Bremens Straßenbahnen werden zur KI-Überwachungszone

Die Bremer Straßenbahn AG will 40 Bahnen mit KI-Technologie ausstatten, je 10.000 € pro Fahrzeug. Eine KI soll die Aufnahmen auswerten und Vorfälle wie Schlägereien erkennen, damit Personal die Polizei alarmieren kann. Was die KI-Auswertung kostet, ist noch offen. Da die Systeme fehleranfällig sind, sollen Menschen die Bilder zusätzlich überwachen, was weitere Kosten verursacht.

Alle Fahrgäste werden gefilmt. Gesichter werden automatisch verpixelt, eine nachträgliche Identifikation bleibt aber über Kleidung, Größe oder Haarfarbe möglich. Die Bremer Straßenbahn AG versichert, das sei datenschutzrechtlich unbedenklich. Die Systeme wurden mit Theaterfahrten trainiert, bei denen Schauspieler etwa Schlägereien simulierten. Hamburg setzt ein ähnliches System bereits ein, dort soll eine Umarmung schon als Schlägerei erkannt worden sein.

Apple Intelligence verzerrt Zusammenfassungen systematisch

Die Organisation AI Forensics hat mehr als 10 000 automatische Zusammenfassungen von Apple Intelligence untersucht und dabei systematische Verzerrungen gefunden. Das System, das unaufgefordert Kurzfassungen von Nachrichten und E-Mails auf Millionen von Apple-Geräten erstellt, erwähnte die Herkunft weißer Personen nur in etwa der Hälfte der Fälle, die asiatischer Personen fast immer. Bei mehrdeutigen Pronomen legte sich die KI meist auf ein Geschlecht fest, oft entsprechend gängiger Klischees. In einigen Fällen dichtete sie Eigenschaften hinzu, die im Originaltext nicht standen.

Googles kleineres Modell Gemma3-1B machte bei identischen Szenarien solche Fehler nur in sechs Prozent der Fälle. Besonders heikel ist, dass Nutzer die verzerrten Zusammenfassungen nicht aktiv anfordern. Sie erscheinen unaufgefordert auf dem Sperrbildschirm und im Posteingang.

Google blockt Millionen schädliche Apps mithilfe von KI

Google hat 2025 mehr als 1,75 Millionen Apps geblockt, bevor sie im Play Store erscheinen konnten. Das ist ein Rückgang gegenüber den 2,36 Millionen blockierten Apps des Vorjahres, den Google als Erfolg wertet: Angreifer versuchen es seltener, weil die Hürden gestiegen sind. Entwickler müssen sich vor einer Einreichung verifizieren lassen, Google nimmt nach eigenen Angaben mehr als 10 000 Sicherheitschecks pro App vor, und generative KI hilft menschlichen Prüfern, komplexe Schadensmuster schneller zu erkennen. Zusätzlich sperrte Google über 80 000 Entwicklerkonten, ebenfalls deutlich weniger als die 158 000 des Vorjahres.

Während der Play Store sicherer wird, wächst die Bedrohung außerhalb davon stark. Googles eingebauter Schutzdienst Google Play Protect erkannte 2025 mehr als 27 Millionen schädliche Apps, die per Sideloading, also am offiziellen Store vorbei, installiert wurden. 2023 waren es erst fünf Millionen. Im August 2025 wurden 77 Apps mit zusammen 19 Millionen Installationen entdeckt, die Banking-Trojaner enthielten. Ab Herbst 2026 will Google das Installieren nicht verifizierter Apps von außen deutlich schwieriger machen.

KI-Agenten sind bislang vorwiegend ein Werkzeug für Entwickler

Anthropic hat Millionen realer Interaktionen zwischen Menschen und KI-Agenten ausgewertet. Das Ergebnis: Knapp die Hälfte aller agentischen Aktivität entfällt auf Software-Entwicklung. Bereiche wie Kundenservice, Vertrieb oder Finanzen machen jeweils nur wenige Prozentpunkte aus. Anthropic spricht selbst von den frühen Tagen der Agenten-Nutzung und erklärt, andere Branchen befänden sich noch in der Experimentierphase.

Besonders auffällig ist die Entwicklung beim firmeneigenen Coding-Agenten Claude Code. Die längsten autonomen Arbeitsphasen haben sich zwischen Oktober 2025 und Januar 2026 fast verdoppelt, von unter 25 auf mehr als 45 Minuten. Anthropic nennt das einen „Deployment Overhang“: Die technische Fähigkeit der Modelle übersteigt, was Nutzer ihnen in der Praxis abverlangen. Das Forschungsinstitut METR schätzt, dass Claudes aktuelles Spitzenmodell Aufgaben mit einer Erfolgsrate von 50 Prozent lösen kann, für die ein Mensch fast fünf Stunden bräuchte. Anthropic empfiehlt, auf Monitoring nach dem Einsatz zu setzen, statt jede einzelne Agenten-Aktion manuell zu genehmigen.

Anthropic baut Sicherheitscheck direkt in Claude Code ein

Anthropic hat „Claude Code Security“ in die webbasierte Version seines Coding-Agenten integriert. Das Werkzeug durchsucht Codebasen nach Sicherheitslücken und schlägt Patches zur menschlichen Prüfung vor. Anders als viele Analysetools, die nur nach bekannten Mustern suchen, liest Claude Code Security den Code so, wie es eine Sicherheitsexpertin tun würde, und kann so auch subtile, kontextabhängige Lücken finden. Die Ergebnisse erscheinen in einem Dashboard, in dem Teams die vorgeschlagenen Korrekturen prüfen und freigeben können.

Die Ankündigung hatte unmittelbare Folgen an der Börse. Laut Bloomberg fielen die Aktienkurse zahlreicher Cybersecurity-Unternehmen am Freitag deutlich. Viele Investoren fürchten, dass KI-gestützte Werkzeuge die Nachfrage nach etablierten Sicherheitsprodukten verringern werden.

Vibe Coding unterwegs: KI-Agent schreibt Code per Sprachbefehl aus der Hosentasche

Der Entwickler Jake Ledner hat gezeigt, wie sich ein KI-Agent per Sprachbefehl über Smart Glasses steuern lässt, während man durch New York spaziert. Über sein Meta Ray-Ban-Display und WhatsApp gab er dem KI-Agenten OpenClaw Anweisungen, der auf einem Mac Studio in seiner Wohnung lief und OpenAIs Coding-Werkzeug Codex nutzte, um Code zu schreiben. Den Fortschritt verfolgte Ledner über Screenshots direkt in seinem Sichtfeld. Im Video ließ er OpenClaw seiner App eine neue Funktion hinzufügen, die nach Freigabe automatisch eingespielt wurde.

So nahtlos, wie das Video suggeriert, funktioniert das Ganze bisher nicht. OpenClaw birgt erhebliche Sicherheitsrisiken und setzt idealerweise eine dedizierte Recheneinheit voraus. Das Meta Ray-Ban-Display ist bislang nur in den USA erhältlich, und Drittentwickler haben keinen direkten Zugriff darauf. Ledner nutzt deshalb WhatsApp als Umweg, eine der wenigen Apps, die die Brille unterstützt. Google plant, noch in diesem Jahr eine eigene Smart Glasses mit Display vorzustellen.

KI-Rechenzentren in den USA bauen ein Stromnetz im Verborgenen

Große Technologieunternehmen in den USA bauen zunehmend Stromerzeugungsanlagen, die nicht ans öffentliche Netz angeschlossen sind. Laut Washington Post entsteht so ein regelrechtes Schattennetz, an dem unter anderem Meta, OpenAI, Oracle und der Ölkonzern Chevron beteiligt sind. Die meisten Projekte setzen auf Gaskraftwerke, weil diese als zuverlässiger gelten als Solar- oder Windenergie. Da die effizientesten Gasturbinen lange Lieferzeiten haben, kommen oft weniger saubere Alternativen zum Einsatz, was den Treibhausgasausstoß erhöht. Ein Experte für erneuerbare Energien nennt das „katastrophal für die Klimaziele“.

Deutschland setzt bei Rechenzentren auf Microgrids statt Netzunabhängigkeit

Auch in Deutschland sucht die Branche nach Wegen, den Strombedarf neuer Rechenzentren zu decken. Vollständige Netzunabhängigkeit ist in Europa regulatorisch und wirtschaftlich kurzfristig nicht realistisch. Stattdessen setzen Unternehmen hier auf sogenannte Microgrids, campus-eigene Stromnetze, die an das öffentliche Netz angebunden bleiben, im Fehlerfall aber als eigenständige Insel funktionieren können. Batteriespeicher stabilisieren die Versorgung, Gaskraftwerke oder künftig wasserstofffähige Anlagen übernehmen die Grundlast. EnBW und RWE planen solche Anlagen als Ankerpunkte für Rechenzentrums-Cluster.

