Im Stau oder bei zähflüssigem Verkehr einen Film schauen oder ein Buch lesen: In Deutschland ist dies mit hochautomatisiertem Fahren auf Level 3 bis 60/95 km/h erlaubt. Derzeit bieten nur BMW beim 7er und Mercedes bei seiner S-Klasse und dem EQS gegen hohe Aufpreise diese Option. Nachdem Mercedes schon mit der Ankündigung der überarbeiteten S-Klasse einen Rückzieher bei Level 3 machte, folgt nun auch BMW. Der Fokus liegt bis auf Weiteres auf Level 2+.

Wenig Interesse

Das berichtet die Automobilwoche (Paywall) unter Berufung auf einen Unternehmenssprecher. Für die gegen Ende April 2026 erwartete Modellpflege des BMW 7er werde es keinen „Personal Pilot L3“ mehr geben. BMW nannte als Gründe etwa eingeschränkten Kundennutzen und eine mangelnde Nachfrage. Für die im März 2024 eingeführte Option verlangte BMW einen Aufpreis von 6000 Euro. Mit dem Fahrassistenten konnten Fahrerinnen und Fahrer auf Autobahnen mit baulich voneinander getrennten Fahrbahnen und bei Geschwindigkeiten von bis zu 60 km/h ihre Aufmerksamkeit auf Nebentätigkeiten lenken.

Das von Mercedes 2022 eingeführte Pendant der S-Klasse und den EQS verfügte über einen ähnlichen Umfang. Der „Drive Pilot“ durfte durch Freigabe des KBA seit Ende 2024 jedoch mit bis zu 95 km/h hochautomatisiert fahren. Bei der Modellpflege der S-Klasse hatte Mercedes die Level-3-Option ebenso mangels Interesses entfernt.

Level 2+

Mercedes als auch BMW setzen stattdessen erst einmal ihren Fokus auf den sowohl für den Autohersteller (durch teure Sensoren) als auch Kundinnen und Kunden günstigeren Level 2+ beziehungsweise 2++. Beim assistierten Fahrmodus trägt der Fahrer weiterhin die volle Verantwortung. BMW setzt assistiertes Fahren auch im iX3 der Neuen Klasse ein: Der sogenannte Autobahnassistent unterstützt Geschwindigkeiten bis 130 km/h, bei dem der Fahrer die Hände vom Lenkrad nehmen kann, aber stets aufmerksam und bereit sein muss, das Steuer wieder zu übernehmen. Beim Spurwechsel kann das Fahrzeug assistieren: Durch den Blick in den Außenspiegel setzt das Fahrzeug zum Spurwechsel an und übernimmt die dafür notwendigen Lenkbewegungen und Geschwindigkeitsanpassungen. Diese Geste ergänzt die bisherige Aktivierung des Spurwechselassistenten durch Setzen des Blinkerhebels.

BMWs Autobahnassistent kostet beim iX3 als Sonderausstattung „Autobahn- & City-Assistent“ für 1450 Euro. Für den 7er rechnen wir mit einem ähnlichen Aufpreis. Neben dem Autobahnassistenten ist darin auch der City-Assistent inbegriffen, der etwa das Anhalten an roten Ampeln und das automatische Wiederanfahren erlaubt. In der überarbeiteten S-Klasse bietet Mercedes optional das Assistenzsystem MB.Drive Assist Pro an, das eine Assistenz auf SAE-Level 2++ mit Navigation verbindet. Der ist auch im neuen CLA an Bord.

(afl)

Seit Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft und nimmt Geschäftsführer von Krankenhäusern, Medizinischen Versorgungszentren (MVZs) und anderen Gesundheitseinrichtungen persönlich in die Haftung für die Cybersicherheit. Doch wie soll das in einem Sektor gelingen, der von veralteter Medizintechnik und knappen Budgets geprägt ist?

heise online sprach mit den Rechtsexperten Dennis-Kenji Kipker und Tilmann Dittrich, die kürzlich einen NIS2-Leitfaden für Führungskräfte im Gesundheitswesen veröffentlicht haben, über die Änderungen und darüber, ob das Gesetz mehr als nur ein Papiertiger ist.

Mit dem NIS-2-Umsetzungsgesetz ist die Geschäftsleitung persönlich für IT-Sicherheitsvorfälle haftbar. Macht das den Klinik-Chef nun juristisch für Patientenschäden verantwortlich, ähnlich wie einen Arzt bei einem Kunstfehler?

