img60805d641bbd9.jpg
Clubabend KH-IT - Mehr Attacken, weniger Markt
Category : BvKHIT
Published by kiw on 10.06.2021 11:30

Cyberattacken auf schlankere Prozesse, neue Kommunikationsformen und vernetzte Geräte mischen die Arbeitswelt auf ebenso wie die aktuelle Konsolidierungswelle im KIS-Markt. Beim Clubabend des KH-IT im Juni 2021 gab Werner Bachmann als juristischer Beirat Impulse und Einblicke für eine lebhafte Diskussion mit kritischen Unter- und Obertönen.

Systemrelevante Computernetze werden immer öfter von Cyber-Kriminellen geknackt. Zunehmend trifft es die Krankenhäuser. „Smarte“ Geräte in Kliniknetzen bieten enorme Angriffsfläche für Cyberkriminelle. Weltweit stieg die Zahl der Cyber-Angriffe gegen Krankenhäuser um 45 Prozent im vergangenen Jahr. Alle anderen Sektoren der Weltwirtschaft zusammen ergaben dagegen nur einen Anstieg um 22 Prozent. Ob und welche Angriffe woher kamen - aus Russland oder China oder anderen sicheren Internet-Häfen -, ist ungewiss.

Erscheinungsformen von Cybercrime sind gekennzeichnet durch die Infektion und Manipulation von Computersystemen mit Schadsoftware, z. B. Um persönliche Daten und Zugangsberechtigungen des Nutzers abgreifen und missbräuchlich nutzen zu können (Identitätsdiebstahl), darauf befindliche Daten/Dateien des Nutzers mittels Ransomware zu verschlüsseln, um "Lösegeld" zu erpressen, oder auch sie "fernsteuern" zu können, in sog. Botnetzen zusammen zu schalten und für weitere kriminelle Handlungen einzusetzen.

Bitcoin ist die Währung dafür. Die Technologie, die sogenannte Blockchain, dokumentiert alle Transaktionen der Kryptowährung, ähnlich wie ein Kassenbuch. Die Daten werden dezentral gespeichert, sind nahezu unveränderlich und vor allem: offen einsehbar.

Cyberkriminelle leben nicht ohne Risiko. In den USA haben Polizisten nach dem Hackerangriff auf die größte Ölpipeline des Landes einen Großteil des Lösegeldes wiedererlangt, das der Pipelinebetreiber an die Erpresser gezahlt hatte. Wie die US-Bundespolizei FBI mitteilte, hätten Ermittler Bitcoin im Wert von etwa 2,3 Millionen US-Dollar aufgespürt.

Es muss bei der polizeilichen Betrachtung von Cybercrimevon einem großen Dunkelfeld ausgegangen werden. Vermutlich kommt nur ein kleiner Teil der Straftaten in diesem Bereich zur Anzeige bzw. ist der Polizei und/oder den Strafverfolgungsbehörden bekannt.

 

Informationssicherheit als Voraussetzung

 

Für eine erfolgreiche Digitalisierung liefert der IT-Grundschutz ein fachliches Fundament und ein umfangreiches Arbeitswerkzeug. Er ist Methode, Anleitung, Empfehlung und Hilfe zur Selbsthilfe für Behörden, Unternehmen und Institutionen aller Größen, die sich mit der Absicherung ihrer Daten, Systeme und Informationen befassen wollen. Der IT-Grundschutz verfolgt einen ganzheitlichen Ansatz zur Informationssicherheit: Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet. Er ermöglicht es, durch ein systematisches Vorgehen notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen.

Damit lässt sich das Niveau der Informationssicherheit in einer Institution anheben und aufrechterhalten. Er ist der bewährte Standard zum Aufbau eines Managementsystems für  Informationssicherheit (ISMS). Mit einem ISO27001-Zertifikat auf der Basis des IT-Grundschutzes kann eine Institution belegen, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen und dadurch zusätzliches Vertrauen bei Kunden und Partnern schaffen.
 

Anforderungen an die Unternehmensleitung

Für die Betreiber kritischer Infrastrukturen gilt das IT-­Sicherheitsgesetz, wonach effektive Sicherheitsmaßnahmen zu etablieren sind. Dabei bleiben Geschäftsführer für die IT-Sicherheit ihres Unternehmens verantwortlich, unabhängig davon, ob sich ihre persönliche Expertise auf diesen Bereich erstreckt oder nicht. Damit haften sie auch eventuell persönlich gegenüber geschädigten Dritten.

Die Unternehmensleitung hat die Verantwortung, für eine hinreichende Abwehr des Unternehmens gegen Cyberattacken zu sorgen. Es ist ein funktionierendes IT-Risiko- und -Sicherheitsmanagement einzurichten, um die Angriffsmöglichkeiten für Hacker auf ein Minimum zu reduzieren. Potentielle Gefahrenquellen sind zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen. Besonders betont wird die Angriffserkennung. Kritische Infrastrukturen müssen ein ganzheitliches System zur Angriffserkennung aufbauen. Damit rückt die Gesamtheit komplexer Infrastrukturen stärker in den Fokus.