Die Lösung hat einen Haken für alle anderen Stromkunden. Wer sich ein eigenes Microgrid leistet, zahlt weniger Netzentgelte. Die Kosten für die verbleibenden Nutzer steigen entsprechend.

Sam Altman hält Rechenzentren im All für unrealistisch

OpenAI-Mitbegründer Sam Altman hat die von Elon Musk propagierte Idee von Rechenzentren im Weltall als „lächerlich“ bezeichnet. Beim „India AI Impact Summit“ sagte er gegenüber „The Indian Express“, schon eine einfache Kostenrechnung für den Transport ins All zeige das. Ein weiteres ungelöstes Problem sei die Reparatur defekter Grafikprozessoren im All, denn diese gingen „leider immer noch sehr oft kaputt“. Altman glaubt nicht, dass die Idee im laufenden Jahrzehnt umsetzbar ist.

Auf die Frage nach den Energiekosten von KI zog Altman einen ungewöhnlichen Vergleich. Eine Anfrage an ChatGPT mit einer an einen Menschen zu vergleichen, sei unfair, da ein Mensch 20 Jahre Ernährung und die gesamte Evolution der Menschheit benötige, um klug zu werden. Gemessen daran habe KI beim Energieverbrauch „vielleicht schon aufgeholt“.

GitHub kündigt Maßnahmen gegen KI-Müll in Open-Source-Projekten an

Open-Source-Projekte auf GitHub leiden zunehmend unter einer Flut minderwertiger, KI-generierter Beiträge. Entwickler nutzen KI, um automatisch Lösungsvorschläge für bekannte Probleme in fremden Projekten einzureichen, oft ohne die Anforderungen des jeweiligen Projekts zu verstehen. Die Hauptlast tragen die Maintainer, also die Kernentwickler, die jeden Beitrag prüfen müssen. Der Aufwand ist erheblich, der Ausschuss groß. Einige Projekte, darunter Gentoo Linux, haben GitHub deshalb bereits verlassen und sind zu alternativen Plattformen wie Codeberg gewechselt, einem offenen Projekt mit Sitz in Berlin.

GitHub, das zur KI-Abteilung von Microsoft gehört, hat nach Kritik aus der Community nun erste Maßnahmen gegen minderwertige Beiträge angekündigt. Maintainer sollen minderwertige Beiträge künftig schneller löschen können, ohne sie im Detail prüfen zu müssen. Außerdem sollen sie Beiträge auf bestimmte Nutzergruppen beschränken können, etwa auf Entwickler, die bereits nachgewiesene Beiträge in anderen Projekten vorweisen. Eine automatische Prüfung von Beiträgen anhand selbst definierter Kriterien ist ebenfalls geplant. Umgesetzt ist bislang noch nichts.

Hollywoods Branchenverband geht erstmals direkt gegen einen KI-Anbieter vor

Die Motion Picture Association, Hollywoods Branchenverband, hat dem chinesischen Technologiekonzern Bytedance ein Unterlassungsschreiben geschickt. Auslöser war der KI-Videogenerator Seedance 2.0, der kurz nach seinem Start eine Welle viraler Videos mit geschützten Charakteren aus Marvel, Star Wars und anderen Franchises produzierte. Die MPA spricht von einer „systemischen Rechtsverletzung“ und wirft Bytedance vor, das Modell ohne Zustimmung auf den Werken der Studios trainiert und den Dienst ohne ausreichende Schutzmaßnahmen veröffentlicht zu haben. Es ist das erste Mal, dass die MPA direkt gegen ein KI-Unternehmen vorgeht.

Zuvor hatten Netflix, Warner Bros., Disney, Paramount und Sony bereits eigene Unterlassungsschreiben verschickt. Bytedance erklärte, man arbeite an stärkeren Schutzmaßnahmen, nannte aber keine Details. Das reichte der MPA offenbar nicht. Berichten zufolge verzögern die Auseinandersetzungen den Start der öffentlichen Programmierschnittstelle von Seedance 2.0.

