In den vergangenen Monaten war das Thema IT-Security noch einmal besonders hoch im Kurs: Neben den immer wieder auftretenden Vorfällen hat die Bundesregierung hierzu nämlich auch eine entsprechende EU-Richtlinie umgesetzt. Zwar gilt das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, auch NIS2UmsuCG), das bereits vom Kabinett verabschiedet ist, eher für größere Firmen. Doch auch Unternehmen, die keine 10 Millionen Euro Umsatz machen oder weniger als 50 Mitarbeitende haben, sollten Cyber-Security nicht links liegen lassen.
Zur Vorsicht – auch für kleinere Unternehmen – mahnt Dirk Wolters. Er ist Geschäftsführer der NeTec, einem IT-Dienstleister für den mittelständischen Bereich, und als ehemaliger CIO einer Klinik mit den IT-Sicherheitsherausforderungen der Gesundheitsbranche vertraut. Alle Inhaber:innen sollten die aktuellen Security-Vorgaben kennen: „Man sollte sich als Unternehmer immer die Frage stellen, ist mir meine IT wichtig oder mache ich das, weil ich es muss“, meint Wolters.
Grundsätzlich seien Apotheken in den Richtlinien für Cyber-Schutz genauso inbegriffen, wie jedes andere Unternehmen: „Das IT-Sicherheitsgesetz schließt Apotheken ein, wenn sie eine gewisse Umsatzgröße erreicht haben. Die entsprechende Prüfung muss aber selbst erfolgen.“ Inzwischen ist klar: NIS-2 wird für Unternehmen ab 10 Millionen Euro Umsatz oder mehr als 50 Mitarbeiter:innen relevant. Wer darunter fällt, muss sich nach Inkrafttreten des Gesetzes beim Bundesamts für Sicherheit in der Informationstechnik (BSI) melden.
Doch auch kleinere Apotheken sollten das Thema angehen, denn: „So ein Ausfall ist nicht mal eben so ersetzt.“ Und hierbei geht es nicht nur um den Schaden durch ausgefallene Umsätze während des Vorfalls, sondern auch um mögliche Bußgelder. Ein Datenschutzvorfall könne auch jetzt schon geahndet werden, so Wolters. Als Experte sieht er die Schwachstellen bei den Leistungserbringern: „Es ist so viel zu tun, dass viele erst mal gar nichts machen“, weiß er.
Es müsse aber gehandelt werden, auch wenn die Ausgangslage nicht unbedingt optimal ist: „Vernünftige Systeme müssten erst mal her“, meint Wolters. Die Technik funktioniere in den Apotheken bei Weitem nicht immer reibungslos. „Die Konnektoren sind nicht die sichersten. Immerhin basieren sie auf der Technik von vor 25 Jahren“, gibt der IT-Fachmann zu bedenken.
Generell müssten sich Inhaber:innen, wie alle anderen Unternehmer:innen auch, mehr Gedanken um das Thema machen. Oftmals sei der Umgang hier zu sorglos. „Was ist mit der Kameraüberwachung ohne Hinweis? Wie wird mit E-Mails umgegangen? Was ist, wenn mein Cloud-Anbieter angegriffen wird?“ Gut verdienende Inhaber:innen könnten durchaus ein bewusst gewähltes Angriffsziel darstellen, mahnt Wolters. Zu sicher dürfe man sich nicht fühlen. Awareness-Schulungen im Team seien ebenfalls sinnvoll.
Im Rahmen der Digitalisierung gebe es noch viel für die Unternehmen zu tun und nicht immer läuft dabei am Anfang alles schneller. Zu erwarten, dass ein Schalter umgelegt werde und alles direkt leichter und besser laufe, sei bei den komplexen Anforderungen an die IT im Gesundheitsbereich falsch, so Wolters.
Offene Fragen in dem Bereich sollten aber kein Tabuthema sein, eine offene Kommunikation sei notwendig. Hier unterstützt Wolters mit seinem Team: „Wir bieten mit lokalen Anbietern zusammen unter anderem Datenschutz-Unterstützung, Firewall und Informationssicherheits-Managementsystem für eine monatliche Pauschale von 500 Euro.“
APOTHEKE ADHOC Debatte