
Klinik-IT: Besuchszeit für ungebetene „Gäste“?
Es gibt schlechte Nachrichten aus dem Gesundheitswesen. Und diese haben zur Abwechslung einmal gar nichts mit den Entwicklungen rund um das Corona-Virus (COVID-19) zu tun. Vielmehr geht es unter anderem um Viren und Risiken einer ganz anderen Sorte – im Blickfeld steht nämlich einmal mehr die IT-Sicherheit in Krankenhäusern. Der Hintergrund sind alarmierende Ergebnisse einer neuen Studie (zur BSI-Studie KRITIS-Sektor Gesundheit) des Bundesamts für Sicherheit in der Informationstechnik. Die Experten des BSI haben sich dabei mit der Informationssicherheit der Klinik-IT in der stationären medizinischen Versorgung auseinandergesetzt.
IT-Infrastruktur ist vielfach nicht mitgewachsen
Dabei zeigte sich grundsätzlich, dass in vielen Fällen die IT-Infrastruktur in Kliniken nicht mit den wachsenden Anforderungen technischer Natur mitgewachsen ist. Hinzu kommt in Krankenhäusern oft die Problematik von Legacy-Technologien: Altsysteme werden in einzelnen Bereichen weiterhin genutzt, aber nicht mehr gewartet oder weiterentwickelt.
Systematisches IT-Risikomanagement: Oft Fehlanzeige
Aus organisatorischer Sicht hält das BSI in seiner Studie, die bisher nur teilweise veröffentlicht wurde, fest, dass „sich ein systematisches IT-Risikomanagement in vielen Häusern noch nicht auf dem notwendigen Niveau bewegt.“ Die Planung von entsprechenden IT-Sicherheitsmaßnahmen erfolgt nicht immer risikoorientiert. Und auch die Bedrohungsanalyse in der Klinik-IT ist laut BSI häufig unvollständig. Dies berge die Gefahr, dass speziell die vor- und nachgelagerten Prozesse im Rahmen von Risikoanalysen nicht ausreichend berücksichtigt werden.
Defizite bei technischen Schutzmaßnahmen in Klinik-IT
Mit Blick auf die technischen Schutzmaßnahmen in Krankenhäusern kommen die Experten des BSI zu dem Schluss, dass Defizite zum Beispiel in Bereichen bestehen, „die eine aktive Mitwirkung der Beschäftigten erfordern“ – exemplarisch werden hier Themenfelder wie die Verschlüsselung mobiler Speichermedien und die E-Mail Verschlüsselung genannt. Auch eine klare Netztrennung, etwa zwischen dem Verwaltungs-Netz und den von Besuchern und Patienten genutzten Ressourcen, ist nicht immer vorhanden.
Logfile-Analyse häufig unzureichend
Explizit erwähnt das Bundesamt darüber hinaus, dass auf „Maßnahmen zur Detektion und Reaktion“ seitens der Betreiber bislang offenbar nur eher wenig Augenmerk gelegt wird. Neben einem zentralisierten Malware-Scan von E-Mails heben die Security-Experten dabei insbesondere auch das Netzwerk-Monitoring der Klinik-IT hervor. Und das ist durchaus nachvollziehbar, denn gerade eine systematische, kontinuierliche Logfile-Analyse kann dazu beitragen, Risiken und Sicherheitslücken einerseits frühzeitig zu erkennen, andererseits aber auch tatsächliche Vorfälle so effizient und einfach wie möglich aufzuarbeiten.
„Log-Management trägt dazu bei, KRITIS-Anforderungen zu erfüllen″

Klinikum Wetzlar – Lahn-Dill-Kliniken
Lösungen wie beispielsweise IT@WORK-ProLog® ermöglichen es an dieser Stelle, quasi noch einen Schritt weiter zu gehen und ein echtes Log-Management zu realisieren. Dies kann in Kliniken beispielsweise auch im Rahmen gesetzlicher Vorgaben notwendig sein, um die Anforderungen an Kritische Infrastrukturen (KRITIS/B3S) zu erfüllen, bei denen auch der Protokollierung ein besonderer Stellenwert zukommt.
Ein Weg, den etwa die Lahn-Dill-Kliniken, ein kommunales Krankenhaus-Unternehmen mit mehreren Standorten im hessischen Lahn-Dill-Kreis, durch die Implementierung von IT@WORK-ProLog bereits erfolgreich beschritten haben, wie auch die Fachpublikation Krankenhaus-IT Journal berichtet.
Lösungen
Shop
ProSoft
ProBlog ist ein Angebot der
ProSoft GmbH
Bürgermeister-Graf-Ring 10
82538 Geretsried