KH-IT-Herbsttagung 2022: So geht IT-Sicherheit innen und außen

KH-IT

Veröffentlicht 27.09.2022 11:20, Kim Wehrs

Das Thema der Herbsttagung 2022 des Bundesverbandes der Krankenhaus-IT-Leiterinnen/Leiter KH-IT am 21. und 22.9.2022 in Köln lautete „Alles sicher oder was?“. Aspekte sind vor allem Bedrohungen des Krankenhauses von außen sowie von innen. Wie dafür IT-Sicherheit geht, war Kernpunkt im Programm der Herbsttagung 2022: Aus der Praxis für die Praxis gaben Krankenhäuser konkrete Impulse für Umsetzungen. Schlüssel zum Erfolg sind nicht nur Informationen, es sind die Menschen. 

Wann war der jüngste Cyberangriff auf ein Krankenhaus? Wurden dabei die IT-Infrastrukturen durch einen Virenangriff stillgelegt? Ist Lösegeld gezahlt worden? Diese Daten sind bekannt, wie gefährdet die IT-Sicherheit im Gesundheitswesen ebenfalls. Die Alarmstufe ist hoch: „In den letzten Jahren ist „Informationssicherheit“  durch Gesetzgebung und Verordnung in den Mittelpunkt gerückt. Wichtig für Krankenhäuser ist, was zu tun ist, vor allem jedoch „Wie“ es umzusetzen ist. Praxisbezogene Analysen und Best Practices machten daher die Agenda der Herbsttagung 2022 hochaktuell. 

Schwachstellen der Gesundheits-IT 

Einen Blick auf Schwachstellen der Gesundheits-IT gab Hasan Kadi. Handlungsempfehlungen und Tools erbrachte das Forschungsprojekt „Mit.Sicherheit.NRW“, bei dem die Visus Health IT GmbH mitwirkender Forschungspartner war. Das durch den europäischen Fonds für regionale Entwicklung geförderte nordrhein-westfälische Verbundprojekt MITSicherheit.NRW hat Instrumente zur Verbesserung der medizinischen IT-Strukturen in Krankenhäusern entwickelt. Dazu zählt „MedFUZZ“ für die medizinischen Protokolle DICOM und HL7 für den Test auf Sicherheitslücken oder Instabilitäten der Software. Des Weiteren soll der Scanner „MedVAS“ einen Verwundbarkeitsscan der Krankenhausstrukturen bei laufendem Betrieb und unter Einbeziehung der Ergebnisse aus den MedFUZZ Softwaretests ermöglichen. Über einen „Large Scale Scanner“ wurden zahlreiche Angriffspunkte für Angriffe aus dem Internet identifiziert, die über fehlerhafte Konfigurationen in der Datenkommunikation mit Partnereinrichtungen oder Patient:innen bestanden.
 

IAM – Schnittstelle zur Personalabteilung 

Krankenhäuser müssen gezielte Sicherheitsmaßnahmen ergreifen, die den Abfluss oder die Manipulation von medizinischen Daten und Patienteninformationen verhindern. Klaus-Benedikt Franke, Teamleiter IT-Infrastruktur/Managed Service, MSG, Chemnitz, nannte dazu unter anderem den Einsatz einer Identity- und Access-Management-Lösung, die die Authentifizierung und Kontrolle von Zugriffen ermöglicht. IAM steht an der Schnittstelle zur Personalabteilung. Ein Berechtigungskonzept zur übersichtlichen Darstellung von Zugriffen ist notwendig. Unberechtigte Personen sollen sich keinen Zugang zu einzelnen Patientenakten verschaffen. Aber auch Cyberkriminelle sollen sich nicht über veraltete Mitarbeiterkonten in das System einschleusen können. Bei den sozialen Einrichtungen mbH MSG als Dienstleistungsunternehmen im Verbund von AGAPLESION gehört das zur Praxis. Ein Expertentalk über „IAM im Klinikumfeld“ vertiefte das Themenfeld „IAM“.

