DKI-Konferenz - IT-Sicherheit – nicht abwarten, jetzt starten

Vorschau

Veröffentlicht 12.05.2021 04:00, Dagmar Finlayson

Die DKI-Konferenz zur IT-Sicherheit im Krankenhaus- und Gesundheitswesen am 25.06.2021 in Düsseldorf hat als Schwerpunkte IT-Sicherheit für alle Kliniken. Im Fokus stehen die Umsetzung verpflichtender Maßnahmen zur Erhöhung der IT-Sicherheit, die sichere Anbindung an die Telematikinfrastruktur sowie die neuen Finanzierungsmöglichkeiten von Investitionen in IT- und Cybersicherheit nach dem Krankenhauszukunftsgesetz (KHZG). Referent Herbert Motzel zeigt die IT-Notfallplanung am Beispiel des Emotet-Vorfalls am Klinikum Fürth auf. Der Leiter Stabsstelle IT-Sicherheitssysteme / IT-Strategie im Klinikum Fürth gibt im Interview mit dem Krankenhaus IT Journal Tipps zum Vorgehen.

1. Welches sind die wichtigsten Kernpunkte der Risikobetrachtung des Emotet-Vorfalls?

Herbert Motzel: Emotet zeigt mir, dass Sicherheit wie eine Kette gesehen werden kann, und die ist „immer nur so stark wie das schwächste Glied. Somit gilt es, im Vorfeld die zu schützenden Systeme in der Klinik zu identifizieren und aufgrund des notwendigen Schutzbedarfs die präventiven Schutzmaßnahmen zu bestimmen.
Dazu gehören zeitnah die Sicherheitsupdates der Hersteller einzuspielen, die Virenscanner aktuell zu halten und das Netzwerk zu segmentieren und auf Auffälligkeiten zu überwachen. Hinzu gehören die relevanten Daten zu sichern und - was vielleicht am wichtigsten ist -, die Nutzer regelmäßig zu informieren und zu sensibilisieren.
Je wichtiger und kritischer ein System ist, umso besser gilt es dies zu schützen, man kann das mit einer Zwiebel vergleichen, bei der mehrere Schalen den Kern umschließen.

2. Welche Handlungsempfehlungen können Sie zur Bewältigung von Risiken für die IT-Sicherheit geben?
 
Herbert Motzel: Mit IT-Sicherheit wird man nie fertig, wenn man „durch ist“ kann man wieder von vorne anfangen, deshalb ist ein aktiv gelebtes Schwachstellenmanagement wichtig. Zur Anwendung kommen z.B. sichere Passwörter, Zugriffsrechte und Rollen nach dem „need to know Prinzip“ und Deaktivierung von USB-Ports sowie CD/DVD-Laufwerke. Deaktivierung von Makros sowie von unnötigen Netzfreigaben kommen hinzu ebenso wie die Anzeige von Dateiendungen, ein mehrstufiges Virenscanning nach dem 4-Augenprinzip und nicht zuletzt Sicherheits-/Penetrationtests.
Jedes Krankenhaus, egal ob es unter die KRITIS-Verordnung fällt oder nicht, sollte ein Informations-Sicherheits-Management-System (kurz ISMS) nach dem „B3S“ der DKG oder ISO 27001 etablieren. Auch das Landesamt für Sicherheit in der Informationstechnik LSI hat eine sehr gute Orientierungshilfe „IT-Sicherheit in Klinken“ veröffentlicht. Zwischenzeitlich gibt es viele gute Leitfäden und Handreichungen zum Thema IT-Sicherheit, das wichtigste ist, „dass man es macht, dass man damit anfängt und nicht wieder damit aufhört“.

3. Was wollen Sie als Referent den Verantwortlichen aus Krankenhäusern auf der DKI-Veranstaltung vor allem mitgeben?

Herbert Motzel: Nehmen Sie das Thema ernst, erstellen Sie jetzt geeignete und verprobte Ausfallkonzepte und Notfallpläne. Kommt es zum Virenbefall, haben Sie nämlich keine Zeit mehr für Planung, dann müssen Sie schnell und richtig handeln, um eine sichere Patientenversorgung aufrechterhalten zu können!


Die  Agenda

Begrüßung, Moderation
René Salamon Referat CK 34, zuständig für das Management des KRITIS-Sektors "Gesundheit" und die KRITIS-Branche „Medizinische Versorgung“, Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn

Aktuelle rechtliche Anforderungen an die IT-Sicherheit im Krankenhaus- und Gesundheitswesen und neue Finanzierungsmöglichkeiten nach dem KHZG  
Markus Holzbrecher-Morys, Geschäftsführer, Dezernat III / IT, Datenaustausch und eHealth, Deutsche Krankenhausgesellschaft e.V., Berlin

Umsetzung der verpflichtenden Maßnahmen zur Erhöhung der IT-Sicherheit nach § 75c SGB V ab 1.1.2022 - Good Practice-Empfehlungen
Lars Forchheim, CIO, ANregiomed gKU, Ansbach, Leiter des Branchenarbeitskreises medizinische Versorgung im UP KRITIS

Die IT-Sicherheitslage im Krankenhaus - Besondere Anforderun-gen durch die Corona-Pandemie
Dr. med. Klaus Rummel, Informationstechnologie, Medizinisches Prozessmanagement, Klinikum Ingolstadt GmbH

IT-Notfallplanung am Beispiel des Emotet-Vorfalls am Klinikum Fürth
Herbert Motzel, Leiter, Stabsstelle IT-Sicherheitssysteme und IT-Strategie, Klinikum Fürth

Roadmap zur Telematikinfrastruktur 2.0 aus der Sicherheitsperspektive
Holm Diening, Leiter, Sicherheit, gematik GmbH, Berlin

Good Practice-Empfehlungen zur Umsetzung der Telematikinfrastruktur
Dr. med. Silke Haferkamp, Leiterin, Geschäftsbereich IT, Uniklinik RWTH Aachen

www.dki.de


Quelle Text: Wolf-Dietrich Lorenz

Foto: Referent Herbert Motzel, Leiter Stabsstelle IT-Sicherheitssysteme / IT-Strategie im Klinikum Fürth


Lesen Sie mehr zum Thema "IT-Sicherheit"

Lesen Sie hier die neuesten Beiträge