OpenAI plant Smart Speaker, Apple setzt auf Kamera-Zubehör

Bei OpenAI arbeiten mehr als 200 Mitarbeiter an eigener KI-Hardware. Laut „The Information“ soll als erstes Produkt ein Smart Speaker für 200 bis 300 US-Dollar erscheinen. Das Gerät erfasst per Kamera Menschen und Umgebung und könnte sogar Einkäufe via Gesichtserkennung ermöglichen. Ein Marktstart ist frühestens Anfang 2027 geplant. Weitere Projekte wie eine smarte Lampe und Smart Glasses befinden sich noch in einer frühen Phase. Das Hardware-Team ging aus der Übernahme des Start-ups „io“ hervor, das von Apples ehemaligem Designchef Jony Ive gegründet wurde.

Apple verfolgt ohne Ive einen eigenen Weg im Bereich KI-Hardware. Geplant sind eine smarte Brille ohne Display, ein KI-Anhänger sowie AirPods mit Kamerasystem. Alle Geräte sollen die sogenannte „visuelle Intelligenz“ ausbauen, also die KI-Analyse der Umgebung. Ein erstes Produkt könnte noch in diesem Jahr erscheinen.

Neue Xbox-Chefin verspricht Spiele ohne KI-Schrott

Nach einem überraschenden Führungswechsel bei Microsofts Xbox-Sparte hat die neue Leiterin Asha Sharma in einem internen Memo ihre Prioritäten skizziert. Laut „The Verge“ nennt sie drei Schwerpunkte: gute Spiele, die Rückkehr von Xbox als Marke und die Zukunft des Spielens. Zum umstrittenen Thema KI in der Spieleentwicklung bezieht Sharma klar Stellung: Man wolle zwar mit modernen Technologien arbeiten, aber Spiele sollen „Kunst, erstellt von Menschen“ bleiben.

Sharma schreibt wörtlich, man werde „weder kurzfristige Effizienz anstreben noch das Ökosystem mit seelenlosem KI-Schrott überschwemmen“. Für Spieler, die KI-generierte Inhalte in Spielen kritisch sehen, ist das eine ungewöhnlich direkte Ansage aus einem der größten Spielekonzerne der Welt.

(igr)

Im Stau oder bei zähflüssigem Verkehr einen Film schauen oder ein Buch lesen: In Deutschland ist dies mit hochautomatisiertem Fahren auf Level 3 bis 60/95 km/h erlaubt. Derzeit bieten nur BMW beim 7er und Mercedes bei seiner S-Klasse und dem EQS gegen hohe Aufpreise diese Option. Nachdem Mercedes schon mit der Ankündigung der überarbeiteten S-Klasse einen Rückzieher bei Level 3 machte, folgt nun auch BMW. Der Fokus liegt bis auf Weiteres auf Level 2+.

Wenig Interesse

Das berichtet die Automobilwoche (Paywall) unter Berufung auf einen Unternehmenssprecher. Für die gegen Ende April 2026 erwartete Modellpflege des BMW 7er werde es keinen „Personal Pilot L3“ mehr geben. BMW nannte als Gründe etwa eingeschränkten Kundennutzen und eine mangelnde Nachfrage. Für die im März 2024 eingeführte Option verlangte BMW einen Aufpreis von 6000 Euro. Mit dem Fahrassistenten konnten Fahrerinnen und Fahrer auf Autobahnen mit baulich voneinander getrennten Fahrbahnen und bei Geschwindigkeiten von bis zu 60 km/h ihre Aufmerksamkeit auf Nebentätigkeiten lenken.

Das von Mercedes 2022 eingeführte Pendant der S-Klasse und den EQS verfügte über einen ähnlichen Umfang. Der „Drive Pilot“ durfte durch Freigabe des KBA seit Ende 2024 jedoch mit bis zu 95 km/h hochautomatisiert fahren. Bei der Modellpflege der S-Klasse hatte Mercedes die Level-3-Option ebenso mangels Interesses entfernt.

Level 2+

Mercedes als auch BMW setzen stattdessen erst einmal ihren Fokus auf den sowohl für den Autohersteller (durch teure Sensoren) als auch Kundinnen und Kunden günstigeren Level 2+ beziehungsweise 2++. Beim assistierten Fahrmodus trägt der Fahrer weiterhin die volle Verantwortung. BMW setzt assistiertes Fahren auch im iX3 der Neuen Klasse ein: Der sogenannte Autobahnassistent unterstützt Geschwindigkeiten bis 130 km/h, bei dem der Fahrer die Hände vom Lenkrad nehmen kann, aber stets aufmerksam und bereit sein muss, das Steuer wieder zu übernehmen. Beim Spurwechsel kann das Fahrzeug assistieren: Durch den Blick in den Außenspiegel setzt das Fahrzeug zum Spurwechsel an und übernimmt die dafür notwendigen Lenkbewegungen und Geschwindigkeitsanpassungen. Diese Geste ergänzt die bisherige Aktivierung des Spurwechselassistenten durch Setzen des Blinkerhebels.

BMWs Autobahnassistent kostet beim iX3 als Sonderausstattung „Autobahn- & City-Assistent“ für 1450 Euro. Für den 7er rechnen wir mit einem ähnlichen Aufpreis. Neben dem Autobahnassistenten ist darin auch der City-Assistent inbegriffen, der etwa das Anhalten an roten Ampeln und das automatische Wiederanfahren erlaubt. In der überarbeiteten S-Klasse bietet Mercedes optional das Assistenzsystem MB.Drive Assist Pro an, das eine Assistenz auf SAE-Level 2++ mit Navigation verbindet. Der ist auch im neuen CLA an Bord.

(afl)

Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft und nimmt Geschäftsführer von Krankenhäusern, Medizinischen Versorgungszentren (MVZs) und anderen Gesundheitseinrichtungen persönlich in die Haftung für die Cybersicherheit. Doch wie soll das in einem Sektor gelingen, der von veralteter Medizintechnik und knappen Budgets geprägt ist?

heise online sprach mit den Rechtsexperten Dennis-Kenji Kipker und Tilmann Dittrich, die kürzlich einen NIS2-Leitfaden für Führungskräfte im Gesundheitswesen veröffentlicht haben, über die Änderungen und darüber, ob das Gesetz mehr als nur ein Papiertiger ist.

Mit dem NIS-2-Umsetzungsgesetz ist die Geschäftsleitung persönlich für IT-Sicherheitsvorfälle haftbar. Macht das den Klinik-Chef nun juristisch für Patientenschäden verantwortlich, ähnlich wie einen Arzt bei einem Kunstfehler?

Tilmann Dittrich: Wenn man es streng nimmt, ist die Haftung der Geschäftsleitung keine Neuheit, sondern eine Klarstellung. Ein Geschäftsführer oder Vorstand haftet nach dem GmbH-Gesetz (GmbHG) oder Aktiengesetz (AktG) schon immer für die Organisation des Unternehmens. Das neue Gesetz hebt diese Verantwortung für den Bereich Cybersicherheit jetzt aber explizit hervor und verknüpft sie mit einer Schulungspflicht. Für viele CISOs und IT-Leiter ist das ein Segen. Sie sagen uns: Endlich haben wir ein gesetzliches Argument, um bei der Geschäftsführung Budgets und die notwendige Aufmerksamkeit zu bekommen.

Ein Dauerthema in der Branche: Wer ist verantwortlich, wenn ein Arzt wegen eines Ausfalls der Telematikinfrastruktur (TI) kein E-Rezept ausstellen oder nicht auf die elektronische Patientenakte (ePA) zugreifen kann?

Dittrich: Das ist ein schwieriger Punkt. Die TI wurde aus dem BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen) herausgenommen, weil sie sektorspezifisch im Sozialgesetzbuch V geregelt ist. Das bedeutet aber nicht, dass sie keine kritische Infrastruktur ist. Die Verantwortlichkeiten sind komplex zwischen der Gematik, den Software-Herstellern und dem Arzt oder Krankenhaus als Anwender aufgeteilt. Wenn die TI von außen gestört wird, ist es schwierig, dem Krankenhaus einen Vorwurf zu machen. Aber es bleibt die Herausforderung: Wenn die elektronische Patientenakte ein verlässliches Mittel sein soll, ich aber externen Störungen ausgesetzt bin, brauche ich immer eine Redundanz.

Dennis-Kenji Kipker: Das ist eine klassische Verantwortungsdiffusion, die wir in allen komplexen Lieferketten sehen. Das ist kein Gematik-spezifisches Problem. Wir müssen uns aber von der Vorstellung lösen, dass es eine hundertprozentige Sicherheit gibt. Es ist gut, dass wir in Deutschland über Sicherheit diskutieren und nicht wie Großbritannien eine Schnelldigitalisierung durchgezogen haben. Dort hat der National Health Service (NHS) 2024 den ersten bestätigten Todesfall in Europa infolge eines Cyberangriffs gemeldet: Ein Angriff auf einen Pathologiedienstleister führte zu Verzögerungen bei den Blutergebnissen, was für einen Patienten tödlich endete. Das zeigt, wohin ein überhasteter Ansatz ohne robustes Sicherheitsfundament führen kann.

Führt die Mischung aus strengem BSIG und alten SGB-V-Regeln nicht zu einem Compliance-Albtraum statt zu mehr Sicherheit in den Kliniken?

Dittrich: Ja, diese Doppelregulierung, etwa für Klinik-MVZs, ist ein Problem. Man hat die strengen BSIG-Vorgaben auf der einen Seite und die leichter umzusetzende, aber prozessual schwächere KBV-Richtlinie auf der anderen. Das schafft Unsicherheit und Mehraufwand. Ideal wäre eine klare Regelung, die solche Überschneidungen vermeidet.

Wie soll eine Klinikleitung entscheiden, wenn sie das Budget für eine neue Firewall oder ein neues MRT-Gerät hat? Beides rettet Leben, aber nur für die IT droht persönliche Haftung.

Dittrich: Das ist genau die unternehmerische Risikoentscheidung, die getroffen und dokumentiert werden muss. Man kann nicht mehr sagen, das sei einem egal. Wenn etwas passiert, wird genau diese Abwägung geprüft – vom BSI, von einer Staatsanwaltschaft oder in einem zivilrechtlichen Prozess. Das Argument „Wir kriegen es nicht finanziert“ ist keine Rechtfertigung für eine geringere Patientensicherheit.

Reguliert NIS-2 am Ziel vorbei, wenn das größte Risiko für Kliniken oft bei kleinen, unregulierten Software-Zulieferern liegt?

Kipker: Hundertprozentige Lieferkettensicherheit ist eine Illusion. Aber Regelungen wie der Cyber Resilience Act oder spezielle Vorgaben zur digitalen Resilienz im Medizinprodukterecht sind ein erster Schritt. Wenn wir es schaffen, dass eine Insulinpumpe nicht mehr mit einem Standardpasswort aus der online verfügbaren Bedienungsanleitung angreifbar ist, haben wir viel gewonnen. Die Branchenverbände müssen zudem Standards für die Lieferkettenabsicherung entwickeln, denn das wird immer mehr zur vertraglichen Anforderung.

In vielen Krankenhäusern stehen uralte, aber teure Medizingeräte, für die es keine Sicherheitsupdates mehr gibt. Wer haftet, wenn ein Angreifer darüber ins Netz eindringt?

Kipker: Im Schadensfall interessiert es keinen, ob das Gerät alt war oder der Hersteller keine Updates mehr liefert. Das Krankenhaus ist verpflichtet, Sicherheit nach dem Stand der Technik zu gewährleisten. Wenn sie veraltete „Legacy-IT“ betreiben, müssen sie das Risiko managen, zum Beispiel, indem sie das Gerät vom Netzwerk isolieren.

Dittrich: Wenn eine Klinik einen Anbieter wählt, der keine Patches oder nur kurzfristigen Support anbietet, ist das eine unternehmerische Risikoentscheidung. Dann hat man vielleicht aber auch bei der Beschaffung einen Fehler gemacht.

Es gibt auch Fragen zum neuen Paragraph 17 der Medizinprodukte-Betreiberverordnung, der Betreiber nun zur regelmäßigen Überprüfung ihrer Software zwingt. Sowohl Kliniken als auch Hersteller scheinen unsicher, was das in der Praxis bedeutet. Was bewirkt die Änderung?

Kipker: Unsicherheit entsteht dadurch, weil § 17 keinen festen Prüfkatalog vorgibt. Eine „angemessene“ und nach den „anerkannten Regeln der Technik“ durchgeführte Prüfung bedeutet jedoch, risikobasiert und nachvollziehbar zu handeln. Dies sind Anforderungen, die wir im IT-Sicherheitsrecht allgemein bereits seit langen Jahren kennen. Insbesondere bedeutet dies für den konkreten Fall die Vornahme einer Risikoabwägung mit Blick auf die relevanten Faktoren, zum Beispiel, wie hoch der Vernetzungsgrad ist, ob Fernwartung durchgeführt wird, wie es um die Bedrohungslage bestellt ist und ob der Versorgungspfad besonders kritisch ist.