 

Einführung eines sicheren Browsers 

Herbert Motzel wies auf kritische Punkte eines IT-Notfalls am Beispiel des emotet-Vorfalls am Klinikum Fürth hin. „Emotet zeigt mir, dass Sicherheit wie eine Kette gesehen werden kann, und die ist „immer nur so stark wie das schwächste Glied.“ Der Leiter Stabsstelle IT-Sicherheitssysteme / IT-Strategie im Klinikum Fürth gab zum sicheren Browser ReCoB Tipps. Angelpunkt ist das Remote-Controlled Browser System (ReCoBS). Es managt den Web-Zugang mit Hilfe von speziell gesicherten Terminalserver-Systemen als modularen Bestandteil von Sicherheitsgateways. Dabei laufen die Browser nicht auf den Arbeitsplatz-PCs, sondern auf einem Terminalserver außerhalb des LAN. Sie werden von den Arbeitsplätzen aus ferngesteuert. Im Browser auf dem Terminalserver werden alle Webinhalte ausgeführt, so dass bei Einhaltung entsprechender Sicherheitsanforderungen aktive Inhalte nicht ins LAN gelangen können. Stattdessen werden grafische Informationen an die Arbeitsplätze übermittelt und dargestellt. Damit sind  Ausführung und Darstellung aktiver Inhalte voneinander getrennt – ein Lösungsansatz zum Umgang mit aktiven Inhalten auf der Anwenderseite.
 

Spannungsfeld Universitätsklinikum 

Informationssicherheit im Spannungsfeld eines Universitätsklinikums ist für Björn Upadek, Informationssicherheitsbeauftragter Universitätsklinikum Köln, daily business. Medizintechnik, IT, Versorgungstechnik sowie Patientenversorgung und Forschung und Lehre benannte er als Spannungsfelder. Es geht um den Spagat zwischen der Betriebsverantwortung und der Sicherheitsverantwortung. Ein optimiertes SIEM (Security Information and Event Management) und ein leistungsfähiges SOC (Security Operations Center) stellen hier eine starke Verteidigungslinie gegen die kriminellen Energien des heutigen digitalen Zeitalters dar. Das Security-Niveau verbessern soll auch die Ausweitung des ISMS auf die Medizintechnik. Integration der Medizintechnik in die IT bringt nur Mehrwert, wenn sich ein Miteinander ergibt. Das erfordert erfahrungsgemäß Zeit, Kompromisse und den Willen von beiden Seiten. In der Kölner Stabsstelle Security Operations im Regionalen Rechenzentrum der Universität zu Köln RRZK arbeitet ein IT-Sicherheitsteam, das verantwortlich für die Detektion von IT-Sicherheitsvorfällen sowie deren Bearbeitung ist. 

 

Ohne Patchmanagement keine IT-Sicherheit 

Patch Management beschäftigt sich mit dem Beschaffen, dem Testen und dem Einspielen wichtiger Updates für Anwendungen.“Ohne Patchmanagement keine IT-Sicherheit“, lautet die Parole. Jürgen Flemming, Pressereferent KH-IT e.V., Regionalmanager IT, Allgäu-Oberschwaben, Sana IT-Services GmbH, erläuterte, warum Patchen eine zentrale Rolle im Sicherheitsumfeld und im Datenschutz spielt. Stolpersteine sind vorhanden, etwa „historische Altlasten“ wie (das noch verbreitete) Windows 7. Sorgen bereiten auch zugrundeliegende unterschiedliche Frameworks für Versionswechsel. Jürgen Flemming gab Einblicke auf Maßnahmen, die zeigen, wie Patch Management in verschiedenen Bereichen einfach gelingen kann. „Patchmanagement ist aufwändig und verursacht hin und wieder Probleme und Ausfälle. „Ohne Patch besteht aber eine faire Chance, durch Sicherheitslücken komplett auszufallen,“ pointierte er.

 

Sicher neue Systeme einführen

Sicher neue Systeme einführen – ausreichend organisatorische, technische und juristische Fallstricke sind in Projekten vorhanden. Wilfried Schröter,  Informationssicherheitsbeauftragter Allgemeines Krankenhaus Celle, schenkte niemandem etwas – weder Klinik noch Industrie. Er formulierte: Der Lieferant verdient insbesondere bei IT-vernetzten Produkten besondere Aufmerksamkeit, Das Krankenhaus hat den Lieferanten auf Leistungsfähigkeit zu prüfen. Leistungsverzeichnis und der Auftrag müssen exakt formuliert werden. Die Installation und Einweisung müssen definiert sein. Ausschreibungen müssen modern und sicher erfolgen. Der laufende Betrieb muss schon bei der Beauftragung bedacht werden. Im Blick stehen Patches, Updates, Wartung, Prüfung, Reparatur usw. Sein Projekt-Appell an alle: Teamarbeit im Krankenhaus ist gefordert. (Hören Sie das Interview mit Wolf-Dietrich Lorenz, Chefredakteur Krankenhaus IT-Journal)

 

FHIR - sicher für die Zukunft planen 

„Sicher für die Zukunft planen - mit FHIR“ den Teilnehmern zu vermitteln, war Anliegen von Prof. Dr. Martin Staemmler, wiss. Beirat KH-IT e.V., Hochschule Stralsund. FHIR (Fast Healthcare Interoperability Resources) des HL7-Konsortiums unterstützt den Datenaustausch zwischen Softwaresystemen im Gesundheitswesen. FHIR ist eine Plattformspezifikation, die eine Reihe von Funktionen definiert, die im gesamten Gesundheitsversorgungsprozess, in allen Gerichtsbarkeiten und in vielen verschiedenen Kontexten verwendet werden. Während die Grundlagen der FHIR-Spezifikation relativ einfach sind, kann es dennoch schwierig sein, wenn es um die aktuelle Implementierung einer auf FHIR basierenden Lösung geht. Prof. Staemmler gab dazu Standortbestimmung und aktuelle Orientierung. Ein praxistauglicher Hinweis unter vielen lautet: FHIR verpflichtend bei Geschäftsbeziehungen mit Herstellern aufführen. (Hören Sie das Interview mit Wolf-Dietrich Lorenz, Chefredakteur Krankenhaus IT-Journal)

 

Worst Case - was geht (noch)? 

Der Ausfall von KIS und Netzwerk ist sicherlich der Worst Case in einer medizinischen Einrichtung. Damit der Krankenhausbetrieb dann nicht zum Erliegen kommt, schaltet sich das KIS-Ausfallsystem ein. „Was geht (noch)?“ nahm Andre Herwig unter die Lupe. Anlass dafür waren häufige Ausfälle des vorhandenen KIS in Ansbach. Relevante Informationen für jede auf der Station tätige Berufsgruppe fehlen dann. Chaos, Frust und Stress als Begleiterscheinungen bei Mitarbeitern sind im Griff zu halten. Es gilt, die kritische Situationen zu verkürzen und den frühzeitigen Beginn der Strukturierungs- und Entspannungsphase einzuleiten. Was der Klinische Anwendungsbetreuer, ANregiomed, formulierte konnte als Tenor für alle Tagungsthemen gelten: „Schlüssel zum Erfolg sind nicht Informationen, es sind die Menschen.“
 

Wiedersehen beim KH-IT 2023 

„Wir legen den Fokus auf Maßnahmen und Umsetzungen, um die Risiken sowie Bedrohungen zu mindern“, erklärten die Agendaverantwortlichen zu Beginn der Tagungskonzeption. Ihrem Anspruch sind sie gerecht geworden. Praxisnah waren Internetsicherheit, Patchmanagement, Ausfallkonzepte oder auch das Thema FHIR. Die rund 200 Teilnehmer mit IT-Verantwortung nutzten die Pausen für Networking von der Praxis für die Praxis untereinander und mit Industrieausstellern. Verantwortlich für die Herbst-Agenda 2022 zeichneten die Verbandsvorstände Klemens Behl, Lars Forchheim, Stephan Herz, Alexandra Heimel auch für die Organisation (Behl@kh-it.de, Forchheim@kh-it.de, Herz@kh-it.de, heimel@kh-it.de). 