Tilmann Dittrich: Wenn man es streng nimmt, ist die Haftung der Geschäftsleitung keine Neuheit, sondern eine Klarstellung. Ein Geschäftsführer oder Vorstand haftet nach dem GmbH-Gesetz (GmbHG) oder Aktiengesetz (AktG) schon immer für die Organisation des Unternehmens. Das neue Gesetz hebt diese Verantwortung für den Bereich Cybersicherheit jetzt aber explizit hervor und verknüpft sie mit einer Schulungspflicht. Für viele CISOs und IT-Leiter ist das ein Segen. Sie sagen uns: Endlich haben wir ein gesetzliches Argument, um bei der Geschäftsführung Budgets und die notwendige Aufmerksamkeit zu bekommen.

Ein Dauerthema in der Branche: Wer ist verantwortlich, wenn ein Arzt wegen eines Ausfalls der Telematikinfrastruktur (TI) kein E-Rezept ausstellen oder nicht auf die elektronische Patientenakte (ePA) zugreifen kann?

Dittrich: Das ist ein schwieriger Punkt. Die TI wurde aus dem BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen) herausgenommen, weil sie sektorspezifisch im Sozialgesetzbuch V geregelt ist. Das bedeutet aber nicht, dass sie keine kritische Infrastruktur ist. Die Verantwortlichkeiten sind komplex zwischen der Gematik, den Software-Herstellern und dem Arzt oder Krankenhaus als Anwender aufgeteilt. Wenn die TI von außen gestört wird, ist es schwierig, dem Krankenhaus einen Vorwurf zu machen. Aber es bleibt die Herausforderung: Wenn die elektronische Patientenakte ein verlässliches Mittel sein soll, ich aber externen Störungen ausgesetzt bin, brauche ich immer eine Redundanz.

Dennis-Kenji Kipker: Das ist eine klassische Verantwortungsdiffusion, die wir in allen komplexen Lieferketten sehen. Das ist kein Gematik-spezifisches Problem. Wir müssen uns aber von der Vorstellung lösen, dass es eine hundertprozentige Sicherheit gibt. Es ist gut, dass wir in Deutschland über Sicherheit diskutieren und nicht wie Großbritannien eine Schnelldigitalisierung durchgezogen haben. Dort hat der National Health Service (NHS) 2024 den ersten bestätigten Todesfall in Europa infolge eines Cyberangriffs gemeldet: Ein Angriff auf einen Pathologiedienstleister führte zu Verzögerungen bei den Blutergebnissen, was für einen Patienten tödlich endete. Das zeigt, wohin ein überhasteter Ansatz ohne robustes Sicherheitsfundament führen kann.

Führt die Mischung aus strengem BSIG und alten SGB-V-Regeln nicht zu einem Compliance-Albtraum statt zu mehr Sicherheit in den Kliniken?

Dittrich: Ja, diese Doppelregulierung, etwa für Klinik-MVZs, ist ein Problem. Man hat die strengen BSIG-Vorgaben auf der einen Seite und die leichter umzusetzende, aber prozessual schwächere KBV-Richtlinie auf der anderen. Das schafft Unsicherheit und Mehraufwand. Ideal wäre eine klare Regelung, die solche Überschneidungen vermeidet.

Wie soll eine Klinikleitung entscheiden, wenn sie das Budget für eine neue Firewall oder ein neues MRT-Gerät hat? Beides rettet Leben, aber nur für die IT droht persönliche Haftung.

Dittrich: Das ist genau die unternehmerische Risikoentscheidung, die getroffen und dokumentiert werden muss. Man kann nicht mehr sagen, das sei einem egal. Wenn etwas passiert, wird genau diese Abwägung geprüft – vom BSI, von einer Staatsanwaltschaft oder in einem zivilrechtlichen Prozess. Das Argument „Wir kriegen es nicht finanziert“ ist keine Rechtfertigung für eine geringere Patientensicherheit.

Reguliert NIS-2 am Ziel vorbei, wenn das größte Risiko für Kliniken oft bei kleinen, unregulierten Software-Zulieferern liegt?

Kipker: Hundertprozentige Lieferkettensicherheit ist eine Illusion. Aber Regelungen wie der Cyber Resilience Act oder spezielle Vorgaben zur digitalen Resilienz im Medizinprodukterecht sind ein erster Schritt. Wenn wir es schaffen, dass eine Insulinpumpe nicht mehr mit einem Standardpasswort aus der online verfügbaren Bedienungsanleitung angreifbar ist, haben wir viel gewonnen. Die Branchenverbände müssen zudem Standards für die Lieferkettenabsicherung entwickeln, denn das wird immer mehr zur vertraglichen Anforderung.