Wenn der Klinik-CISO warnt und die Leitung aus Kostengründen nicht handelt – wer haftet im Schadensfall?

Dittrich: Die Geschäftsleitung. Wenn der CISO auf ein klares Risiko hinweist, muss die Leitung eine dokumentierte Entscheidung treffen. Sie kann die Verantwortung nicht abschieben.

Behindert der Zwang zur 24-Stunden-Meldung ans BSI die eigentliche Krisenbewältigung?

Dittrich: Der Meldedruck ist hoch, keine Frage. Das erfordert exzellente interne Informationsprozesse. Im Ernstfall muss klar sein, wer wann welche Informationen an wen weitergibt. Das lenkt Ressourcen ab, ist aber nun gesetzliche Pflicht und Teil eines professionellen Krisenmanagements. Die Meldung erfolgt über das neue zentrale BSI-Portal, das gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe betrieben wird.

Was passiert, wenn dieses Portal selbst Ziel eines Angriffs wird oder ausfällt?

Kipker: Zumindest so weit es die faktische Erreichbarkeit anbelangt, sind für derlei Ausnahmesituationen Fallback-Lösungen vorgesehen, zum Beispiel die Übermittlung per Mail oder telefonisch. Inwieweit dieses Verfahren sinnvoll ist und auch über einen längeren Zeitraum aufrechterhalten kann, steht auf einem anderen Blatt, denn durch die Medienbrüche erhöhen sich die Risiken für Fehlinformationen, Missverständnisse, nicht weiter übertragene Daten und eine längere Reaktionszeit.

Kann das BSI diese Informationsflut überhaupt bewältigen?

Kipker: Das ist die entscheidende Frage. Wir sprechen von potenziell 30.000 betroffenen Einrichtungen insgesamt. Wenn auch nur ein Bruchteil davon meldet, steht das BSI vor einer gewaltigen Herausforderung. Die Sorge ist, dass das Portal zu einem reinen Datenfriedhof wird, in dem Meldungen zwar eingehen, aber aufgrund fehlender personeller und fachlicher Kapazitäten nicht zeitnah analysiert und korreliert werden können. Die Gefahr eines Single Point of Failure ist real – nicht nur durch technische Angriffe, sondern auch durch schlichte Überlastung. Ein zentrales Portal ist nur so stark wie die Behörde, die dahintersteht.

Sind die Krisenstäbe für physische Sicherheit und Cybersicherheit in Kliniken getrennte Silos, die im Ernstfall nicht zusammenarbeiten?

Kipker: Ja, das ist leider oft noch der Fall. Viele Krankenhäuser haben zwar eine Krankenhausalarm- und Einsatzplanung (KAEP) für physische Katastrophen, aber Cyberrisiken sind dort oft nicht integriert. Wir müssen dringend weg von diesem Silo-Denken, denn hybride Angriffe – etwa ein Brand im Serverraum kombiniert mit einer DDoS-Attacke – sind die neue Realität und führen zu eben jenen gefährlichen Kaskadeneffekten, die die Versorgungssicherheit gefährden können.

Ist das Gesetz für kleine MVZs und Rettungsdienste ohne IT-Abteilung realitätsfern?

Dittrich: Die Herausforderung ist riesig, das ist klar. Aber auch kleine Praxen sind Teil der kritischen Versorgungskette. Was wir dringend brauchen, sind Unterstützungsangebote und Sensibilisierungskampagnen für diese kleineren Leistungserbringer, die oft völlig ungeschützt sind, wie man bei Stromausfällen immer wieder sieht.

Wenn eine Klinik jetzt nur Budget für eine einzige große Maßnahme hätte, was wäre Ihr dringlichster Rat?

Kipker: Ganz klar das Prozessmanagement. Eine Mitarbeiterschulung ist wichtig, aber auch nicht teuer. In einem Krankenhaus ist die Prozesslandschaft entscheidender. Krankenhäuser sind extrem von Technologie abhängig. Ein strukturiertes Management, das festlegt, wie Geräte beschafft, gewartet und aus dem Netzwerk entfernt werden, ist die Basis.

Dittrich: Das sehe ich auch so. Durch technisch-organisatorische Prozesse muss man das Risiko des einzelnen Mitarbeiters ohnehin minimieren.

(mack)