Medizin- und Informations-Technik gehören gemeinsam gesichert

Nach den Worten von Mike Zimmermann, IT-Sicherheitsbeauftragter des UK Dresden scheitern viele Security-Maßnahmen schon am User-Engagement, also daran, dass Anwender beim Security-Check nicht richtig mitgenommen werden: „Mitarbeiter werden meist nicht in die Lage versetzt, ein eigenes Verständnis für den Sinn solcher Lösungen zu entwickeln. Im UK Dresden haben wir deshalb ein Programm entwickelt, das schon vor der Einführung neuer Software und Strukturen auf Veränderungen im Arbeitsablauf und auf gangbare Verhaltensweisen hinweist. Bei der Gelegenheit arbeiten wir auch nachdrücklich daran, das Bewusstsein für sicherheitsrelevante Situationen generell zu erhöhen.“

Neben wichtigen Maßnahmen im Bereich der User Awareness diskutierten die Experten relevante technische Grundlagen für IT-Sicherheit. So wurde der enge Zusammenhang von aktueller, idealerweise toolgesteuerter Dokumentation und nur dadurch möglicher Sicherheit der IT deutlich gemacht. Um beispielsweise jederzeit die Abhängigkeiten zwischen Geräten und Geschäftsprozessen zu erkennen, lassen sich in einer Datenbank für Konfigurationsmanagement (CMDB) funktionale Zusammenhänge modellieren und anschließend auch überwachen. Damit können ISB aus Bedrohungen von Assets direkt Risiken für die jeweiligen Prozesse ableiten. „Hiermit durchführbares Notfallmanagement inklusive Notfallhandbüchern stehen auf der Agenda der ISB in Krankenhäusern ganz oben“, weiß Konrad Christoph, Teamleiter Gesundheitswesen beim SHD. Entsprechend interessant waren für die anwesenden ISB die vorstellten Lösungen mit der CMDB i-doit und die Add-Ons für grafische Dokumentation der Assets sowie deren Verknüpfung mit Prozessen mit Hilfe der Lösung SM-VIEW. 

Beispiel Konfigurationsmanagement: Hierfür sind in der IT-Welt schon seit langem CMDB im Einsatz, die sämtliche Räume, Geräte, Verkabelungen und Funktionszusammenhänge übersichtlich darstellen, und damit so abbilden, dass sich Wartung und Betrieb der IT effizient planen und durchführen lässt. Durch das immer schnellere Zusammenwachsen von IT und Medizintechnik ist es sinnvoll, auch diese Infrastrukturen im Krankenhaus in eine einheitliche Dokumentation mit einzubeziehen. So bietet die CMDB einen Objekttyp-Katalog, in dem die meisten Geräte vorgehalten sind, die aus Kritikalitätsgründen erfasst werden müssen. Und zwar so, dass sich die typischen Eigenschaften etwa eines MRT oder CTG so eintragen lassen, dass der ISB daraus unkompliziert seine Notfallhandbücher erstellen kann. Auch das Einbeziehen von Informationen aus dem Facilitymanagement ist denkbar, zum Beispiel Brandschutzanforderungen, Maßnahmen bei Wasserschäden oder Ausfall der Klimatechnik, bis hin zu Aufgaben bei Stromausfall und der Auflistung aller Vorkehrungen, mit denen auch ohne Verfügbarkeit von Rechnern und Ersthilfetechnik eine Patientenaufnahme und -behandlung erfolgen kann.

Die neue Transparenz bei Medizin-IT (MT) hilft nicht nur im Notfall, sondern auch bei Betrieb, Pflege, Wartung und Erweiterung aller elektronischen Medizingeräte im Krankenhaus, deren Anzahl SHD-Schätzungen zufolge deutschlandweit inzwischen bei gut über einer Million Geräten liegt. Hinzu kommt: „Bis 2020 werden 80 Prozent aller Medizingeräte im Netz und damit angreifbar sein,“ so Christoph. Daher sei es essenziell, zu wissen, in welchem Datenverbund einer Klinik etwa die CTG stehen, wie sie geschützt sind, und was zu tun ist, wenn sich jemand auf eines davon unerlaubten Zugriff verschafft hat. Das ermöglicht Thomas Wittek zufolge, Leiter Softwareentwicklung bei SHD, eine ganz neue Qualität des Gerätemanagements. Denn der Aufwand, IT und MT zu koppeln, um sie dann effizient zu managen, sinke. Und damit die Mühe, sich beispielsweise Tabellen mit Verfügbarkeitsanforderungen, Listen mit Verantwortlichen oder eine Wiederanlaufplanung nach einem Ausfall anzeigen zu lassen.

„Durch die Gesamtbetrachtung von IT und MT entsteht eine unglaubliche Dynamik,“ hebt Christoph hervor. Denn eines dürfe bei aller gewollter und nutzbringender Digitalisierung nicht vergessen werden: Bei hoher Integration und Vernetzung kann die MT zum Einfallstor für Cyberangriffe werden. Durch die gemeinsame Dokumentation werden Schwachstellen sicherer und schneller identifiziert.  „Das muss man in Zukunft koordinieren,“ warnt Wittek. Die Toollandschaft rund um i-doit ermöglicht es, mit einer höheren Effizienz die Assets unterschiedlicher Bereiche zu erfassen und miteinander zu verknüpfen.

Falls alle Vorsichtsmaßnahmen dann doch einmal nicht greifen, kann eine Cyberversicherung helfen. Und zwar idealerweise die eines Anbieters, der sich auf die besonderen Belange im Gesundheitswesen spezialisiert hat. Teilnehmer des jüngsten ISB-Treffens war Dirk Demidenko, Niederlassungsleiter Leipzig der Ecclesia Versicherungsdienst GmbH, die bereits rund 60 Prozent der Krankenhäuser in Deutschland zu ihren Kunden zählt. Für Demidenko war sehr interessant zu erfahren, auf welche Weise Kriminelle in Netzwerke einzudringen versuchen. „Die Life-Vorführungen der Hacker beim KRITISchen Stammtisch waren spektakulär. Beeindruckt war ich aber auch davon, mit welchem Engagement die Verantwortlichen in den KRITIS-Häusern daran arbeiten, die IT-Sicherheit weiter zu erhöhen.“

Denn das Risiko, von Cyber-Kriminalität betroffen zu sein, steigt weltweit dramatisch an. Nach einer Forsa-Umfrage des Gesamtverbandes der Deutschen Versicherungswirtschaft sind 30 Prozent der kleinen und mittelständischen Unternehmen bereits durch Cyber-Kriminelle attackiert worden. Und eine Umfrage der Unternehmensberatung Roland Berger im Mai 2017 ergab, dass 64% der deutschen Krankenhäuser schon einmal Opfer eines Hackerangriffs waren. Darum habe die Ecclesia-Gruppe Produkte entwickelt, die einen sehr weitgehenden, wirksamen Schutz gegen die Folgen von Cyberattacken bieten. Auch die Haftungsrisiken, besonders des Managements, seien dabei berücksichtigt.

Der nächste KRITISche Stammtisch findet am 29.11., ab 13 Uhr statt und wird Risikomanagementmethoden und Tipps für die Vorbereitung der Auditierung in den Fokus rücken.