Die Pflege darf nicht im Regen stehen
IT-SICHERHEITSSTRATEGIEN IM HEALTHCARE-BEREICH
Im Healthcare-Bereich steht die Sicherheit der IT-Infrastruktur an erster Stelle. Insbesondere Krankenhäuser zählen aufgrund ihrer Bedeutung für das Wohlergehen der Bevölkerung zu den kritischen Infrastrukturen. Ein IT-Ausfall kann dramatische Folgen haben. Umfassende IT-Sicherheitslösungen sind daher unverzichtbar.
Die Schäden durch Cyberkriminalität beliefen sich im Jahre 2015 weltweit auf rund 500 Milliarden Euro. Drei kritische IT-Ereignisse pro Monat gelten inzwischen als Durchschnittswert. Als kritische Ereignisse werden dabei Vorkommnisse definiert, die für den Ausfall einer Geschäftsanwendung oder Infrastruktur sorgen oder wenn unerklärliche Fehlfunktionen auftreten. Die Folge in allen diesen Fällen ist, dass betriebliche Abläufe zum Stillstand kommen. Die Mitarbeiter können ihre Aufgaben nicht mehr ausführen – der Betrieb ist lahmgelegt. Branchenbeobachter schätzen, dass jeder Ausfall in einem mittelständischen Betrieb in diesem Umfang durchschnittlich einen finanziellen Schaden pro Stunde in Höhe von rund 20.000 Euro verursacht. Angesichts dieser Kosten sollte Wert auf eine Sicherheitslösung gelegt und einen Notfallplan gelegt werden.
HEALTHCARE-BEREICH STEHT IM FOKUS
Die Digitalisierung des Gesundheitswesens, und hier vor allem der Krankenhäuser, hat zu einer deutlichen Optimierung der bisherigen Prozesse geführt. Von dieser Entwicklung haben die Betreibergesellschaften wie Patienten gleichermaßen profitiert. Die verantwortlichen Akteure stellt diese Entwicklung, wie in den vergangenen Monaten im Kontext der Ransomware-Angriffe deutlich wurde, vor großen IT- Security-Herausforderungen. Mehrere IT-Zwischenfälle durch Ransomware wie Locky, Petya oder Wanna- Cry haben ganze Einrichtungen lahmgelegt. Ein Problem: Immer mehr Geräte sind mit dem Internet verbunden, obwohl sie dafür bei ihrer Herstellung nicht vorgesehen waren. Bisher blieb das Gesundheitssystem in Deutschland weitestgehend von gravierenden Cyberattacken verschont, doch Fachleute sind sich einig, dass die Bedrohungslage für Krankenhäuser und den gesamten Healthcare-Sektor hoch ist. Ein Ausfall der gesamten IT kann den Krankenhäusern teuer zu stehen kommen und eine Gefahr für Bevölkerung und Wirtschaft darstellen.
STEIGENDE BEDROHUNGSLAGE
Allein im ersten Halbjahr 2017 zählten die Experten über 4,89 Millionen neue Schadprogramm-Typen allein für Windows-Computer.
Auch im Mobilbereich ist die Situation dramatisch. Rund 1,5 Millionen neue Schad-Apps zählten die Analysten allein für das Android-Betriebssystem im ersten Halbjahr 2017. PCs und Mobilgeräte sind mit- samt sensiblen Daten wie Patientenakten ständig einem wahren Malware-Dauerfeuer aus dem Internet ausgesetzt, gegen das sie umfassend geschützt werden müssen.
Die IT-Sicherheitsrisiken sind für Krankenhäuser nicht anders als für Unternehmen. Schäden können hier jedoch viel weitreichender sein. Ein erfolgreicher Cyberangriff kann im schlimmsten Fall Menschenleben gefährden. Bereits ein erfolgreicher Angriff reicht aus, um Teile eines Krankenhauses lahmzulegen.
DATENSCHUTZGRUNDVERORDNUNG UND KRITIS II
Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist bereits seit dem 24. Mai 2016 beschlossene Sache – die Schonfrist läuft allerdings am 25. Mai 2018 ab. Zu diesem Stichtag gilt für alle Unternehmen – und darunter fallen auch kritische Infrastrukturen – verbindlich die neue Rechtslage. Alles dreht sich in der EU-DSGVO um personenbezogene Daten, zum Beispiel Patientendaten und wie diese zukünftig geschützt sein müssen. Nicht nur, dass im Falle von IT-Pannen laut EU-DSGVO Geschäftsführer persönlich haftbar gemacht und gegebenenfalls in Regress genommen werden können. Auch muss eine Datenpanne binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Darüber hinaus gilt für kritische Infrastrukturen die neue Änderungsverordnung KRITIS II, die die Bundesregierung am 31. Mai 2017 beschlossen hat. Jene betroffenen Betreiber sind gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verpflichtet, nicht nur eine Kontaktstelle zu benennen, sondern auch innerhalb von zwei Jahren einen Mindeststandard an IT-Sicherheit vorzuweisen. Die daraus entstehen- de Herausforderung: ein IT-Sicherheitskonzept auf- zustellen und dadurch im Ernstfall gut vorbereitet zu sein – sowohl für den IT-Leiter im Gesundheitswesen, für das Krankenhausmanagement, als auch für deren Mitarbeiter.
WIE SEHEN MÖGLICHE LÖSUNGSANSÄTZE AUS?
