesen tätig bist und NIS2 umsetzen musst, empfehlen sich folgende erste Schritte:
- Betroffenheit und bestehende Regulierung inventarisieren. Welche Anforderungen erfüllst du bereits durch DSGVO, B3S, MDR oder andere Regelwerke? NIS2 kommt nicht auf der grünen Wiese, sondern ergänzt bestehende Pflichten.
- Medizingeräte-Inventar erstellen. Welche Geräte laufen auf welchen Betriebssystemen? Welche sind vernetzt? Welche haben Fernwartungszugänge? Dieses Inventar ist die Grundlage für die Risikoanalyse.
- Netzwerksegmentierung prüfen. Sind Medizingeräte in eigenen Netzwerksegmenten? Gibt es unkontrollierte Verbindungen zwischen Labor/Klinik und Office? Die Segmentierung ist die wirksamste Einzelmaßnahme zum Schutz von Altgeräten.
Das Gesundheitswesen hat bei der NIS2-Umsetzung eine besondere Verantwortung, die über die reine Compliance hinausgeht. Es geht nicht nur um Bußgelder und Haftung, sondern um den Schutz von Patienten. Ein ISMS, das diesen Anspruch ernst nimmt, ist mehr als eine regulatorische Pflichtübung. Es ist ein Beitrag zur Patientensicherheit.
Weiterführende Artikel
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- NIS2-Meldefristen im Überblick: 24h, 72h, 1 Monat - was wann fällig ist
- Risikobewertung im ISMS: Methoden, Kriterien und Praxisbeispiele
- Schutzbedarfsfeststellung: So bestimmst du den Schutzbedarf deiner Assets
- TOMs dokumentieren: Technische und organisatorische Maßnahmen nach DSGVO