network-gdc0df71cd_1920(1)(1).jpg
Die veränderte Rolle der CISOs im Gesundheitswesen und die steigenden Erwartungen an diese Funktion
Category : IT-Sicherheit & Kritis
Published by Dagmar Finlayson on 20.10.2022 10:50

Wie wandelt sich das Berufsbild des CISO (Chief Information Security Officer)? Welchen Stellenwert haben CISOs in Healthcare-Organisationen? Und welche neuen Technologien setzen CISOs ein, um die Datensicherheit ihres Arbeitgebers zu erhöhen?

Auch in Deutschland herrscht ein Mangel an Cyber-Security-Fachkräften und es sieht ganz so aus, dass sich daran so bald nichts ändern wird. CISOs sind entsprechend sehr gefragt. Ihr Aufgabenspektrum erweitert sich ständig und ihre traditionelle Rolle ändert sich radikal durch neue Rahmenbedingungen, vor allem aber durch die zunehmende Digitalisierung. So hat sich die Funktion des CISO, insbesondere im Gesundheitswesen, von einem reinen Fokus auf Netzwerkrisiken wegbewegt hin zur Abdeckung aller Aspekte der IT-Sicherheit. Zudem müssen CISOs neben fundierten IT-Kenntnissen heute auch Detailwissen über gängige Normen und Gesetze der Informationssicherheit sowie über Cyber Crime-Methoden mitbringen.

Was hat sich in den letzten Jahren für CISOs am meisten verändert?

Während CISOs früher hauptsächlich Überzeugungsarbeit leisten mussten, ist heute die Wichtigkeit von IT-Sicherheit und entsprechenden Schutzmaßnahmen zu den meisten Abteilungen des Krankenhausbetriebs vorgedrungen. Heute geht es zudem darum, konstant gute Ergebnisse bei der Abwehr von IT-Sicherheitsrisiken zu liefern. Aufgrund der schnellen technologischen Innovationen stehen CISOs hier vor immer neuen und komplexer werdenden Herausforderungen.

Genauer gesagt: Die Rolle der CISOs hat sich erweitert. Zwar sind die Bemühungen, Sichtbarkeit und Sensibilisierung für Sicherheitsthemen zu schaffen, noch immer von hoher Bedeutung, doch müssen CISOs heute vor allem permanent gewährleisten, dass Informationen, Technologien, Systeme und Netzwerke angemessen geschützt sind. Angesichts der nicht zuletzt durch Covid beschleunigten Digitalisierung, der zunehmenden Komplexität der Technologien und steigender Bedrohungen ist es aktuell wichtiger denn je, dass CISOs den Überblick über die Sicherheitsarchitektur und strategische Ausrichtung ihrer gesamten Organisation haben.

Unterschiedliche Faktoren üben zusätzlichen Druck auf CISOs aus. Vor allem ist hier die Komplexität von IT-Architekturen hervorzuheben, die aufgrund von neu hinzukommenden Technologien immer komplizierter werden. Hierdurch vergrößert sich die Angriffsfläche, und der Perimeter ist zusätzlich gefährdet, weil immer mehr Menschen zwischen verschiedenen Unternehmen wechseln. Der Umgang mit personenbezogenen Daten und vertraulichen Informationen stellt CISOs aufgrund immer strengerer Vorschriften wie NIS (Netz- und Informationssicherheit), DSGVO (Datenschutz Grundverordnung) u. v. m. zunehmend vor Herausforderungen. Zusätzlichen Druck übt auch die steigende Zahl von Cyberangriffen aus.

Festzuhalten bleibt, dass die Rolle des CISO wichtig und anspruchsvoll ist wie nie zuvor. Laut dem von Proofpoint veröffentlichten „Voice of the CISO“-Report glauben 51 Prozent der CISOs, dass sie den sich verändernden Erwartungen nicht gerecht werden können. Und im Gesundheitswesen fallen neu hinzukommende Aufgaben und Erwartungen besonders ins Gewicht.

Das hängt vor allem damit zusammen, dass Healthcare-Organisationen ein beliebtes Ziel für Cyberkriminelle darstellen. Denn sie verfügen über viele wertvolle Informationen. Dazu gehören Gesundheitsinformationen von Patienten, personenbezogene Daten wie etwa Sozialversicherungsnummern sowie geistiges Eigentum im Zusammenhang mit medizinischer Forschung. Erfolgreiche Angriffe gefährden im Klinikkontext somit nicht nur die Datenintegrität der Organisation, sondern auch Privatsphäre und Gesundheit der Patienten. Daher ist hier ein hoher Reifegrad der Informationssicherheit von besonderer Wichtigkeit.

Die persönlichen Patientendaten, die für Cyberkriminelle besonders wertvoll sind, stellen für den CISO im Gesundheitswesen eine größere Herausforderung dar als beispielsweise gestohlene Kreditkartendaten im E-Commerce-Bereich. Kreditkarten können einfach gesperrt werden. Werden allerdings Informationen über Untersuchungsergebnisse oder Diagnosen gestohlen, ist es unmöglich, den Schaden durch ein einfaches Löschverfahren zu beheben.

Hier zeigt sich einmal mehr, dass Healthcare-Organisationen viel mehr Angriffsfläche bieten als Unternehmen anderer Branchen. Denn sie nutzen nicht nur EDV-Systeme, beispielsweise zur Administration, sondern verfügen neben den vertraulichen Patientendaten über eine ganze Reihe von vernetzten medizinischen Geräten. Treten hier Fehler auf, kann dies weitreichende Auswirkungen auf die Gesundheit von Patienten zur Folge haben und möglicherweise sogar Leben gefährden.

Denn wenn Cyberkriminelle Patientendaten verändern oder dafür sorgen, dass Klinikpersonal keinen Zugriff mehr auf medizinische Aufzeichnungen und lebensrettende medizinische Geräte hat – z. B. wenn die Geräte durch einen Ransomware-Virus befallen sind – kann dies den kompletten Klinikbetrieb lahmlegen und damit Patienten gefährden. Ändern Kriminelle zum Beispiel bei Bestrahlungsgeräten die Konfiguration, ist dies sogar lebensgefährlich.

Die Bedrohungslage ist schon jetzt kritisch und wird sich in Zukunft nicht verbessern. Umso mehr steht die Branche unter Druck, geeignete Sicherheitsmaßnahmen zu ergreifen und den Schutz von Daten und Patienten auf ein Maximum zu steigern. Um einen wirksamen Schutz aufzubauen, braucht es eine ganze Reihe von Maßnahmen.

Zunächst ist es wichtig, dass strenge Zugriffsrechte eingeführt werden, die Patientendaten und medizinische Geräte vor unbefugten physischen Eingriffen direkt vor Ort schützen. Daher sind mindestens Passwort/PIN, bevorzugt aber zeitsparende Verfahren wie Karten und Schlüssel, Gesichts- oder Fingerabdruck-Erkennung erforderlich.

Außerdem ist es wichtig, dass Krankenhäuser das Thema Identitätsmanagement angehen. Nur wenn klare Befugnisgruppen definiert werden, Rechte einfach vergeben und wieder entzogen werden können und jederzeit klar ist, wer über welche Rechte verfügt, kann die Absicherung aller IT-Systeme auf eine erfolgreiche Grundlage gestellt werden.

Imprivata stellt Lösungen bereit, die den Zugriff auf IT-Systeme und medizinische Geräte vor Ort für Klinikpersonal einfacher und sicherer machen, und verfügt über umfangreiche Integrationsmöglichkeiten mit EHR und vielen anderen medizinischen Systemen, Anwendungen und Geräten. Imprivata hilft CISOs aber auch, alle Zugänge durch modernes Identitätsmanagement abzusichern und das Rechtemanagement zu automatisieren.

Autor:

Uwe Dieterich ist für das gesamte Endkundengeschäft von Imprivata und damit verbunden für das Partnergeschäft im Healthcare Bereich verantwortlich. Seit der ersten Stunde seiner Tätigkeit war es für Uwe Dieterich oberstes Ziel, die Kundenbasis mit den Imprivata Standardprodukten OneSign und ConfirmID erheblich zu vergrößern.  Uwe Dieterich hat mehr als 30 Jahre Erfahrung im Bereich Healthcare IT, insbesondere in Krankenhäusern. Er war bei namhaften Unternehmen in Deutschland in führenden Funktionen tätig und als Vertriebsleiter sehr erfolgreich und mehrfach ausgezeichnet.

Symbolbild: Pixabay/geralt