IT-SiG 2.0 umsetzen – Best Practices im Gesundheitssektor
Autor: Andre Tenbuss | 24. Juni 2021
Das IT-SiG 2.0 verpflichtet alles KRITIS-Betreiber und ihre Zulieferer zur zeitnahen Umsetzung erweiterter Sicherheitsmaßnahmen. Dieser Beitrag verrät, wie das im Gesundheitssektor erfolgreich ablaufen kann und welche Best Practices wir empfehlen.
KRITIS und das IT-Sicherheitsgesetz 2.0
Systemrelevante Unternehmen zählen zu den so genannten kritischen Infrastrukturen (KRITIS). Die KRITIS-Sektoren zeichnen sich dadurch aus, dass sie besonders schützenswert sind und deshalb verschärfte Sicherheitsmaßnahmen erfüllen müssen. Betroffen sind beispielsweise der Finanz-, Energie- und auch der Gesundheitssektor.
Für die Gewährleistung der Schutzmaßnahmen von KRITIS Sektoren wurde 2015 das so genannte IT-Sicherheitsgesetz (IT-SiG) eingeführt. Im April 2021 verabschiedete der Deutsche Bundestag das erweiterte IT-SiG 2.0. Dieses erhöht nicht nur die Anforderungen an die primären KRITIS-Betreiber, sondern verpflichtet auch alle Zulieferer zur Einhaltung des Sicherheitsgesetzes.
Zusätzlich zu den neuen Anforderungen wurden auch die Maßnahmen bei Verstößen verschärft. Eine zeitnahe Umsetzung des IT-SiG 2.0 sollte deshalb bei allen KRITIS-Betreibern und Zulieferern hoch priorisiert werden. Welchen Herausforderungen Unternehmen der Gesundheitsbranche dabei gegenüberstehen können und wie die Umsetzung des IT-SiG 2.0 gelingt, soll sich nun an einem Beispiel aus der Praxis zeigen.
IT-SiG 2.0 umsetzen im Gesundheitssektor
Insbesondere durch die Corona-Pandemie ist nochmal besonders deutlich geworden, wie wichtig der Gesundheitssektor ist. Im Kontrast dazu steht allerdings der starke Verbesserungsbedarf in Sachen Digitalisierung und IT-Sicherheit. Hinsichtlich des IT-SiG 2.0 stellt das ein großes Problem dar.
Auch in einem unserer Umsetzungsprojekte im Gesundheitssektor stand es anfangs kritisch um die Sicherheit der eingesetzten Systeme. Dem Unternehmen fehlte eine Übersicht über Sicherheitslücken sowie ein umfangreiches Monitoring mit entsprechenden Auswertungen. Das hing nicht zuletzt mit einer geringen Personalzahl und wenig Knowhow über IT Security zusammen. Gemeinsam mit uns sollte dieses Problem gelöst werden.
Best Practices und konkrete Vorgehensempfehlungen
Im Rahmen eines gemeinsamen Workshops äußerte der KRITIS-Betreiber den Wunsch nach einem SIEM-Tool. Das Monitoring und die Auswertung der Findings sollte aufgrund des Personalmangels mit einem Managed Service über Outsourcing erfolgen.
In Laufe des Umsetzungsprojekts wurde dann ein solches SIEM Tool in die bestehenden SAP Systeme implementiert und der Monitoring Prozess definiert. Im ersten Schritt scannten wir deshalb softwaregestützt die vorhandenen Systeme. Die Verdachtsfälle wurden dann von unseren Security-Experten bewertet. Im dritten Schritt erstellten wir ein Bericht mit den Findings. Dieser wird seitdem monatlich als Report mit Handlungsempfehlungen ausgestellt. Durch die Umsetzung der empfohlenen Maßnahmen können alle auftretenden Sicherheitslücken erfolgreich geschlossen werden.
Ergebnis: langfristiger Support
Als langfristiger Managed-Service-Partner sind wir nun dafür zuständig, regelmäßig den Prozess zur Sicherstellung der IT Security zu durchlaufen. Dazu scannen wir die SAP-Systeme, protokollieren die Findings und sprechen Empfehlungen für notwendige Security-Maßnahmen aus. Auch bei der Behebung der Sicherheitslücken unterstützen wir das Unternehmen. Trotz knapper Besetzung kann der KRITIS-Betreiber dadurch die Einhaltung des IT-SiG 2.0 gewährleisten.
Weitere Praxisbeispiele zum Thema „IT-SiG 2.0 umsetzen in SAP“ finden Sie in unserem Webinar “IT-SiG 2.0 umsetzen im SAP”. Sollten Sie weitere Fragen oder Beratungsbedarf haben, schreiben Sie uns gerne eine Mail an info@rz10.de