Cybersicherheit im Gesundheitswesen Die Rolle des CISO im Wandel

Ein Gastbeitrag von Uwe Dieterich

Das Berufsbild des CISO (Chief Information Security Officer) befindet sich im Wandel. Doch welche Rolle spielen CISOs genau in Gesundheitsreinrichtungen? Und mithilfe welcher modernen Technologien können sie sensible Patientendaten schützen?

Ein Chief Information Security Officer (CISO) ist verantwortlich für die Informations- und Datensicherheit im gesamten Unternehmen
Ein Chief Information Security Officer (CISO) ist verantwortlich für die Informations- und Datensicherheit im gesamten Unternehmen
(© VideoFlow – stock.adobe.com)

Deutschland fehlen die IT-Sicherheitsfachkräfte – daran wird sich in absehbarer Zeit nichts ändern. Auch CISOs werden ständig gesucht. Doch nach welchem Profil suchen Gesundheitseinrichtungen eigentlich, wenn sie die Stelle des CISO besetzen? Die Rolle des CISO wird laufend um neue Anforderungen ergänzt. Und einige Aufgaben, die CISO früher wahrnahmen, sind heutzutage aufgrund veränderter Rahmenbedingungen und der fortschreitenden Digitalisierung nicht mehr notwendigerweise relevant.

Schon lange ist ein reiner Schwerpunkt auf Netzwerkrisiken nicht mehr an der Tagesordnung. Stattdessen müssen alle Bereiche der IT-Sicherheit berücksichtigt werden. Darüber hinaus müssen CISOs mehr als je zu zuvor einen Überblick behalten über sich ständig ändernde Gesetze und Normen sowie über neue Angriffsvektoren von Cyber-Kriminellen.

Worauf müssen sich CISOs heutzutage einstellen?

Vorbei sind die Zeiten, da CISOs Kommunikationsarbeit leisten mussten, um intern für die enorme Bedeutung von IT-Sicherheit zu sensibilisieren. Diese Botschaft ist mittlerweile zu den meisten Mitarbeitern und dem Führungspersonal im Gesundheitswesen vorgedrungen – auch wenn bei bestimmten Themen wie Phishing nach wie vor Aufklärungsarbeit geleistet werden muss.

Heutzutage geht es in erster Linie darum, medizinische Endgeräte, Netzwerke und Systeme – und damit Patientendaten – effektiv vor Angriffen zu schützen. Dafür ist es erforderlich, dass CISOs stets einen Überblick über die IT-Sicherheitsarchitektur ihrer Einrichtung behalten, und davon ausgehend Maßnahmen zum Schutz der IT delegieren. Außerdem müssen sie mithilfe ihrer Expertise die strategische Ausrichtung der IT-Sicherheit ihrer Organisation gestalten. Da die Digitalisierung im Gesundheitswesen durch die Pandemie noch an Momentum gewinnt, kann das eine echte Herausforderung darstellen, denn technologische Innovationen bedeuten auch mehr Komplexität für das Gesamtsystem.

Durch die gestiegene Komplexität hat sich auch die Angriffsfläche vergrößert. Zum einen müssen ständig neue Systeme abgesichert werden. Zum anderen ergeben die notwendigen Integrationen in bestehende Systeme eine Vielzahl von Schnittstellen, die aus IT-Sicherheitsperspektive wiederum ein besonderes Augenmerk erfordern. Angesichts der ohnehin steigenden Zahlen von Cyberangriffen fällt das besonders ins Gewicht.

Nicht zu vernachlässigen ist auch der Faktor, dass Mitarbeiter heute häufiger zwischen Einrichtungen wechseln und jederzeit ein Überblick über die korrekte Bereitstellung von Zugangsdaten gewahrt werden muss. Des Weiteren werden Gesetze und Verordnungen rund um personenbezogene Daten zu Recht immer strenger. In den letzten Jahren wurden mit dem NIS (Netz- und Informationssicherheit) und der DSGVO (Datenschutz Grundverordnung) – um nur zwei zu nennen – wichtige Meilensteine zum Schutz von persönlichen Daten auf den Weg gebracht.

Es steht außer Frage: Die Rolle des CISO ist heutzutage wichtiger und herausfordernder, aber auch spannender als je zuvor. Es ist allerdings alarmierend, dass mehr als die Hälfte der CISOs angeben, dass sie momentan den Erwartungen an ihre Rolle nicht gerecht werden, wie aus Umfragedaten des „Voice of the CISO“-Berichts von Proofpoint hervorgeht.

Welche Besonderheiten gibt es im Gesundheitswesen?

Im Gesundheitsbereich ist die aus den Umfragedaten hervorgehende Lücke zwischen Realität und Anforderungen als besonders kritisch zu betrachten. Denn Einrichtungen des Gesundheitswesens sind ein sehr beliebtes Ziel für Cyberangriffe. Das liegt daran, dass sie über einen besonders attraktiven Datensatz verfügen: Neben detaillierten personenbezogenen Daten wie Patientenakten und Sozialversicherungsnummern speichern sie auch wertvolle Forschungsdaten und gegebenenfalls Patente.

Gelingt ein Cyberangriff auf eine Klinik, ist anders als bei Unternehmen in anderen Bereichen, nicht nur die Geschäftskontinuität gefährdet, sondern es geht sofort um Leben und Tod. Wenn beispielsweise die notwendigen Patientendaten durch einen Cyberangriff verschlüsselt sind oder sich medizinische Endgeräte nicht mehr benutzen lassen, können Behandlungen nicht erfolgen.

Auf der nächsten Seite: Weitere Besonderheiten im Gesundheitswesen & Lösungen für die Herausforderungen.

(ID:48684365)

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung