Newsletter heise-Bot heise-Bot

Warum die meisten Krankenkassen nicht als kritische Infrastrukturen gelten

Nach dem Cyberangriff auf den IT-Dienstleister Bitmarck gibt es viele Fragen nach dem Warum. Eine Analyse von Johannes 'Ijon' Rundfeldt von der AG Kritis.

In Pocket speichern vorlesen Druckansicht 26 Kommentare lesen
Business,For,Profit,,Benefit,,Health,Insurance,,Development,And,Growth,Concepts.

(Bild: Pasuwan/Shutterstock.com)

Update
Lesezeit: 5 Min.
Von
  • Johannes 'ijon' Rundfeldt
Inhaltsverzeichnis

Bitmarck ist ein Managed Service Provider, der sich auf den IT-Betrieb von gesetzlichen Krankenversicherungen spezialisiert hat. Zu den Dienstleistungen des Unternehmens gehören die Betreuung und der Support von IT-Systemen für eine Vielzahl von Krankenkassen. Zuletzt geriet Bitmarck durch einen erfolgreichen Hackerangriff in die Schlagzeilen. Die Folgen waren verheerend. Viele Krankenkassen konnten ihre Systeme wochenlang nicht nutzen. Neben der Frage, wie sicher die IT-Infrastruktur von Bitmarck tatsächlich ist, stellt sich eine weitere: Welche Sicherheitsstandards muss das Unternehmen erfüllen?
Eine Einschätzung von Johannes 'ijon' Rundfeldt

(Bild: Sanjar Khaksari)

Johannes Rundfeldt ist Gründer und Sprecher der AG Kritis.

Ein wichtiger Aspekt dieser Diskussion ist die Frage, was als Kritische Infrastruktur (Kritis) bezeichnet wird. Kritis sind Organisationen oder Einrichtungen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dementsprechend sind Unternehmen, die als Kritis eingestufte Anlagen betreiben, zu besonderer Sorgfalt beim Betrieb sowie zur Erfüllung besonders hoher IT-Sicherheitsanforderungen verpflichtet.

Lesen Sie auch

.

Viele Krankenkassen zu klein für Kritis

Auch die gesetzlichen Krankenversicherungen werden in der Verordnung konkret adressiert. Im Anhang 6 der Kritisverordnung (KritisV) des BSI finden sich Anlagen und Anlagenkategorien und deren Schwellwerte. Unter Punkt 5.2.1 findet sich das "Verwaltungs- und Zahlungssystem der gesetzlichen Kranken- und Pflegeversicherung", welches ab einer Anzahl von 3 Millionen Versicherten als Kritis gilt, wie der Tagesspiegel Background berichtet hat. Damit dürfte ein Großteil der 80 von dem Bitmarck-Ausfall betroffenen Krankenkassen nicht mehr unter die Kritisverordnung fallen.

Obwohl Bitmarck angibt, die IT-Systeme für mehr als 25 Millionen Versicherte zu verwalten, argumentiert das Unternehmen, aufgrund eines festgelegten Kriterienkatalogs nicht als Kritis zu gelten. Auch das BSI ist der Ansicht, Bitmarck gehöre nicht zu den Kritis, da es lediglich der IT-Dienstleister und Betreiber der Krankenkassen ist.

Lesen Sie auch

Grundsätzlich sollte die Branchenzugehörigkeit des Unternehmens für die Kritis-Einstufung keine Rolle spielen. Entscheidend ist allein, ob eine Anlage oberhalb der gesetzlichen Schwellenwerte betrieben wird. Das BSI hingegen interpretiert den Wortlaut der Verordnung so, dass das "Verwaltungs- und Zahlungssystem" nicht nur für eine gesetzliche Kranken- und Pflegeversicherung betrieben wird, sondern von der gesetzlichen Versicherung selbst betrieben werden muss, um als Kritis zu gelten.

Streit um Kritis-Zugehörigkeit

Bemerkenswert ist, dass auch andere Unternehmen, wie zum Beispiel die Berliner Verkehrsbetriebe (BVG), zunächst davon überzeugt waren, nicht von den Kritis-Regelungen betroffen zu sein. Erst nachdem eine gerichtliche Entscheidung des Verwaltungsgerichts Köln drohte, zog die BVG ihre Klage gegen das BSI zurück und akzeptierte, als Kritis zu gelten.

Die besondere Situation, dass komplette Anlagen nicht mehr von einer Kritis-Organisation, sondern von Dienstleistern und Zulieferern betrieben werden, findet sich grundsätzlich nur in drei Branchen: Finanz- und Versicherungswesen, Informations- und Kommunikationstechnologie sowie Staat und Verwaltung, wobei auch hier Unterschiede bestehen.

Adesso, Materna ebenfalls nicht Kritis

Die erfolgreichen Hackerangriffe auf die IT-Dienstleister Adesso und Materna zeigen ein ähnliches Muster. Beide Dienstleister haben Kunden in der öffentlichen Verwaltung und der Vorfall hat die Verfügbarkeit der für die Kunden betriebenen Systeme beeinträchtigt. Im Gegensatz zum Sektor "Finanzen und Versicherungen" gibt es für den Sektor "Staat und Verwaltung" bisher keine Verordnung, die Anlagen und Anlagenkategorien sowie Schwellenwerte nennt. Dementsprechend fallen die von den Dienstleistern betriebenen Systeme auch nicht unter die Kritis-Regelungen.

Die Diskussion über den Umgang mit Zulieferern im Bereich kritischer Infrastrukturen ist unumgänglich. Wenn ein Unternehmen wie Bitmarck praktisch allein für den Betrieb und die Wartung der IT-Infrastruktur von Krankenversicherungen verantwortlich ist, stellt sich die Frage, warum es nicht als Kritis eingestuft wird.

Die Systematik, dass es nicht auf das betreibende Unternehmen, sondern nur auf die Schwellenwerte der Verordnung ankommt, zieht sich durch die anderen Sektoren der Kritis-Verordnung. Demgegenüber gibt es sowohl im Sektor Staat und Verwaltung als auch im Sektor Finanz- und Versicherungswesen eindrucksvolle Beispiele dafür, dass Dienstleister im Auftrag ihrer Kunden ganze Anlagen selbst betreiben, die als Kritis einzustufen wären.

Evaluierung der Kritis-Verordnung

Kürzlich führte das BMI eine Evaluierung der 2019 geschaffenen Regelungen zum IT-Sicherheitsgesetz 2.0 durch. Zwar hat diese Evaluierung wohl wahrscheinlich formell die gesetzliche Regelung erfüllt, eine Evaluierung der Wirkung und Reichweite der BSI-Kritisverordnung war jedoch nicht Teil der zu evaluierenden Abschnitte der IT-Sicherheitsgesetzgebung. Entsprechend wurde die wichtige Frage nach der Einstufung der und Umgang mit Zulieferern durch das Bundesministerium des Inneren nicht betrachtet. Auch Bitmarck selbst hatte die Politik nach eigenen Angaben darauf hingewiesen, "dass es nach dem BSI-Gesetz nicht darum geht, ob eine Organisation sich als zu Kritis zugehörig ansieht oder nicht, sondern dass ein festgelegter Kriterienkatalog entscheidet, wer zu Kritis gehört und wer nicht" und hält sich selbst für systemrelevant.

Daher fordert beispielsweise die AG Kritis eine Evaluierung der Kritis-Verordnung. Die Branchenzugehörigkeit von Dienstleistern und Zulieferern dürfe keine Rolle spielen. Auch diese Akteure dürfen nicht vergessen werden. Betreibt ein Unternehmen eine in der Kritis-Verordnung benannte Anlage oberhalb der festgelegten Schwellenwerte, muss es zukünftig als Kritis eingestuft werden. Die Sicherheit und Zuverlässigkeit der IT-Systeme in den Kritischen Infrastrukturen muss gewährleistet sein, damit die Versorgungssicherheit in Deutschland auf hohem Niveau erhalten bleibt.

Update

Korrigiert, dass eine gerichtliche Entscheidung des Verwaltungsgerichts Köln drohte. In einer früheren Version stand, dass eine "gerichtliche Entscheidung des Bundesverwaltungsgerichts drohte".

(mack)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot