Intensivpatient „Deutsche Krankenhäuser“: In sechs Schritten zur gesunden IT-Umgebung

Security

Veröffentlicht 26.03.2024 13:30, Dagmar Finlayson

Aggressive Cyber-Attacken auf Krankenhäuser und Kliniken häufen sich und bedrohen zunehmend den deutschen Gesundheitssektor. Für Benedikt Ernst, Consult Leader bei Kyndryl, liegen „Diagnose“ und „Behandlung“ klar auf der Hand. Das Problem: Die notwendige „Medizin“ wird den Gesundheitseinrichtungen nur schleppend verabreicht. Das muss sich dringend ändern.

Müsste ein IT-Arzt eine Diagnose zur Systeminfrastruktur deutscher Gesundheitseinrichtungen stellen, würde sie eine lange Liste an Symptomen beinhalten. Zum einen weist die Krankenhaus-IT häufig veraltete Strukturen und eine unregelmäßige Systemlandschaft auf. Aufgrund von weitestgehend strategielosen OpEx-Investitionen verfügen Krankenhäuser und Co. selten über eine einheitliche und standardisierte IT. Branchenspezifische Standards und Vorgaben sind ihnen gemeinhin bekannt. Allerdings hapert es oftmals bei der Umsetzung dieser. Zum anderen fehlt es in vielen Einrichtungen an redundanten Systemen, Notfall- und Wiederherstellungsplänen sowie ganzheitlichen Sicherheitssystemen.

Die Folge dieses Krankheitsbildes: Nahezu im Wochentakt machen Fälle von gehackten und lahmgelegten Klinikbetrieben Schlagzeilen. Die Gefahr durch Cyber-Kriminelle hat sogar ein so kritisches Niveau erreicht, dass sich die Deutsche Krankenhausgesellschaft (DKG) vor Kurzem zu Wort gemeldet und vor der wachsenden Bedrohung gewarnt hat. „Die technische Infrastruktur gerade großer Krankenhäuser ist heute unglaublich komplex", brachte es Gerald Gaß, Vorsitzender der DKG, auf den Punkt. Die Systeme in Gesundheitseinrichtungen haben über die Jahre hinweg immense Ausmaße angenommen; vielerorts fehlt es an Überblick, einer klaren Technologiestrategie und einheitlichen Standards. „Diese stark heterogenen Systeme abzusichern, erfordert einen immensen personellen und auch finanziellen Aufwand“, so Gaß weiter. Damit hat er nicht unrecht, weshalb Benedikt Ernst von Kyndryl den folgenden Sechs-Schritte-Behandlungsplan empfiehlt:

1. IT-Systeme inventarisieren

Grundsätzlich gilt: Man kann nur jene Systeme und Daten schützen, von denen man weiß, dass sie existieren und wo sie sich befinden. Daher ist der erste wichtige Schritt, das gesamte Inventar der IT-Landschaft exakt zu erfassen. Das schließt sowohl die Identifizierung unautorisierter Anwendungen und Daten (Schatten-IT) als auch die Ermittlung von Schnittstellen und Abhängigkeiten mit ein. Ziel ist es, Standardisierung zu fördern, um die Komplexität zu reduzieren.

2. Schwachstellen erkennen, Risiken bewerten

Dieser vorangegangene IT-Healthcheck, wie ihn zum Beispiel die Universitätsmedizin Mainz durchgeführt hat, dient dann als Grundlage für die folgende Schwachstellenanalyse. Dafür geht man zunächst mithilfe einer Schwachstellenmanagement-Lösung in der eigenen IT-Infrastruktur auf die Suche nach Mängeln – wie beispielsweise Legacy- und Auslaufsysteme sowie Sicherheitslücken. Diese sollten im Nachgang schnellstmöglich geschlossen werden.

3. Relevante Expertise und Stakeholder einbinden

Es gilt, die anvisierte Digitalstrategie sowie die notwendigen Maßnahmen gemeinsam mit allen Fachbereichen zu erarbeiten. Darüber hinaus sollten Gesundheitseinrichtungen in Betracht ziehen, externe Partner zu konsultieren. Schließlich fließen im Rahmen einer medizinischen Behandlung die umfassenden Kenntnisse von Fachärzten und anderen Spezialisten ebenfalls in die Planung mit ein. Das sollte im IT-Umfeld nicht anders gehandhabt werden. Gerade im Bereich der IT-Sicherheit und -Resilienz tragen Fachwissen und jahrelange Erfahrung von Managed Service Providern zur professionellen Modernisierung, Stärkung und Absicherung der IT-Infrastruktur bei.

4. Auf den Ernstfall vorbereiten

Wenn es im Krankenhaus zu einem Notfall kommt, muss das medizinische Personal schnell und fehlerfrei zusammenarbeiten. Auch das IT-Team muss bei einem sicherheitsrelevanten Vorfall eingespielt sein und wissen, was zu tun ist. Jeder Handgriff muss sitzen. Dafür eignet sich am besten eine klar definierte Roadmap aller notwendigen Maßnahmen, an die sich involvierte Mitarbeiter im Ernstfall zu halten haben.

5. In die Notfallvorsorge investieren

Für eine gut ausgestattete Notfallvorsorge brauchen Gesundheitseinrichtungen verschiedene Konzepte, Prozesse und technische Systeme. Allerdings ist von einem Alleingang abzuraten, da selbst die kleinsten Fehler die Modernisierung zurückwerfen können. Um dies zu vermeiden, empfiehlt es sich, die Expertise eines erfahrenen Managed Service Providers heranzuziehen, der sich mit dem IT-Betrieb in einer sicheren Hybrid- und Multi-Cloud-Umgebung auskennt. Dieser erstellt auf Basis der Schwachstellenanalyse einen Implementierungsplan sowie Wiederanlauf- und Disaster-Recovery-Konzepte, die regelmäßig auf Herz und Nieren getestet werden. Darüber hinaus übernimmt er den Aufbau und die Inbetriebnahme moderner Security-Systeme wie ein Security Operation Center.

6. Sicherheitsvorfälle (gemeinsam) bewältigen

Zu guter Letzt braucht es Integrationsplattformen, die alle wichtigen, sicherheitsrelevanten Systeminformationen zentral zusammenführen. Auf diese Weise erhalten IT-Teams Echtzeit-Einblicke in die IT-Umgebung und können bei potenziellen Bedrohungen umgehend die besten Maßnahmen ergreifen. Daneben bieten sich auch hier Kollaborationen mit ausgebildeten Sicherheitsexperten an, damit diese bei Bedarf bei der Systemwiederherstellung unterstützen können.

Trotz dieses detaillierten Behandlungsplans müssen sich Gesundheitseinrichtungen über einen wichtigen Fakt im Klaren sein: Beim Thema Cyber-Sicherheit geht es nicht ausschließlich um die technische Modernisierung der IT-Infrastruktur. Es gehören ebenfalls sowohl die Aus- und Weiterbildung aller Mitarbeitenden als auch die Einführung von Standardprozessen dazu, um eine sichere und gesetzeskonforme IT-Nutzung gewährleisten zu können.

Kyndryl
Kyndryl (NYSE: KD) ist der weltweit größte Anbieter von IT-Infrastrukturdienstleistungen und betreut Tausende von Unternehmenskunden in mehr als 60 Ländern. Das Unternehmen entwirft, baut, verwaltet und modernisiert die komplexen, unternehmenskritischen Informationssysteme, auf die die Welt täglich angewiesen ist.

Weitere Informationen unter www.kyndryl.com


Lesen Sie mehr zum Thema "Aus dem Markt"

InformMe wird Teil der medavis Gruppe
Aus dem Markt
Übernahme
Weil Daten Leben retten können
Aus dem Markt
Digitalisierung im Gesundheitswesen

Lesen Sie hier die neuesten Beiträge

Diese Webseite verwendet Cookies.   Mehr Info.      oder