Die BSI-Roadmap für NIS-2-regulierte Einrichtungen legt Phase 3 (Ist-Zustand & Risikobewertung) als zentrale Gap-Analyse fest. Hier wird der aktuelle Sicherheitsstand technisch, organisatorisch und prozessual gegen die Anforderungen des § 30 BSIG (mindestens zehn Risikomanagementmaßnahmen) abgeglichen. Für Labore in der Labormedizin ist diese Analyse besonders relevant, da LIS/LIMS, vernetzte Analysengeräte und heterogene OT/IT-Umgebungen typische Schwachstellen darstellen. KRITIS-Betreiber (Labore mit ≥1,5 Mio. Aufträgen/Jahr) müssen zusätzlich All-Hazards-Resilienz nachweisen.
Die Gap-Analyse erfolgt risikobasiert mit Reifegradmodellen (BSI-Grundschutz, ISO 27001, NIST CSF). Typische Ergebnisse in der Labormedizin: Hohe Lücken bei Lieferkettensicherheit, Patch-Management an Medizingeräten und formaler Geschäftsführungsverantwortung. Nachfolgend eine praxisorientierte, labore-spezifische Vorlage.
Schritt-für-Schritt-Durchführung der Gap-Analyse (BSI-Empfehlung)
- Vorbereitung (1–2 Wochen)
- Betroffenheitsbestätigung (NIS-2: Größe + Sektor; KRITIS: Auftragsvolumen).
- Projektteam bilden (Geschäftsführung, CISO/IT-Leiter, Laborleiter, externer Berater).
- Tools: BSI Cyber-Risiko-Check, Excel-Vorlagen oder spezialisierte Software (z. B. für Reifegradbewertung).
- Ist-Aufnahme (2–4 Wochen)
- Inventarisierung: Alle Assets (LIS/LIMS, Analysengeräte, Middleware, Cloud-Dienste, ERP-Schnittstellen).
- Dokumentenprüfung: Bestehende ISMS, Notfallpläne, Lieferantenverträge, Schulungsnachweise.
- Technische Scans: Vulnerability-Scanning, Netzwerkmapping, Pen-Tests (fokussiert auf OT-Segmentierung).
- Bewertung & Gap-Identifikation (2–3 Wochen)
- Abgleich gegen die 10 Mindestmaßnahmen (§ 30 Abs. 2 BSIG).
- Risikomatrizen erstellen (Wahrscheinlichkeit × Auswirkung auf Patientenversorgung).
- Lieferanten einbeziehen (Fragebögen zu Sicherheitsstandards).
- Priorisierung & Maßnahmenplan (1–2 Wochen)
- Quick Wins vs. langfristige Projekte (ROI-Berechnung).
- Roadmap mit Fristen (z. B. 24-h-Meldeprozess innerhalb 3 Monaten).
- Dokumentation für BSI-Prüfungen (Nachweispflicht ab 2028 bei bwE).
- Wiederholung
- Jährlich oder bei wesentlichen Änderungen (neue Geräte, Cloud-Migration).
