IT-Sicherheit stellt einen kontinuierlichen Prozess dar, bei dem verschiedene Faktoren zusammenspielen. Daher sind in Kliniken und Krankenhäusern, aber auch in großen Arztpraxen und in Unternehmen umfassende Konzepte gefragt, die deutlich vor den technischen Lösungen ansetzen und systematisch angegangen werden müssen. Internationale Normen wie die ISO 27001 und ISO 27002 ermöglichen es Einrichtungen des Gesundheitswesens und Unternehmen, strukturiert an das Thema heranzugehen und sich in der Informationssicherheit ganzheitlich aufzustellen.
Organisatorische Voraussetzungen für ein IT-Sicherheitskonzept
Bevor technische Maßnahmen umgesetzt werden, gilt es, die organisatorischen Voraussetzungen für ein wirkungsvolles Sicherheitskonzept zu schaffen. Dazu ist es notwendig, die Verantwortung für die IT-Sicherheit eindeutig einer Stelle zuzuweisen. Sie kann beispielsweise entweder bei der IT-Abteilung, einer Stabsstelle, die direkt bei der Geschäftsleitung angesiedelt ist, oder bei einem externen Experten liegen. Wichtig ist, dass der Sicherheitsbeauftragte die übergeordneten Interessen der gesamten Organisation im Blick hat. Für ein funktionierendes IT-Sicherheitskonzept ist es zudem wichtig, dass die verantwortliche Stelle umfassende Weisungskompetenz hat. Dies kann durch eine Richtlinie gewährleistet werden, die unter Mitwirkung des Datenschutzbeauftragten, eines externen Beraters und des Betriebsrats erstellt wird.
Im nächsten Schritt sind Prozesse zu entwickeln, wie IT-Sicherheit gelebt und umgesetzt wird. Dabei sind beispielsweise grundlegende Entscheidungen zu treffen: Welche Sicherheitsmaßnahmen werden durch zum Teil aufwändige technische Konzepte umgesetzt und welche werden über organisatorische Regelungen gesteuert?
Organisatorische Regelungen
Über organisatorische Regelungen lässt sich z. B. festlegen, wie medizinische Geräte ins Netz eingebunden werden oder wie bei der Nutzung eines externen Datenträgers vorzugehen ist. Da manche dieser Regelungen als unsinnig oder praxisfern wahrgenommen werden können, sind für eine konsequente Umsetzung Schulungen aller Mitarbeiter notwendig. Diese Schulungen vermitteln optimalerweise nicht nur Kenntnisse über die festgelegten Prozesse und das zugrunde liegende IT-Sicherheitskonzept, sondern begründen auch die getroffenen Maßnahmen. Warum beispielsweise verboten wird, eigene Geräte wie einen USB-Stick oder das Smartphone an Stations- oder Praxisrechner anzuschließen, erschließt sich nicht jedem Mitarbeiter. Die Erläuterung, dass sich in der Software des USB-Sticks bereits vor dem Kauf Schadsoftware wie Computerviren oder Erpresserprogramme – so genannte Ransomware – verbergen können, erklärt die Sicherheitsmaßnahme. Unterstützt wird diese Information durch die Erläuterung möglicher Folgen, die sich direkt auf den Arbeitsablauf der Mitarbeiter auswirken wie beispielsweise Sperrung der Patientendaten oder Datenverlust.
Mitarbeiterschulung
Sind alle Mitarbeiter entsprechend geschult, zahlt sich das in Situationen aus, die über die getroffenen Regelungen hinausgehen. Zudem müssen die Regelungen verbindlich sein, so dass Mitarbeiter sich darauf berufen können, ohne negative Konsequenzen zu fürchten. Ein Beispiel: Beim Ausfall eines medizinischen Geräts möchte ein Servicetechniker einen mitgebrachten USB-Stick anschließen, um den Fehler zu beheben. Die Richtlinien zur IT-Sicherheit schreiben vor, dass alle externen Datenträger zuerst durch die hauseigene IT-Abteilung auf Schadsoftware geprüft werden müssen. In Arztpraxen kann diese Prüfung mithilfe eines aktuellen Antivirenprogramms an einem Rechner vorgenommen werden, der nicht an das Praxisnetzwerk angeschlossen ist. Dieser Schritt bedeutet eine zeitliche Verzögerung für die Reparatur des defekten Geräts und gegebenenfalls entsprechende Verzögerungen bei der Versorgung oder Behandlung von Patienten. Trotzdem muss der für das Gerät zuständige Mitarbeiter diese Sicherheitsmaßnahme einfordern können, ohne sich für diese notwendige Verzögerung rechtfertigen zu müssen.
Was muss geschützt werden? Kein Zugriff auf den Computer des Arztes durch Firmennetzwerk
Grundlage für die Entwicklung eines IT-Sicherheitskonzepts ist die Analyse, welche Bereiche in der Praxis, der Klinik oder dem Krankenhaus schützenswert sind und welche Risiken im Hinblick auf die Informationssicherheit bestehen. Für diese Einschätzung spielen allgemeine Auflagen wie das Bundesdatenschutzgesetz ebenso eine Rolle wie die jeweiligen Gegebenheiten im Krankenhaus, der Praxis oder dem Unternehmen. Für Betriebsärzte, die in einem Unternehmen tätig sind, gilt beispielsweise die Vorgabe, dass über das Firmennetzwerk kein Zugriff auf den Computer des Arztes möglich sein darf. Bei Krankenhäusern und Kliniken können – je nach Größenordnung des Hauses – die Vorgaben des IT-Sicherheitsgesetzes sowie der IT-Sicherheitskatalog zu beachten sein.
