Im Jahr 2019 wurden insgesamt 61 Cyberattacken für Krankenhäuser registriert, die unter die sogenannte BSI-KritisV fallen. Seither sind die Zahlen rückläufig. 2020 waren es 55, im Jahr 2021 und 2022 je 35 Vorfälle. 2023 wurden 21 Vorfälle registriert, 2024 waren es bislang drei Vorfälle. Bei mehr als 30.000 vollstationären Fällen pro Jahr gilt den Angaben zufolge ein Krankenhaus als kritische Anlage nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Bundeswehrkrankenhäuser sind in die Statistik nicht mit eingegangen.
Die Tätergruppierungen unterscheiden bei ihren Angriffszielen nicht zwischen Akteuren der Wirtschaft und des Gesundheitssystems, heißt es in der Antwort weiter.
Absicherung der potenziellen Opfer
In Bezug auf die Unterstützung von KRITIS-Betreibern liegt der Fokus auf der Absicherung der potenziellen Opfer, die sich auch aus der Regulierung ergibt. Hier sieht sich die Bundesregierung „beim Schutz von KRITIS durch die Anzahl der gemeldeten Vorfälle auf einem guten Weg. Auf Basis der Befugnisse aus dem BSIG müssen Betreiber kritischer Infrastrukturen Nachweise über die Absicherung nach dem Stand der Technik erbringen und die im Rahmen der regelmäßigen Auditierung erkannten Lücken schließen.
Das BSI nutzt dabei die zur Verfügung stehenden Regulierungsinstrumente um die KRITIS-Betreiber bei der Verbesserung ihrer IT-Sicherheit zu unterstützen, um potenzielle Angriffsversuche zu unterbinden, zu erkennen und abzuwehren.“ Angreifer könnten allerdings nicht von Angriffsversuchen abgehalten werden.
Quelle: Antwort der Bundesregierung auf eine Kleine Anfrage der Unionsfraktion
Artikel teilen
