Jan Wolter, Bevollmächtigter des Präsidiums der Deutschen Gesellschaft für Klinische Chemie und Laboratoriumsmedizin  (DGKL), regt in diesem Zusammenhang die Einführung des "Cyber-Cent" für die Labormedizin an. Was sich hinter der Idee verbirgt und wie Medizinlabore konkret mit der NIS-2 Richtlinie umgehen sollen erläutert er im Gespräch mit Vlad Georgescu.

Müssen Betreiber auf Führungsebene im Bereich der Labormedizin ab Oktober um ihren Geldbeutel bangen?

Jan Wolter: Wir haben unsere Mitgliedsbeiträge jedenfalls nicht erhöht (lacht).

Wir fragen, weil ab Oktober die NIS-2 Richtlinie der EU verbindlich greift. Und die sieht bei "besonders wichtigen Einrichtungen" eine doch hohe Haftung des Managements vor, sofern Cybersicherheitsmaßnahmen lediglich stiefmütterlich umgesetzt werden.

Wolter: Medizinische Labore sind von herausragender Bedeutung in der Gesundheitsversorgung. Ihnen kommt eine Schlüsselrolle zu. Von daher sind die Betreiber in einer hohen Verantwortung. Wem das voll umfänglich bewusst ist, der investiert auch entsprechend in seine IT-Sicherheit. Und dann kann man sich auch bei NIS-2 entspannt zurücklehnen.

Die global agierende Unternehmensberatung PwC fasst zentrale Aussagen des §61 des derzeitigen Referentenentwurfes zusammen: "Für besonders wichtige Einrichtungen können Sanktionen von bis zu zehn Mio. Euro oder 2% des Jahresumsatzes verhängt werden, wobei der höhere Betrag maßgeblich ist. Bei wichtigen Einrichtungen belaufen sich die Bußgelder auf bis zu sieben Mio. Euro oder 1,4 % des Jahresumsatzes, wobei auch hier der höhere Betrag entscheidend ist." Also uns wird bei diesen Summen doch ein Bisschen mulmig. Warum sollte das der Leitung der Labormedizin an einer Uniklinik nicht anders gehen?

Wolter: Wenn aufgrund eines Diagnosefehlers ein Patient stirbt, droht im Falle einer Strafbarkeit wegen fahrlässiger Tötung eine Freiheitsstrafe von bis zu fünf Jahren. Dennoch geht kein Arzt deswegen mit Angstschweiß auf der Stirn zur Arbeit. Ich denke, es ist wichtig, dass der Stellenwert von IT-Sicherheit jedem klar wird. Leider scheint das nur über das Thema Haftung und Strafen zu funktionieren. Aber leider auch nicht so wie es sollte.

DGKL News: Auf dem Papier klingt das alles ganz gut. Von NIS-2 betroffene Einrichtungen müssen "angemessene Maßnahmen" in Bereichen wie Cyber-Risikomanagement, Sicherheit in der Lieferkette, Verschlüsselung oder Zutrittsbeschränkungen ergreifen. Schon die Zutrittsbeschränkung dürfte im Medizinbetrieb kaum funktionieren. Es gibt neben den Festangestellten auch studentische Hilfskräfte, Putzkolonnen, Catering, Boten. Was machen sie mit diesen Personen?

Wolter: Das sind keine anderen Herausforderungen als in Forschungslaboren oder Bürogebäuden, auch dort gibt es regen Besuchsverkehr – und (in der Regel) funktionierende Zutrittskontrollen.

Nun sind gerade im Uniklinikbetrieb alle Rechner miteinander vernetzt. Da reicht es aus, wenn jemand unbemerkt einen USB-Stick für wenige Sekunden in den Slot steckt, um Advanced Persistent Threat (APT) Schadcode ins System zu bringen. Wer kann das verhindern?

Wolter: Auch das sind keine ungewöhnlichen Herausforderungen, die es nicht auch in Unternehmen geben würde. Aber die Frage zielt ja auf etwas anderes ab, und Sie haben recht: 100-prozentige Sicherheit gibt es nicht. Daher müssen Einrichtungen auf das Eindringen von Schadcode vorbereitet sein.

Nun gibt es aber auch Schadprogramme, die einen polymorphen Code verwenden. Stark vereinfacht heißt das: Die zertifizierte Antivirenlösung des Betriebs erkennt die Spionagesoftware nicht, weil sich diese erst im Zusammenspiel mit dem Prozessor "entfaltet". NIS-2 erscheint mir in diesem Bereich relativ wirkungslos, oder?

Wolter: Es ist immer die Frage, wie viel Aufwand betrieben wird, um ein System zu hacken. Wer sich an zertifizierte Lösungen hält, dürfte gegen einen Großteil der Angriffe, gegen Standardangriffe gewappnet sein. Bei gezielten Angriffen sieht das sicherlich anders aus. Und da die Labormedizin systemrelevant ist, besteht hier durchaus eine Gefahr. Von daher rate ich, insbesondere größeren Laboren, Kliniken und erst recht Universitätskliniken, über Standardlösungen hinauszudenken.

Die Labormedizin gilt als systemrelevant. Warum ist das eigentlich so?

Wolter: Ohne die Labormedizin geht in der modernen medizinischen Versorgung nicht mehr viel. Sie müssen ja wissen, was Sie bekämpfen, um das gezielt tun zu können. Und selbst vor einer OP brauchen Sie den Quick-Wert, der Ihnen Auskunft über die Blutgerinnung gibt.

Mehr Investitionen in die (IT-)Sicherheit sind also notwendig. Nur: Wie sollen Labore das finanzieren?

Wolter: Wir brauchen nicht nur mehr Investitionen in die IT-Sicherheit, wir brauchen auch mehr Redundanz im System. Das kostet natürlich alles Geld und damit dürfen die Labore auch nicht alleine gelassen werden. Die Lösung könnte die Einführung eines Cyber-Cents sein.

Klingt interessant, was genau verbirgt sich dahinter?

Wolter: Mit dem Cyber-Cent würden die Labore fit gemacht für die aktuellen Bedrohungen. Jede abgerechnete Blutprobe würde einen Aufschlag von wenigen Cent erhalten. Dabei ist eine Staffelung der Vergütung je nach Probenanzahl sicherlich sinnvoll, zumal der Aufwand für Sicherheitsvorkehrungen nicht im Gleichschritt mit der Anzahl der analysierten Proben wächst. Jedoch sollte das Modell schlank und einfach umsetzbar sein, mit minimalem bürokratischem Aufwand. Ein Ansatz, der niemandem weh tut, aber mehr Cybersicherheit versprechen könnte

Nur ist Deutschland nicht gerade für die schnelle und pragmatische Umsetzung neuer Lösungsstrukturen bekannt. Wie sollen Medizinlabore ab Oktober konkret mit NIS-2 umgehen?

Wolter: Die Labore müssen sich einem Check unterziehen, ob sie ausreichend gut aufgestellt sind. Wer hier Nachholbedarf erkennt, sollte schnellstens handeln.

Sie haben in der Vergangenheit viel mit hochrangigen NATO-Cyberdefense Spezialisten befreundeter Staaten zu tun gehabt. Je östlicher man innerhalb der NATO geht, umso pragmatischer und effizienter ist der militärische Bereich der Cyberabwehr. Mitunter werden Regeln und Vorschriften so ausgedehnt, dass die Cyberabwehr wirklich funktionieren kann. Was können wir in Deutschland daraus lernen?

Wolter: In Deutschland kann man schnell den Eindruck gewinnen, dass sich alles auf Haftungsfragen beschränkt. Es geht dann letztlich nur darum, sich so gut es geht zu exkulpieren. Man stellt jemanden ein, der die Verantwortung trägt, holt sich renommierte (und oftmals überteuerte) Berater ins Haus, lässt Gutachten erstellen, kauft sich Zertifikate, schließt Versicherungen ab. Alles, um im Fall der Fälle sagen zu können, sagen zu können „Seht her, ich habe alles getan, was ich tun konnte. Mich trifft keine Schuld.“ Es geht nicht mehr darum, das eigentliche Problem zu lösen, also Sicherheitslücken zu erkennen und zu schließen. Es geht einzig und allein um Exkulpation. Aus der Sicherheitsfrage wird dann eine juristische. Sicherheit lässt sich aber nicht durch Jura herstellen. Oder platt ausgedrückt: Den Angreifer interessiert Ihr Sicherheitszertifikat nicht.

Zur Person:

Jan Wolter zählt zu den profiliertesten Sicherheitsexperten der Bundesrepublik. Er arbeitete in der Vergangenheit auf dem Gebiet der Cyber- und Spionageabwehr zum Schutz der deutschen Wirtschaft eng mit den führenden Sicherheitsbehörden BSI, BKA, BND und BfV zusammen. Heute ist Wolter Bevollmächtigter des Präsidiums der DGKL.

Terminhinweis:

Online Event "Mehr Cybersicherheit mit der NIS-2-Richtlinie in Kliniken"

18. Juni, 14-15:30 Uhr

Hier registrieren