Die Analyse des Ist-Zustands zeigt, ob die definierten Ziele mit den bereits vorhandenen IT-Sicherheitsmaßnahmen erreicht werden können oder ob diese ergänzt werden müssen. Dabei hat sich der unverstellte Blick eines externen Dienstleisters bewährt, der die vorhandenen Maßnahmen erfasst und auf ihre Wirksamkeit testet. Werden Schwachstellen ermittelt, gilt es, diese nach Kritikalität zu priorisieren und Handlungsempfehlungen zum Schließen der IT-Sicherheitslücken zu geben, bevor es zu einem Cyber-Angriff kommt.
IT-Sicherheitskonzept
Um Cyber-Angriffen vorzubeugen oder im Ernstfall rasch und effektiv reagieren zu können, sind definierte Prozesse ein wichtiger Eckpfeiler eines umfassenden IT-Sicherheitskonzepts.
Wesentlich sind
- eine strukturierte Strategie zur Entdeckung und Bearbeitung von Sicherheitsvorfällen (Security Incident Response), verursacht durch äußere oder interne Angreifer sowie die zeitnahe Abwehr dieser Attacken, um den Schaden für Patienten und Personal so gering wie möglich zu halten;
- ein detaillierter Notfallplan, damit die Organisation nach einer Cyber-Attacke so schnell wie möglich wieder normal arbeiten kann;
- die regelmäßige Schulung von Mitarbeitern in Bezug auf IT-Sicherheitsrisiken und den sorgfältigen Umgang mit Informationen bzw. Daten. Erfahrungsgemäß gehören der sorglose Umgang und menschliches Fehlverhalten aus Unwissenheit oder Bequemlichkeit zu den größten Schwachstellen im System.
Zu den Grundlagen im technischen Bereich gehören unter anderem
- eine stets aktuelle Antivirensoftware, die sowohl externe als auch interne Daten und alle Übergangspunkte zwischen externen und internen Netzwerken prüft;
- mindestens eine Firewall;
- die Absicherung des Internetzugangs und der Fernwartungszugänge externer Dienstleister;
- das kontinuierliche Einspielen von Sicherheits-Updates für Betriebssysteme und Anwendungen;
- der Verzicht auf Betriebssysteme und Anwendungen, für die Hersteller keine Sicherheitsupdates mehr anbieten;
- ein professionelles Benutzer- und Rechte-Management;
- gesicherte VPN-Verbindungen (Virtual Privat Network) oder gesicherte Datennetze zur Datenübermittlung im Internet;
- Bereitstellen sicherer Access-Points zur Datenübermittlung per WiFi, dem Funkstandard für WLAN-Funknetze;
- Schutz mobiler Geräte wie Tablet-PCs, Notebooks oder Smartphones über komplexe Passworte und möglichst die Nutzung eines professionellen Mobile-Device-Managements.
Der Blick in die Zukunft
Moderne Kommunikationstechniken und IT-gestützte Diagnose- und Behandlungsgeräte nehmen auch in der Medizin einen immer größer werdenden Raum ein. So werden die Einsatzbereiche der Telemedizin bereits in verschiedenen Projekten und Studien erprobt. Die Bandbreite reicht dabei von Video-Sprechstunden bis hin zur telemedizinischen Begleitung chronisch Kranker: Erste Anwendungen wie die Betreuung von Patienten mit schwerer Herzinsuffizienz werden bereits in Forschungsprojekten erprobt. Bei diesem Konzept übermitteln medizintechnische Geräte einmal am Tag die Daten des Patienten an den Arzt. Deuten die ermittelten Werte darauf hin, dass eine Veränderung der Therapie notwendig wird, kann der Arzt so zeitnah Anpassungen vornehmen.
Entwicklung von Sicherheitskonzepten
Bei der Entwicklung von Sicherheitskonzepten ist es sinnvoll, auch solche zukünftigen, aktuell noch nicht genutzten Anwendungen im Blick zu haben. So können Risiken berücksichtigt werden, die heute noch keinen wesentlichen, aber morgen schon einen erheblichen Einfluss auf die IT-Strukturen haben können, zum Beispiel die Übermittlung von Patientendaten durch Apps oder der Einsatz moderner medizintechnischer Geräte mit Netzwerkanbindung und Fernzugriffen (Remote Access) zur Wartung von medizintechnischen Geräten. Das erleichtert bei der Einführung dieser Techniken die notwendige Anpassung des IT-Sicherheitskonzepts.
Externe Dienstleister, wie TÜV Rheinland, können Einrichtungen des Gesundheitswesens und Unternehmen bei der Planung und Umsetzung der Informationssicherheit auf vielfältige Art und Weise unterstützen: Sie können die Analyse des Ist-Zustands durchführen, in der konzeptionellen Phase beraten und die Umsetzung begleiten oder auch als Dienstleister Sicherheitslösungen betreiben.
Weitere Infos
Bundesamt für Sicherheit in der Informationstechnik: Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz
Autoren
Dr.-Ing. Daniel Hamburg
Head of Security Engineering
TÜV Rheinland
Harald Riebold
IT Business Manager, Produktmanager Datenschutz und
Externer Datenschutzbeauftragter
TÜV Rheinland
Für Betriebsärzte in einem Unternehmen gilt, dass über das Firmennetzwerk kein Zugriff auf den Computer des Arztes möglich sein darf
