Klinik-IT: Besuchszeit für ungebetene „Gäste“?

20.
Jul
2020
B3S, BSI, Gesundheitswesen, IT-Risikomanagement, Krankenhaus-IT, KRITIS, Lahn-Dill Kliniken, Logfile Analyse, personenbezogene Daten
​Krankenhäuser sind Einrichtungen, in denen die Verarbeitung sensibler, personenbezogener Daten an der Tagesordnung ist. Doch eine neue BSI-Studie zeigt: Die Klinik-IT und die technologischen Antworten auf aktuelle IT-Security-Bedrohungen sind in den meisten Fällen nicht auf der Höhe der Zeit.

Es gibt schlechte Nachrichten aus dem Gesundheitswesen. Und diese haben zur Abwechslung einmal gar nichts mit den Entwicklungen rund um das Corona-Virus (COVID-19) zu tun. Vielmehr geht es unter anderem um Viren und Risiken einer ganz anderen Sorte – im Blickfeld steht nämlich einmal mehr die IT-Sicherheit in Krankenhäusern. Der Hintergrund sind alarmierende Ergebnisse einer neuen Studie (zur BSI-Studie KRITIS-Sektor Gesundheit) des Bundesamts für Sicherheit in der Informationstechnik. Die Experten des BSI haben sich dabei mit der Informationssicherheit der Klinik-IT in der stationären medizinischen Versorgung auseinandergesetzt.

IT-Infrastruktur ist vielfach nicht mitgewachsen

Dabei zeigte sich grundsätzlich, dass in vielen Fällen die IT-Infrastruktur in Kliniken nicht mit den wachsenden Anforderungen technischer Natur mitgewachsen ist. Hinzu kommt in Krankenhäusern oft die Problematik von Legacy-Technologien: Altsysteme werden in einzelnen Bereichen weiterhin genutzt, aber nicht mehr gewartet oder weiterentwickelt.

Systematisches IT-Risikomanagement: Oft Fehlanzeige

Aus organisatorischer Sicht hält das BSI in seiner Studie, die bisher nur teilweise veröffentlicht wurde, fest, dass „sich ein systematisches IT-Risikomanagement in vielen Häusern noch nicht auf dem notwendigen Niveau bewegt.“ Die Planung von entsprechenden IT-Sicherheitsmaßnahmen erfolgt nicht immer risikoorientiert. Und auch die Bedrohungsanalyse in der Klinik-IT ist laut BSI häufig unvollständig. Dies berge die Gefahr, dass speziell die vor- und nachgelagerten Prozesse im Rahmen von Risikoanalysen nicht ausreichend berücksichtigt werden.

Defizite bei technischen Schutzmaßnahmen in Klinik-IT

Mit Blick auf die technischen Schutzmaßnahmen in Krankenhäusern kommen die Experten des BSI zu dem Schluss, dass Defizite zum Beispiel in Bereichen bestehen, „die eine aktive Mitwirkung der Beschäftigten erfordern“ – exemplarisch werden hier Themenfelder wie die Verschlüsselung mobiler Speichermedien und die E-Mail Verschlüsselung genannt. Auch eine klare Netztrennung, etwa zwischen dem Verwaltungs-Netz und den von Besuchern und Patienten genutzten Ressourcen, ist nicht immer vorhanden.

Logfile-Analyse häufig unzureichend

Explizit erwähnt das Bundesamt darüber hinaus, dass auf „Maßnahmen zur Detektion und Reaktion“ seitens der Betreiber bislang offenbar nur eher wenig Augenmerk gelegt wird. Neben einem zentralisierten Malware-Scan von E-Mails heben die Security-Experten dabei insbesondere auch das Netzwerk-Monitoring der Klinik-IT hervor. Und das ist durchaus nachvollziehbar, denn gerade eine systematische, kontinuierliche Logfile-Analyse kann dazu beitragen, Risiken und Sicherheitslücken einerseits frühzeitig zu erkennen, andererseits aber auch tatsächliche Vorfälle so effizient und einfach wie möglich aufzuarbeiten.


 

“Log-Management trägt dazu bei, KRITIS-Anforderungen zu erfüllen″

Gebäude Klinikum Wetzlar

Klinikum Wetzlar – Lahn-Dill-Kliniken

 

Lösungen wie beispielsweise IT@WORK-ProLog® ermöglichen es an dieser Stelle, quasi noch einen Schritt weiter zu gehen und ein echtes Log-Management zu realisieren. Dies kann in Kliniken beispielsweise auch im Rahmen gesetzlicher Vorgaben notwendig sein, um die Anforderungen an Kritische Infrastrukturen (KRITIS/B3S) zu erfüllen, bei denen auch der Protokollierung ein besonderer Stellenwert zukommt.

Ein Weg, den etwa die Lahn-Dill-Kliniken, ein kommunales Krankenhaus-Unternehmen mit mehreren Standorten im hessischen Lahn-Dill-Kreis, durch die Implementierung von IT@WORK-ProLog bereits erfolgreich beschritten haben, wie auch die Fachpublikation Krankenhaus-IT Journal berichtet.

Fazit: In Krankenhäusern ist im Hinblick auf die IT-Sicherheit noch viel zu tun. Neben organisatorischen Veränderungen, etwa im Bereich der Risikoanalyse, kann dabei aus technischer Sicht durch die Einführung eines kontinuierlichen Log-Managements ein erheblicher Sicherheitsgewinn erzielt werden. Denn nur wer weiß, was in seinen Systemen tatsächlich vor sich geht, kann Probleme erkennen und gleichzeitig eine datenschutzkonforme Protokollierung realisieren. Damit sich in der Klinik-IT nicht ungebetene Gäste einnisten!

Chefredakteur und Geschäftsführer der ProSoft GmbH

Der ProBlog Newsletter

Bleiben Sie auf dem Laufenden mit unseren interessanten News, Updates und Insights
zu modernen IT-Security & IT-Infrastruktur-Lösungen.

Members Only:
Alle Newsletter-Empfänger erhalten jetzt Zugriff auf exklusive Inhalte!

Bitte füllen Sie kurz das Formular aus.
Anschließend erhalten Sie eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.

 

 

Share This