Veranstaltungen  11. KRITIScher Stammtisch:






           Erfahrungen und Empfehlungen






           Als erster Tagesordnungspunkt wurden,   Am 28. Januar 2021 fand der 11. KRITISche Stammtisch
           nach der Begrüßung der Teilnehmer, die   virtuell via Videokonferenz statt. Themen waren „Ergebnisse
           Ergebnisse der „AG Videokonferenz“
           vorgestellt. Mike Zimmermann, Infor-  AG Videokonferenz“, „Erfahrungsbericht: Aufbau eines Secu-
           mationssicherheitsbeauftragter vom Uni-  rity Operations Centers“ und „Der Krankenhauszukunftsfonds:
           versitätsklinikum Carl Gustav Carus in
           Dresden, gab zunächst einen Überblick   Umsetzung des Zukunftsprogramms Krankenhäuser nach dem
           zu den Ergebnissen der Unterarbeits-  KHZG“. Die Moderation für die rund 38 Teilnehmer übernahm
           gruppe „Handlungsempfehlung Konfe-   Konrad Christoph, SHD System-Haus-Dresden GmbH.
           renz-Tools 2.0“.
              Hierzu hatten sich Fachleute von   Ihn unterstützte Katharina Gerber, Marketing Manager.
           verschiedenen Krankenhäusern und
           Universitätskliniken, beraten durch eine                         Erfahrungsbericht:
           Anwaltskanzlei und  dem  BSI  mehrma-                            Aufbau eines Security
           lig virtuell in der Arbeitsgemeinschaft                          Operations Centers
           getroffen. Ziel war es, die bisher erarbei-  Einblick in die „AG Handlungsempfeh-  Philipp Kranz, Chief Information Secu-
           teten Handlungsempfehlungen für ein   lung Konferenz-Tools 2.0“, es handele   rity and Data Protection Officer der
           Konferenz-Tool in den Kliniken zu erwei-  sich bei dem Thema allerdings um ein   kubus IT, dem IT-Dienstleister der AOK
           tern und zu aktualisieren.      „schwieriges und vielfältiges Umfeld“ und   PLUS und AOK Bayern, der auch Lehr-
              Am Ende solle selbstverständlich kein   es sei „besonders wichtig, den Benutzer   beauftragter für Informationssicherheits-
           „Vorgabe-Dokument“ sondern eine Hand-  mitzunehmen, da mit rein technischen   management an der Hochschule Merse-
           lungsempfehlung entstehen, anhand der   Maßnahmen keine Sicherheit hergestellt   burg ist, konnte aus eigener Erfahrung
           sich z.B. die Krankenhäuser orientieren   werden kann.“          berichten, welche Punkte für den Auf-
           können, die hinsichtlich dessen noch                             bau eines „Security Operations Centers“
           kein Konzept vorliegen haben und etab-  Lieferantenbewertung     (SOC) sprechen und was dabei zu beach-
           lieren möchten. Es werde bewusst auf die   Videokonferenztools   ten ist.
           Empfehlung von spezifischen Produkten    Frau Dr. Fruth und André Helm, UKMD   So hebt Kranz den „gleich in meh-
           verzichtet, da die auf dem Markt verfüg-  stellten anschließend die Ergebnisse der   rerer Hinsicht“ wichtigen Beitrag eines
           baren Tools einer ständigen Entwicklung   zweiten Unterarbeitsgruppe „Lieferan-  SOC für Unternehmen hervor. Durch
           unterliegen. Der fertige Leitfaden soll   tenbewertung Videokonferenztools“ vor.   ein SOC wird zeitnah mithilfe von
           dann den Teilnehmern des KRITISchen   Diese Unterarbeitsgruppe entstand eben-  Audits, Penetrationstests und spezieller
           Stammtisches in einigen Wochen vorge-  falls in Zusammenarbeit mit Fachleuten   Software auf bestehende Sicherheitslü-
           legt werden.                     mehrerer  Universitätskliniken.  cken aufmerksam gemacht und deren
              Beinhalten wird die Handlungsemp-  Hierbei ging es um ein Papier, das   Behebung koordiniert. Um die erhebli-
           fehlung beispielsweise „Informationen   letztendlich die „Handlungsempfehlung   chen Investitionskosten zu rechtfertigen
           zur Datenklassifizierung“, „Beschreibung   Konferenz-Tools 2.0“ in wesentlichen   muss ein SOC jedoch die Mehrwerte
           von Anforderungsszenarien“, „Bewer-  Teilen ergänzen wird. Intention war, eine   sichtbar machen und sich dazu auch um
           tungskriterien für die Beschaffung eines   Liste an Kriterien aufzustellen, anhand   ein starkes „internes Marketing“ bemü-
           Videokonferenzsystems, „Konfigurati-  derer das jeweilige Krankenhaus befähigt   hen. Kranz gab in seinem Vortrag praxis-
           onshinweise - Usability vs. Informations-  werden soll, für sich das richtige Tool,   bezogene Tipps zum Aufbau eines SOC.
           sicherheit“, „Datenschutz nach DSGVO/  bzw. den geeigneten Anbieter eines Kon-  Hierbei riet er, rechtzeitig zu beginnen,
           Privacy-Shield“ und ein Mustermerkblatt   ferenz-Tools zu finden und zu bewerten.   ein  ausreichendes Budget  einzuplanen,
           zur Sensibilisierung der Benutzer.  Am Ende müsse aber jedes Krankenhaus   auch „ungewöhnliche Maßnahmen“ zur
              Grundsätzlich seien Videokonferenz-  anhand der Liste selbst für sich verant-  Personalakquise in Erwägung zu ziehen
           Tools mittlerweile im Prinzip unverzicht-  worten, welche Punkte jeweils als „wich-  und vor allem die Leitungsebene als Für-
           bar geworden, schloss Zimmermann den   tig“ oder „unkritisch“ zu beurteilen seien.   sprecher zu gewinnen.


                                                                                    Krankenhaus-IT Journal 1 /2021
      074