 

Pflicht der Arbeitnehmer

Grundsätzlich aber gilt: Ein Arbeitnehmer hat stets die Pflicht, sich im Interesse des Arbeitgebers und des Betriebs zu verhalten. Dazu gehört beispielsweise die Risikovermeidung und Schadensvorbeugung. Mit der Übertragung seiner Pflichten kann der Unternehmer einen wesentlichen Teil seiner Organisationspflichten erfüllen. Dabei muss er darauf achten, nur solche Personen mit Aufgaben und Verantwortlichkeiten zu betreuen, die zur Wahrnehmung dieser auch in der Lage sind. Verzögert oder negiert der IT-Leiter Sicherheitsmaßnahmen, treffen ihn die Folgen. Er muss daher qualifiziert – also im Kontext verständlich, etwa in Form einer Management Summary - über sein Anliegen die Geschäftsführung informieren und Konsequenzen aufzeigen. Fehlende Mittel oder Ignoranz der Krankenhausleitung schützen ihn nicht.

IT-Sicherheitsmanagement setzt für IT-Verantwortlichen sowie das Management nicht nur voraus, Sicherheitsmaßnahmen zu entwickeln, implementieren und durchzuführen. Vielmehr müssen sie stetig überwacht, überprüft und verbessert werden.

 

Versicherungen helfen nicht immer


Die Gefahr von Hackerangriffen wächst durch die gestiegene Vernetzung und das Internet. Viele Unternehmen sind jedoch schlecht gerüstet für Cyberattacken. Zugleich engen Versicherer den Sicherungsrahmen spezieller Policen ein. 90 Prozent der Schäden durch Cyber-Kriminelle treffen die Versicherer nicht über die entsprechenden Policen, sondern über Betriebsunterbrechungs- und Haftpflichtverträge. Daher haben die meisten Industrieversicherer begonnen, ältere Verträge zu überprüfen und Cyberangriffe ausdrücklich auszuklammern.


Bewegung im deutschen KIS Markt

So komplex die Sicherheitsattacken ausfallen, so einfacher scheint sich die Marktstruktur für das Informationsmanagement der Krankenhäuser  zu entwickeln. Die aktuelle Konsolidierungswelle mischt den deutschen KIS-Markt auf. Besondere Bewegung bringen Dedalus Group und CompuGroup Medical (CGM). Die Übernahme eines Unternehmens ist ein wirtschaftliches Geschäft von besonderer Bedeutung, gerade im Healthcare-Markt. Erfolgsquoten sind nach Ansicht von Marktbeobachtern bisher meist zwischen 40% und 60% anzusiedeln.

Motive für Akquisitionen sind kein Rätsel, sie können etwa sein: Vervollständigung des Waren- oder Dienstleistungsangebots, Erschließen neuer Märkte sowie Veränderung des Marktes initiieren, verbunden damit sind Verbesserung und Sicherung der Absatz- oder Bezugskanäle und zugleich die Veränderung der Wettbewerbssituation. Akquisitionen gehen nahezu immer mit dem Hinweis einher, dass nur ein großer, marktstarker Anbieter in der Lage sei, die Herausforderungen der Zukunft erfolgreich meistern zu können. Ist das individuelle Angebot, durch einen Verkauf richtig „Kohle zu machen“, nicht so verlockend, dass es nicht selten bei Lippenbekenntnissen bleibt? Entwicklungen der Vergangenheit ließen zumindest diesen Eindruck entstehen. Fragt man einen Aufkäufer, der einen anderen Anbieter übernimmt, hört man oftmals den schillernden Begriff „Synergieeffekt“. Seltener fällt das direkte Wort „Marktbereinigung“.


Simple Rechnung

Teilnehmer stimmten beim Clubabend des KH-IT im Juni 2021 gemeinsam in die Frage ein, wie Übernahmen refinanziert werden. Über ihren Kundenbeitrag scheinen sie sich kaum Illusionen zu machen, nämlich über Wartungskosten, steigende Preise und weitere Belastungen. Statt der bekannten Abkündigung eines Produktes aus dem gleichen Segment entsteht damit ein anders gelagerter Druck.

Anwendersorgen betreffen auch die "tiefenintegrierte Integrationstrategie" des Käufers für Dritt- und Sub-Produkte des Bestandskunden. Welche Perspektiven sich bei einer weiteren Konsolidierung des KIS-Marktes zeigen, auch mit Blick auf die Vielfalt und Auswahl von Lösungen, beunruhigen die IT-Verantwortlichen. Sind die kleineren Anbieter verdrängt, bleiben Oligarchen übrig. Sicher scheint für die Anwender zu sein: Hier wollen Anbieter mit Macht in den Markt.

 

Werner Bachmann, juristischer Beirat des KH-IT, sorgte durch Impulse und Einblicke
über die Sorgen von IT-Verantwortlichen für eine lebhafte Diskussion mit kritischen Unter- und Obertönen.