IT-SiG 2.0 umsetzen – Best Practices im Gesundheitssektor

Autor: Andre Tenbuss | 24. Juni 2021

20 | #IT-Sig 2.0

Das IT-SiG 2.0 verpflichtet alles KRITIS-Betreiber und ihre Zulieferer zur zeitnahen Umsetzung erweiterter Sicherheitsmaßnahmen. Dieser Beitrag verrät, wie das im Gesundheitssektor erfolgreich ablaufen kann und welche Best Practices wir empfehlen.

KRITIS und das IT-Sicherheitsgesetz 2.0

Systemrelevante Unternehmen zählen zu den so genannten kritischen Infrastrukturen (KRITIS). Die KRITIS-Sektoren zeichnen sich dadurch aus, dass sie besonders schützenswert sind und deshalb verschärfte Sicherheitsmaßnahmen erfüllen müssen. Betroffen sind beispielsweise der Finanz-, Energie- und auch der Gesundheitssektor.

Für die Gewährleistung der Schutzmaßnahmen von KRITIS Sektoren wurde 2015 das so genannte IT-Sicherheitsgesetz (IT-SiG) eingeführt. Im April 2021 verabschiedete der Deutsche Bundestag das erweiterte IT-SiG 2.0. Dieses erhöht nicht nur die Anforderungen an die primären KRITIS-Betreiber, sondern verpflichtet auch alle Zulieferer zur Einhaltung des Sicherheitsgesetzes.

Zusätzlich zu den neuen Anforderungen wurden auch die Maßnahmen bei Verstößen verschärft. Eine zeitnahe Umsetzung des IT-SiG 2.0 sollte deshalb bei allen KRITIS-Betreibern und Zulieferern hoch priorisiert werden. Welchen Herausforderungen Unternehmen der Gesundheitsbranche dabei gegenüberstehen können und wie die Umsetzung des IT-SiG 2.0 gelingt, soll sich nun an einem Beispiel aus der Praxis zeigen.

KRITIS Sektoren

Die derzeitigen KRITIS Sektoren

IT-SiG 2.0 umsetzen im Gesundheitssektor

Insbesondere durch die Corona-Pandemie ist nochmal besonders deutlich geworden, wie wichtig der Gesundheitssektor ist. Im Kontrast dazu steht allerdings der starke Verbesserungsbedarf in Sachen Digitalisierung und IT-Sicherheit. Hinsichtlich des IT-SiG 2.0 stellt das ein großes Problem dar.

Auch in einem unserer Umsetzungsprojekte im Gesundheitssektor stand es anfangs kritisch um die Sicherheit der eingesetzten Systeme. Dem Unternehmen fehlte eine Übersicht über Sicherheitslücken sowie ein umfangreiches Monitoring mit entsprechenden Auswertungen. Das hing nicht zuletzt mit einer geringen Personalzahl und wenig Knowhow über IT Security zusammen. Gemeinsam mit uns sollte dieses Problem gelöst werden.

Best Practices und konkrete Vorgehensempfehlungen

Im Rahmen eines gemeinsamen Workshops äußerte der KRITIS-Betreiber den Wunsch nach einem SIEM-Tool. Das Monitoring und die Auswertung der Findings sollte aufgrund des Personalmangels mit einem Managed Service über Outsourcing erfolgen.

In Laufe des Umsetzungsprojekts wurde dann ein solches SIEM Tool in die bestehenden SAP Systeme implementiert und der Monitoring Prozess definiert. Im ersten Schritt scannten wir deshalb softwaregestützt die vorhandenen Systeme. Die Verdachtsfälle wurden dann von unseren Security-Experten bewertet. Im dritten Schritt erstellten wir ein Bericht mit den Findings. Dieser wird seitdem monatlich als Report mit Handlungsempfehlungen ausgestellt. Durch die Umsetzung der empfohlenen Maßnahmen können alle auftretenden Sicherheitslücken erfolgreich geschlossen werden.

Das IT-Sicherheitsgesetz 2.0 ist in Kraft, und die Zeit für Unternehmen, die erforderlichen Sicherheitsmaßnahmen zu ergreifen, drängt. In unserem Webinar vermitteln wir Ihnen nicht nur das notwendige Wissen über das Gesetz, sondern geben Ihnen auch konkrete Handlungsanweisungen, um Ihr Unternehmen rechtskonform zu machen.

Ergebnis: langfristiger Support

Als langfristiger Managed-Service-Partner sind wir nun dafür zuständig, regelmäßig den Prozess zur Sicherstellung der IT Security zu durchlaufen. Dazu scannen wir die SAP-Systeme, protokollieren die Findings und sprechen Empfehlungen für notwendige Security-Maßnahmen aus. Auch bei der Behebung der Sicherheitslücken unterstützen wir das Unternehmen. Trotz knapper Besetzung kann der KRITIS-Betreiber dadurch die Einhaltung des IT-SiG 2.0 gewährleisten.

Weitere Praxisbeispiele zum Thema „IT-SiG 2.0 umsetzen in SAP“ finden Sie in unserem Webinar “IT-SiG 2.0 umsetzen im SAP”. Sollten Sie weitere Fragen oder Beratungsbedarf haben, schreiben Sie uns gerne eine Mail an info@rz10.de


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Andre Tenbuss

Autor

Andre Tenbuss

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice