Heise-Gastbeitrag: Krankenkassen und die Lücken der KRITIS-Verordnung

/in

Im Heise-Gastbeitrag habe ich mir die Frage gestellt, warum bestimmte IT-Dienstleister der Krankenkassen nicht als kritische Infrastruktur gelten. Entscheidend war für mich weniger das Ergebnis dieser Einstufung, sondern die Art und Weise, wie die Kriterien angewendet werden. An diesem Beispiel lässt sich zeigen, wie unterschiedlich die KRITIS-Verordnung interpretiert wird und wie sich dadurch systematisch Schlupflöcher ergeben haben, die geschlossen werden müssten, um den Wesensgehalt der Verordnung zu erhalten.

Besonders problematisch ist die fehlende Einstufung von IT-Dienstleistern als KRITIS, die in den Sektoren Finanz und Versicherungswesen sowie im Sektor “Staat und Verwaltung” aktiv sind. Diese sind zentrale Akteure, weil ein Ausfall gleich mehrere Dienstleister eines Sektors gleichzeitig treffen würde. Durch geschickte Konstruktionen entziehen sich diese Unternehmen jedoch den strengeren Vorgaben. Die Krankenkassen sind hier nur ein konkreter Aufhänger, um sichtbar zu machen, wie weitreichend die Effekte dieser Auslegung reichen.

Mir war wichtig, diesen Mechanismus offenzulegen. Solange die Diskussion nur entlang einzelner Betreiber geführt wird, bleibt unbeachtet, dass hinter die gemeinsamen Dienstleister, die keine KRITIS-Pflichten erfüllen müssen, das größere, zu lösende Problem darstellen.

Der Artikel ist hier veröffentlicht: Warum die meisten Krankenkassen nicht als kritische Infrastrukturen gelten | heise online

Bild: ChatGPT

You might also like
Cyberhilfswerk – Concept Release 1.0
Talk: “Wat tut die AG KRITIS?”
Article: Workgroup “critical infrastructure”