In vielen Krankenhäusern stehen uralte, aber teure Medizingeräte, für die es keine Sicherheitsupdates mehr gibt. Wer haftet, wenn ein Angreifer darüber ins Netz eindringt?

Kipker: Im Schadensfall interessiert es keinen, ob das Gerät alt war oder der Hersteller keine Updates mehr liefert. Das Krankenhaus ist verpflichtet, Sicherheit nach dem Stand der Technik zu gewährleisten. Wenn sie veraltete „Legacy-IT“ betreiben, müssen sie das Risiko managen, zum Beispiel, indem sie das Gerät vom Netzwerk isolieren.

Dittrich: Wenn eine Klinik einen Anbieter wählt, der keine Patches oder nur kurzfristigen Support anbietet, ist das eine unternehmerische Risikoentscheidung. Dann hat man vielleicht aber auch bei der Beschaffung einen Fehler gemacht.

Es gibt auch Fragen zum neuen Paragraph 17 der Medizinprodukte-Betreiberverordnung, der Betreiber nun zur regelmäßigen Überprüfung ihrer Software zwingt. Sowohl Kliniken als auch Hersteller scheinen unsicher, was das in der Praxis bedeutet. Was bewirkt die Änderung?

Kipker: Unsicherheit entsteht dadurch, weil § 17 keinen festen Prüfkatalog vorgibt. Eine „angemessene“ und nach den „anerkannten Regeln der Technik“ durchgeführte Prüfung bedeutet jedoch, risikobasiert und nachvollziehbar zu handeln. Dies sind Anforderungen, die wir im IT-Sicherheitsrecht allgemein bereits seit langen Jahren kennen. Insbesondere bedeutet dies für den konkreten Fall die Vornahme einer Risikoabwägung mit Blick auf die relevanten Faktoren, zum Beispiel, wie hoch der Vernetzungsgrad ist, ob Fernwartung durchgeführt wird, wie es um die Bedrohungslage bestellt ist und ob der Versorgungspfad besonders kritisch ist.

Wenn der Klinik-CISO warnt und die Leitung aus Kostengründen nicht handelt – wer haftet im Schadensfall?

Dittrich: Die Geschäftsleitung. Wenn der CISO auf ein klares Risiko hinweist, muss die Leitung eine dokumentierte Entscheidung treffen. Sie kann die Verantwortung nicht abschieben.

Behindert der Zwang zur 24-Stunden-Meldung ans BSI die eigentliche Krisenbewältigung?

Dittrich: Der Meldedruck ist hoch, keine Frage. Das erfordert exzellente interne Informationsprozesse. Im Ernstfall muss klar sein, wer wann welche Informationen an wen weitergibt. Das lenkt Ressourcen ab, ist aber nun gesetzliche Pflicht und Teil eines professionellen Krisenmanagements. Die Meldung erfolgt über das neue zentrale BSI-Portal, das gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe betrieben wird.

Was passiert, wenn dieses Portal selbst Ziel eines Angriffs wird oder ausfällt?

Kipker: Zumindest so weit es die faktische Erreichbarkeit anbelangt, sind für derlei Ausnahmesituationen Fallback-Lösungen vorgesehen, zum Beispiel die Übermittlung per Mail oder telefonisch. Inwieweit dieses Verfahren sinnvoll ist und auch über einen längeren Zeitraum aufrechterhalten kann, steht auf einem anderen Blatt, denn durch die Medienbrüche erhöhen sich die Risiken für Fehlinformationen, Missverständnisse, nicht weiter übertragene Daten und eine längere Reaktionszeit.

Kann das BSI diese Informationsflut überhaupt bewältigen?

Kipker: Das ist die entscheidende Frage. Wir sprechen von potenziell 30.000 betroffenen Einrichtungen insgesamt. Wenn auch nur ein Bruchteil davon meldet, steht das BSI vor einer gewaltigen Herausforderung. Die Sorge ist, dass das Portal zu einem reinen Datenfriedhof wird, in dem Meldungen zwar eingehen, aber aufgrund fehlender personeller und fachlicher Kapazitäten nicht zeitnah analysiert und korreliert werden können. Die Gefahr eines Single Point of Failure ist real – nicht nur durch technische Angriffe, sondern auch durch schlichte Überlastung. Ein zentrales Portal ist nur so stark wie die Behörde, die dahintersteht.

Sind die Krisenstäbe für physische Sicherheit und Cybersicherheit in Kliniken getrennte Silos, die im Ernstfall nicht zusammenarbeiten?

