EDITORIAL Sebastian Frank 2 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS IMPRESSUM www.itsicherheit-online.com in Kooperation mit Fakten und Perspektiven der IT im Gesundheitswesen JOURNAL www.krankenhaus-it.de SPECIAL: IT-Sicherheit im Krankenhaus Verlag: DATAKONTEXT GmbH Standort Frechen Augustinusstr. 11 A · 50226 Frechen www.datakontext.com Chefredaktion: Sebastian Frank (S.F.) E­Mail: s.frank@kes.de Redaktion: Dr. Peter Münch (P.M.), Dr. jur. Martin Zilkens (M.Z.), Online-Redaktion: Jessica Herz (Leitung Online) herz@datakontext.com +49 2234 98949­80 Lisa Bieder Silvia Klüglich Janek Mazac Chiara Schönbrunn Herausgeberbeirat: Prof. Dr. Michael Backes, Prof. Dr. jur. Dirk­M. Barton, Walter Ernestus, Prof. Dr. Nikolaus Forgó, Prof. Dr. Rainer W. Gerling, Dr. Jan­Peter Ohrtmann, Prof. Dr. Norbert Pohlmann, Dr. jur. Martin Zilkens Gründer: † Bernd Hentschel Grafik/Layout/Satz: Michael Paffenholz Tel.: +49 173 8382572 E­Mail: michael.paffenholz@gmx.de Objekt- und Anzeigenleitung: Wolfgang Scharf Tel.: +49 2234 98949­60 E­Mail: wolfgang.scharf@datakontext.com zzt. gilt die Anzeigenpreisliste Nr. 29 Vertrieb/Herstellung: Dieter Schulz Tel.: +49 2234 98949­99 dieter.schulz@datakontext.com Abonnement: Jahresabonnement € 129,­ inkl. VK (Inland) Erscheinungsweise: sechs Ausgaben Alle Preise verstehen sich inkl. MwSt. Der Abonnementpreis wird im Voraus in Rechnung gestellt. Das Abonnement verlängert sich zu den jeweils gültigen Bedingungen um ein Jahr, wenn es nicht mit einer Frist von 8 Wochen zum Ende des Bezugszeitraumes gekündigt wird. Erscheinungsweise, Bezugspreise und -bedingungen: Abonnement und Bezugspreis beinhalten die Print­Ausgabe sowie eine Lizenz für das Online­Archiv. Die Bestandteile des Abonnements sind nicht einzeln künd­ bar. Der Preisanteil des Online­Archivs ist auf der Abonnementrechnung separat ausgewiesen. Aboservice: Hüthig Jehle Rehm GmbH, München, Tel.: +49 89 21 83­7110 Druck: Grafisches Centrum Cuno GmbH & Co. KG, Calbe (Saale) © DATAKONTEXT Mit Namen gekennzeichnete Beiträge stellen nicht unbedingt die Meinung der Redaktion oder des Verlages dar. Für unverlangt eingeschick­ te Manuskripte übernehmen wir keine Haftung. Mit der Annahme zur Ver­ öffentlichung erwirbt der Verlag vom Verfasser alle Rechte, einschließlich der weiteren Vervielfältigung zu gewerblichen Zwecken. Die Zeitschrift und alle in ihr enthaltenen Beiträge und Abbildungen sind urheber­ rechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Ur heberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Titelbild: SWS Computersysteme AG Fotos: Firmenbilder; DATAKONTEXT; iStock.com/alvarez, iStock.com/ Panuwat Sikham, iStock.com/sturti; e (adam121, ArtemisDiana, ART STOCK CREATIVE, DESIGN ARTS, ipopba, Knut, peopleimages.com, RioPatuca Images, sdecoret, Viktor Isaak) ­ stock.adobe.com iStock.com/sturti; everything possible/Shutterstock; 29. Jahrgang 2023 · ISSN: 1868-5757 Arbeit und EngagementWenn man über Cybersicherheit im Gesundheitswesen redet, muss man sich bewusst sein, dass es nicht nur um die Sicherheit der IT, sondern letztlich um die Sicherheit der Patienten geht. Dass Cyberkriminelle nicht vor Krankenhäusern und Arztpraxen halt machen, ist hinlänglich bekannt. Sie sind mittlerweile ein äußerst beliebtes Ziel für Angriffe, vor allem mit Ransomware. Die Opferliste allein aus dem letzten Jahr ist lang – Unfallkasse Tübingen, IFAP-Arzneimittelbank, Bad Säckinger Reha-Klinik, Klinikum Lippe, Caritas, das Internationale Komitee vom Roten Kreuz (IKRK) – und ließe