Im Mai nächsten Jahres ist es wieder soweit: Den Ausblick auf die Frühjahrstagung 2023 gab Andreas Lockau, Schatzmeister KH-IT e.V. Auf der Agenda stehen „KI, Machine Learning, Automatisierung und Verantwortung“. Termin und Veranstaltungsort gibt der KH-IT noch bekannt. 

www.kh-it.de

Aus der Praxis für die Praxis

Der Bundesverband der Krankenhaus-IT-Leiterinnen/Leiter e.V.  KH-IT ist der führende Berufsverband der Krankenhaus-IT-Führungskräfte. Das Motto der Konzepte, Projekte und Lösungen lautet dabei: Aus der Praxis für die Praxis. Ausgewählte Industrieaussteller haben dabei die Gelegenheit, sie zum Wissenstransfer für Anwender zu begleiten. Der KH-IT veranstaltet jährlich eine Frühjahrstagung und eine Herbsttagung. Der KH-IT steht allen leitenden und/oder verantwortlichen Mitarbeitern der Krankenhaus-IT offen.

www.kh-it.de

 

Themen und Referenten - Bedrohungen von innen und außen


Hendrik Arnold

Erfolgreiche Digitalisierung Live und in Farbe – bis zum Cyberangriff

Hendrik Arnold, Firma Tegut

 

Hasan Kadi
Schwachstellen der Gesundheits-IT: Analyse, Handlungsempfehlungen und Tools, ein Ergebnisbericht aus dem Forschungsprojekt Mit.Sicherheit.NRW

Hasan Kadi, Firma Visus Health IT GmbH

 

Herbert Motzel

Einführung eines sicheren Browsers

Herbert Motzel, Leiter Stabsstelle IT-Sicherheit/IT- Strategie, Klinikum Fürth

 

Klaus Benedikt Franke

IAM – Schnittstelle zur Personalabteilung

Klaus-Benedikt Franke, Teamleiter IT-Infrastruktur/Managed Service, MSG, Chemnitz

 

Björn Upadek

Informationssicherheit im Spannungsfeld eines Universitätsklinikums

Björn Upadek, Informationssicherheitsbeauftragter Universitätsklinikum Köln

 

Jürgen Flemming

Ohne Patchmanagement keine IT-Sicherheit

Jürgen Flemming, Pressereferent KH-IT e.V., Regionalmanager IT, Allgäu-Oberschwaben, Sana ITServices GmbH



Wilfried Schröter

Sicher neue Systeme einführen (Lieferantenbefragung)

Wilfried Schröter, Informationssicherheitsbeauftragter, AK Celle

 



Sicher für die Zukunft planen - mit FHIR

Prof. Dr. Martin Staemmler, wiss. Beirat KH-IT e.V., Hochschule Stralsund


Andre Herwig
 
KIS-Ausfallsystem: was geht (noch)?

Andre Herwig, Klinischer Anwendungsbetreuer, ANregiomed, Ansbach

 

Expertentalk „IAM im Klinikumfeld“ Moderation Fa. Ogitix, Langenfeld

 

Quelle: Wolf-Dietrich Lorenz
Fotos: Wolf-Dietrich Lorenz / LinkedIn / Michael Reiter

 


Lesen Sie mehr zum Thema "Bundesverband KH-IT"

Überdosis Informationssicherheit?
Bundesverband KH-IT
Bundesverband KH-IT

Lesen Sie hier die neuesten Beiträge