Kipker: Ja, das ist leider oft noch der Fall. Viele Krankenhäuser haben zwar eine Krankenhausalarm- und Einsatzplanung (KAEP) für physische Katastrophen, aber Cyberrisiken sind dort oft nicht integriert. Wir müssen dringend weg von diesem Silo-Denken, denn hybride Angriffe – etwa ein Brand im Serverraum kombiniert mit einer DDoS-Attacke – sind die neue Realität und führen zu eben jenen gefährlichen Kaskadeneffekten, die die Versorgungssicherheit gefährden können.

Ist das Gesetz für kleine MVZs und Rettungsdienste ohne IT-Abteilung realitätsfern?

Dittrich: Die Herausforderung ist riesig, das ist klar. Aber auch kleine Praxen sind Teil der kritischen Versorgungskette. Was wir dringend brauchen, sind Unterstützungsangebote und Sensibilisierungskampagnen für diese kleineren Leistungserbringer, die oft völlig ungeschützt sind, wie man bei Stromausfällen immer wieder sieht.

Wenn eine Klinik jetzt nur Budget für eine einzige große Maßnahme hätte, was wäre Ihr dringlichster Rat?

Kipker: Ganz klar das Prozessmanagement. Eine Mitarbeiterschulung ist wichtig, aber auch nicht teuer. In einem Krankenhaus ist die Prozesslandschaft entscheidender. Krankenhäuser sind extrem von Technologie abhängig. Ein strukturiertes Management, das festlegt, wie Geräte beschafft, gewartet und aus dem Netzwerk entfernt werden, ist die Basis.

Dittrich: Das sehe ich auch so. Durch technisch-organisatorische Prozesse muss man das Risiko des einzelnen Mitarbeiters ohnehin minimieren.

(mack)

Nun ist es also final: Panasonic gibt den Vertrieb und das Marketing seines TV-Business an Skyworth Display Technology. Die Partnerschaft werde regionsweise ausgebaut, und Europa sei ein wichtiger Teil davon, heißt es in der Pressemitteilung. Der strategische Zusammenschluss solle bei den TVs der Marke Panasonic in Europa wieder für Wachstum sorgen.

In der jüngsten Vergangenheit hatte sich Panasonic mit dem Vertrieb der eigenen Produkte schwergetan. Ähnlich wie Sony hatte sich der japanische Hersteller auf das Highend-Segment fokussiert und so eine breitere Kundenbasis verloren. Das will Skyworth offenbar rückgängig machen.

Japanische Ingenieurskunst

Die japanischen Ingenieure sollen weiterhin die hohe Qualität der OLED-TVs sicherstellen. Skyworth will sein globales Vertriebsnetz, das Marketing und die Logistik im europäischen Markt nutzen, um die Marke Panasonic wieder voranzubringen. Das klingt ganz ähnlich wie bei dem Deal, den Sony kürzlich mit TCL geschlossen hat. Wie genau sich die „strategische Partnerschaft“ zwischen Panasonic und Skyworth rechtlich darstellt, haben die Unternehmen noch nicht bekannt gegeben.

Der chinesische TV-Spezialist Skyworth hat seine Fühler bereits vor etlichen Jahren Richtung Europa ausgestreckt und 1995 die deutsche Traditionsmarke Metz übernommen. Auf Messen wie der IFA präsentiert das Unternehmen seither neben Eigenmarken auch Smart-TVs unter dem Label Metz Classic und Metz Blue.

Neue Panasonic-TVs angekündigt

Fast zeitgleich mit der Mitteilung zur Übernahme feuerte Panasonic diverse Pressemitteilungen über sein 2026er-Line-up raus. Darin kündigt das Unternehmen die Fortführung seiner bisherigen OLED-Topgeräte Z95B und Z90B mit Fire TV sowie die neue Z85C-Serie mit neuem OLED-Panel und Google TV an. Auch bei LCD-TVs mit QD-Mini-LEDs im Backlight will Panasonic in diesem Jahr mitspielen. Die Smart-TVs aus den Serien W97C und W95C haben 1000 Dimming-Zonen, eine Spitzenleuchtdichte von 1500 cd/m² und sie sollen den DCI-P3-Farbraum komplett abdecken.

Außerdem will der Hersteller in diesem Jahr wieder preiswertere Geräte mit herkömmlichem LED-Backlight und in Bildschirmgrößen zwischen 32 Zoll und 86 Zoll Diagonale anbieten. Als Betriebssystem nutzt Panasonic neben Google TV und Fire TV auch Roku und TiVo, letzteres möglicherweise nicht hierzulande.

Für alle bis März 2026 verkauften und ab April 2026 erhältlichen Geräte wird Panasonic den Kundendienst sicherstellen. Das ist erstmal eine gute Nachricht für alle Panasonic-Kunden.

(uk)