Suchen

IT-Sicherheit im Krankenhaus Die IT-Impfung gegen Sicherheitslücken – ein Behandlungsvorschlag

| Autor / Redakteur: Pierre Gronau / Manfred Klein

Im dritten Teil meiner Artikelreihe, die IT-Sicherheit im Klinikumfeld thematisiert, wird`s konkret: Der Text unterbreitet einen Vorschlag für einen Behandlungsplan geschwächter IT-Strukturen. Ich zeige einen IT-Security-Arztkoffer, der klinikspezifisch zusammenstellbar ist und für klassische Situationen im Krankenhaus passende Instrumente bereitstellt.

Zuverlässigen Schutz für die Krankenhaus-IT bei überschaubaren Kosten verspricht unser Autor
Zuverlässigen Schutz für die Krankenhaus-IT bei überschaubaren Kosten verspricht unser Autor
(© Gronau IT – Lukas Liebhold)

Von diesem Klinikkoffer profitieren IT-Administratoren, Entwickler von medizinischen Anwendungen, und Datenschützer nach DSGVO. Er erhebt den Anspruch, Sicherheitslücken in IT-Systemen aufzudecken, Hackerangriffe zu erkennen und Datenschutzkonformität sicher zu stellen. Die Ausgangsbasis ist ein IT-Sicherheitslevel, bei dem sich das Haus schon um die notwenige Basis gekümmert hat – also Patchmanagement, Netzsegmentierung sowie Identitätsmanagement (IdM).

16 Millionen Datensätze aus radiologischen Untersuchungen flottieren frei zugänglich im Netz, 12 Millionen Patientendaten wie Bankverbindung und Sozialversicherungsnummer fallen Hackern in die Hände – 2019 war bisher gespickt mit Datenskandalen und anderen IT-Security-Debakeln, die die Sicherheitsdebatte befeuert haben. Ob Klinikverbund oder kleines Labor, diese Datenschutzdilemmata und großflächige IT-Ausfälle, wie jüngst im Uniklinikum Heidelberg, beunruhigen das Gesundheitswesen zunehmend.

Zu diesen Sorgen gesellen sich europäische Datenschutzbehörden, die nach der Einführung der DSGVO, wie 2018 in Portugal, spürbar die Daumenschrauben anziehen. Informationssicherheit steht im Branchenfokus und laut Allianz Risk Barometer 2019 rangieren Cybervorfälle gemeinsam mit Betriebsunterbrechungen erstmalig auf Platz 1 der größten Geschäftsrisiken. Auch im Krankenhaus bedingt das eine das andere, nur sind die Auswirkungen für den Einzelnen und für die Gesellschaft fatal.

Parallel boomt der Markt für Sicherheitssoftware. So zeigen die Wirtschaftsinformations­experten von databyte auf, dass die Anzahl der Neuanmeldungen mit dem Geschäftsgegenstand IT-Sicherheit seit drei Jahren kontinuierlich steigen: Von 169 Handelsregistereintragungen im Jahr 2016 über 204 neue Unter­nehmen der Branche 2017 auf 244 Anmeldungen bis einschließlich November 2018 spiegelt dieser Aufschwung der Branche eine explizite Wertsteigerung des Themas für Unternehmen wider.

Damit geht auch steigender Bedarf an IT-Fachkräften einher, die das Sicherheitsthema professionell spielen können. Die große Nachfrage hinterlässt laut Branchenverband Bitkom eine Lücke von mehr als 80.000 freien Stellen, Stand Dezember 2018. Diese Zahlen summieren sich zu einer unglücklichen Situation, in der sich eines herauskristallisiert: IT-Teams sind auf Sicherheitssoftware angewiesen, die Prozesse unterstützen, Zeit einsparen und Fehlerquellen ausmerzen. Automatisierung lautet das Schlagwort. Doch wo anfangen, wenn sich doch die Gefahrenherde von der eigenen IT-Struktur über Webanwendungen bis hin zur Auslagerung in Rechenzentrum und Cloud als vielschichtig präsentieren?

Konfigurieren: sinnvoller Eingriff in die DNA

Ist die eingangs genannte Grundmauer aus Patchen, Segmentieren von Netzen und Management von Berechtigungen errichtet, wirken Konfigurationsmanagement und das Härten am effektivsten auf IT-Sicherheit. Für Linux-Strukturen hält der Markt flexible und skalierbare Open-Source-Lösungen bereit, die sich aufgrund ihrer ausgiebig getesteten Entwicklungs-Muster aufwandarm implementieren lassen.

In Phase eins überprüft der beauftragte IT-Sicherheits­berater die vom Hersteller gelieferten Referenz­architekturen aller im Gesundheitsbetrieb verwendeten Systeme und Software und erstellt eine Machbarkeitsstudie. Anhand von Anwendungsfällen definiert er mit Klinikleitung und IT-Abteilung Akzeptanzkriterien und modifiziert die bestehenden Infrastrukturen, um das Sicherheitslevel zu erhöhen. Alle Modifizierungen werden dokumentiert.

Auf Grundlage der gewonnenen Erkenntnisse rollt der Berater die neue Struktur aus, die Mitarbeiter erhalten hierzu gezielt Schulungen. Nach diesem elementaren Eingriff in die IT-DNA läuft das Konfigurations­management automatisiert über eine Plattform, externe Unter­stützung ist erst wieder bei einer großen Erweiterung oder Neu­strukturierung notwendig.

Für diesen wesentlichen Schritt zur IT-Sicherheit muss ein mittelständischer Betrieb wie ein autarkes Krankenhaus oder ein Labor ungefähr einen Monat für die Machbarkeitsstudie und nochmal einen Monat für die Inbetriebnahme rechnen. Neben der erhöhten Sicherheit hat Konfigurationsmanagement den angenehmen Nebeneffekt, dass Mitarbeiter die einzelnen Systeme und Anwendungen durch die intensive Überprüfung und die anschließenden Schulungen besser einschätzen können.

(ID:46189031)