Die 10 Mindestmaßnahmen (§ 30 BSIG) – Laborspezifische Gap-Analyse
| Nr. | Maßnahme (§ 30 BSIG) | Typischer Ist-Zustand in Laboren | Häufiger Gap (Risiko) | Empfohlene Schließung (Priorität) |
|---|---|---|---|---|
| 1 | Risikoanalyse & Sicherheitskonzepte | Ad-hoc-Analysen, keine jährliche Dokumentation | Fehlende BIA für LIS-Ausfall (Patientenversorgung gefährdet) | Vollständige Risikoanalyse mit BSI-Grundschutz + jährliche Aktualisierung (hoch) |
| 2 | Incident Response (Meldeprozess) | Manuelle Eskalation, keine 24-h-Frist | Verzögerte BSI-Meldung bei Ransomware auf LIMS | IR-Plan mit 24/72-h-Prozess, automatisierte Tools (SIEM), Tests quartalsweise (kritisch) |
| 3 | Business Continuity Management (BCM) | Kein formaler BCMS, manuelle Papier-Backups | Ausfall >4 Stunden bei Notfallanalytik (Blutgas etc.) | BIA + Recovery-Pläne für LIS/OT, redundante Systeme, jährliche Tests (hoch) |
| 4 | Lieferkettensicherheit | Verträge ohne Sicherheitsklauseln | Schwachstellen bei LIMS-Herstellern oder Cloud-Providern | Vertragsklauseln (ISO 27001-Nachweis), Third-Party-Risiko-Assessment, AIBOM (hoch) |
| 5 | Zugangskontrolle & Authentifizierung | Teilweise MFA, aber nicht bei allen Geräten | Unkontrollierter Zugriff auf Analysengeräte | Zero-Trust-Modell + MFA für alle Systeme, Role-Based-Access (mittel-hoch) |
| 6 | Verschlüsselung & Integritätsschutz | Nur teilweise bei Datenübertragung | Manipulation von Befunden möglich | Vollverschlüsselung (Ruhe/Übertragung), digitale Signaturen für Befunde (mittel) |
| 7 | Netzwerk- & Systemsegmentierung | Oft flaches Netz (IT/OT gemischt) | Lateral Movement bei Angriff auf LIS | OT/IT-Trennung (DIN EN 80001-1), Micro-Segmentierung (hoch) |
| 8 | Schwachstellen- & Patch-Management | Veraltete Medizingeräte (10–15 Jahre Lebensdauer) | Unpatchbare Geräte als Einfallstor | Risikobasierte Ausnahmenregelung + virtuelle Patching, regelmäßige Scans (kritisch) |
| 9 | Schulungen & Awareness | Grundschulungen, selten KI-Phishing-spezifisch | Menschliches Versagen als Hauptvektor | Jährliche Pflichtschulungen + Phishing-Simulationen, GF-Fortbildung (hoch) |
| 10 | Governance & Managementverantwortung | Keine dokumentierte GF-Überwachung | Persönliche Haftung bei Vorfällen | GF-Schulung, monatliche Reporting-Pflicht, ISMS-Zertifizierung (ISO 27001) (kritisch) |
Laborspezifische Zusatz-Gaps (KRITIS + OT-Fokus)
- Medizingeräte-Integration (IEC 62304): Viele Analysengeräte laufen auf Legacy-OS ohne Sicherheitsupdates → Gap: Keine sichere Ansteuerung über LIS.
- Datenmanipulation-Risiko: Befunddatenströme nicht integritätsgesichert → Auswirkung: Falsche Diagnosen.
- KRITIS-spezifisch (bei bwE): Fehlende physische Resilienz (Zutrittskontrolle zu Laborräumen, Notstrom für Geräte) und BBK-Abstimmung.
- Cloud- & Lieferkettenabhängigkeit: Viele Labore nutzen SaaS-LIMS → Gap: Keine Exit-Strategie oder TAIBOM (Technical AI Bill of Materials) bei KI-gestützter Analytik.
Typische Ergebnisse & Priorisierungsbeispiel
In der Praxis zeigen Gap-Analysen bei mittelgroßen Laboren (50–250 MA) folgende Verteilung:
- 60–70 % Lücken in technischen Maßnahmen (Patch, Segmentierung).
- 40–50 % organisatorisch (BCM, Schulungen).
- 30 % Governance (GF-Verantwortung).
Quick-Wins (innerhalb 3 Monaten): MFA-Rollout, IR-Plan, Lieferantenfragebögen.
Mittelfristig (6–12 Monate): OT-Segmentierung, BCMS-Aufbau.
Langfristig: Vollständiges ISMS mit Zertifizierung.
Nutzen & Nachweis
Eine dokumentierte Gap-Analyse erfüllt die NIS-2-Nachweispflicht gegenüber dem BSI und reduziert Bußgeldrisiken (bis 10 Mio. € oder 2 % Umsatz). Für KRITIS-Labore dient sie gleichzeitig als Grundlage für das KRITIS-Dachgesetz (All-Hazards). Empfehlung: Externe Unterstützung für objektive Bewertung und Pen-Tests nutzen, da interne Ressourcen oft fehlen.
Diese Vorlage ist direkt anwendbar und orientiert sich ausschließlich an der offiziellen BSI-Roadmap und § 30 BSIG. Führen Sie die Analyse zeitnah durch – die Aufsicht des BSI startet mit Stichproben. Bei Bedarf können einzelne Maßnahmen (z. B. Mustervorlage für Lieferkettenklauseln oder BIA-Template) vertieft werden.