Das Thema IT-Sicherheit muss umfassend angegangen und ein ganzheitlicher Ansatz verfolgt werden. Krankenhäuser und Unternehmen im Healthcare- Bereich sollten ihre individuellen Risiken einschätzen und ein passgenaues IT-Sicherheitskonzept aufstellen. Technologische Maßnahmen sind hier ein wichtiger Baustein im Kampf gegen Cyberangriffe, reichen aber allein nicht aus. Dazu zählt auch die Schulung von Mitarbeitern, um Attacken frühzeitig zu erkennen und sich richtig zu verhalten. Wie wichtig insbesondere die Sensibilisierung der Mitarbeiter ist, zeigen Cyberattacken mit Ransomware wie Petya. Diese Schadprogramme verstecken sich im Dateianhang einer E-Mail. Beim Öffnen dieses Anhangs gelangte der Schädling in das Unternehmensnetzwerk.
SICHERHEITSLÖSUNGEN SIND EIN ELEMENTARER BAUSTEIN
Ein zuverlässiger und umfassender Schutz vor Cyberangriffen ist unverzichtbar, um die Abläufe in einem Krankenhaus-, Praxis- oder Apothekennetz- werk wirkungsvoll zu schützen, sowie den Dieb- stahl sensibler Daten zu verhindern. Eine immer größer werdende Herausforderung bilden in diesem Gesamtkontext heterogene Netzwerkstrukturen
und der immens hohe Grad der Datenmobilität. Rechner, Laptops, Tablets und Smartphones mit unterschiedlichen Betriebssystemen sind ein gewohntes Bild im Betriebsalltag. Dazu kommen noch IT-Komponenten wie Workstations, Server und viele weitere Peripheriegeräte. Mit dieser unübersichtlichen Gesamtstruktur steigt auch der Aufwand der Administration. Hier wird eine Management-Lösung benötigt, um das Unternehmensnetzwerk zentral zu verwalten und alle Endpoints mit Updates und aktuellen Signaturen versorgen zu können.
Vorteile bieten hier modulare Sicherheitslösungen, mit denen Unternehmen im medizinischen Bereich und die mit der IT-Sicherheit beauftragte Fachabteilungen flexibel und vor allem proaktiv auf neue Angriffsszenarien reagieren können. Die Sicherheitslösungen sollten flexibel auf jede Größe und Anforderung anpassbar sein. Je nachdem, welche Bereiche des Netzwerks zusätzliche Sicherheit benötigen, sollte sich der Schutz um Funktionen wie Patch Management oder Network Monitoring erweitern lassen. Die umfassende Absicherung der IT-Sicherheitskomponenten kann aber auch einem erfahrenen Dienstleister überlassen werden.
IT-SICHERHEIT IN ERFAHRENE HÄNDE LEGEN
Für Fachabteilungen bietet es enormes Potential, einen Teil der IT-Infrastruktur auszulagern. Der Vorteil: Der Betrieb einer eigenen IT-Security-Infrastruktur entfällt weitestgehend und die notwendigen Services erfolgen bei Bedarf durch spezialisierte
Partner. Der erfahrene Dienstleister kann die Sicherheitslösung passgenau auf die Bedürfnisse und Anforderungen des jeweiligen Netzwerks abstimmen. Die Sicherheits-Architektur wächst unproblematisch mit und selbst stark heterogene Netzwerke sind so problemlos in den Griff zu bekommen. Der erfahre- ne Dienstleister weiß genau, welche Lösung für die vorhandene Infrastruktur am besten geeignet ist. Im Notfall kann er ohne Verzögerung per Fernwartung eingreifen. Die Unternehmen wiederum können sich auf ihr Kerngeschäft konzentrieren, während sich der Dienstleister um die Absicherung der IT kümmert und kalkulierbare Kosten entstehen.
Ein weiterer Aspekt im Kampf gegen IT-Ausfälle ist die Einführung von Reaktionsteams mit IT-Experten. Ständig in Bereitschaft gehaltene IT-Teams benötigen im Ereignisfall die nötigen Einblicke,
um mögliche Ursachen ausfindig zu machen und Services so schnell wie möglich wieder online zu stellen. Das allerdings ist kostspielig und wird daher noch von wenigen Institutionen im Gesundheitssektor realisiert. Security-Experten haben nach den aktuellen Cyber-Attacken mit Ransomware alle Hände voll zu tun haben. Als externe Helfer unterstützen sie Unternehmen und Institutionen nach einem Angriff dabei, ihr System möglichst schnell wieder funktionsfähig zu machen. Überaus nützlich ist der Einsatz solcher IT-Sicherheitsexperten übrigens nicht nur dann, wenn ein Angriff bereits er- folgt ist. Als Berater helfen sie Krankenhäusern und Unternehmen aus dem Health Care-Sektor dabei, ihre Infrastruktur abzusichern, so dass sie die vom Gesetzgeber vorgeschriebenen Mindestanforderungen an IT-Sicherheit erfüllt sind. Auch die Erstellung von klaren Regeln für einen etwaigen Ereignisfall
ist entscheidend. Denn so können sich IT-Retter und Krankenhausmitarbeiter besser untereinander koordinieren und produktiver miteinander arbeiten, so dass nach einem Angriff auf die IT-Systeme der Regelbetrieb schnell wiederaufgenommen werden kann. ◆
Hinweise zu den Autoren:
Dominik Neugebauer Public Relations Manager
Christian Lueg, Public Relations Manager
G Data Software AG