sich noch ein gutes Stück weiter fortsetzen. Laut einer Studie des Unternehmens SOTI sorgen sich die IT-Verantwort -lichen besonders um den Diebstahl von Patientendaten durch einen Cyberangriff, die Weitergabe von Patientendaten ohne Zustimmung des Patienten und den Verlust von Patienteninformationen. Das ist nicht unbegründet, wie die Liste der von Cyberangriffen betroffenen Kliniken und Einrichtungen zeigt. Drei von vier IT-Fachleuten denken sogar, dass Patientendaten so gefährdet sind wie nie zuvor. Auf der anderen Seite steuert die Cybersicherheitsbranche gegen. Ob Mit arbeiter-Awareness, die Einführung von Zero Trust, „Managed Detection and Response“-Services, der sichere Dateiaustausch oder Archivierungssysteme – die Gesundheitsbranche kann aus vielen Pro-dukten und Services auswählen, mit deren Hilfe sie sich vor Angriffen schützen und gesetzliche Anforderungen umsetzen kann. Mit der immer schnelleren Digitalisierung des Gesundheitswesens ist es wichtiger denn je, dass alle zusammenarbeiten, um Patienten und ihre Daten zu schützen. Das erfordert viel Arbeit und Engagement von allen Beteiligten. Unternehmen und Organisationen aller Art zu unterstützen, im Rahmen ihrer Digitalisierung eine erfolgreiche Verteidigung aufzubauen, ist das Kernanliegen unsere Zeitschrift IT-SICHERHEIT – und das schon seit 27 Jahren.Gemeinsam mit unserem Kooperationspartner Krankenhaus-IT Journal haben wir dieses Special ins Leben gerufen. Sie finden hier neben strategischer und technischer Unterstützung auch wichtige Infos von Security-Anbietern als Orientierungsguide.Viel Freude mit dem gemeinsamen Produkt!IhrSebastian Frank

Prävention und Transparenz Mit wenigen Maßnahmen Angriffsflächen verringern Viele Entscheider im Gesundheitswesen stehen heute vor der Frage, wie man in einer modernen Krankenhaus-Umgebung den digitalen Blackout vermeidet und mit vorhande- nen Ressourcen den Spagat zwischen Sicherheit, Verfügbarkeit und Nutzerfreundlich- keit schafft. Unser Beitrag gibt Antworten. C hristian Schreiner ist Vorstandsvorsitzender der SWS Computersysteme AG und berät in Sachen Cybersi- cherheit viele Krankenhäuser. „Natürlich war man in den vergangenen Jahren auch mit Cyberangriffen einzel- ner Häuser konfrontiert“, so Schreiner „mitentscheidend, dass versuchte Ransomware-Attacken bei verschiedenen Kran- kenhäusern ohne größere Schäden oder gar erfolglos blie- ben, war dabei das frühzeitige Verringern der Angriffsflächen durch Maßnahmen wie Segmentierung beziehungsweise Mikrosegmentierung der Krankenhausnetze, professionelle Sicherheitswerkzeuge, Werkzeuge zur Anomalie-Erkennung wie auch gute Backupkonzepte.” Generell sollten die Verantwortlichen in den Krankenhäu- sern in ihrem Netzwerk Transparenz schaffen, zum Beispiel durch eine dedizierte Analyse des Kommunikationsverhal- tens von IT-Komponenten. Dazu gibt es sehr gute Werkzeuge mit hohen Automatismen. Ziel ist es, nicht gewünschte oder erforderliche Verbindungen einzuschränken beziehungswei- se zu verhindern. Ein Dopplersonografiegerät muss in der Re- gel keine Verbindung zum MRT oder Autoklaven haben oder ein Drucker keine Verbindung zu einer Videokamera. „Bei un- seren zahlreichen IT-Projekten in Kliniken im Krankenhaus- Pflegeumfeld sehen wir bei einem Haus mit 1.000 Betten mo- mentan im Durchschnitt circa 4.000 vernetzte medizinische Geräte im Einsatz“, so Schreiner. „Speziell die Internet-of-Me- dical-Things-(IoMT)-Geräte werden zunehmend als Brücken- köpfe für Cyberangriffe auf die digitale Infrastruktur genutzt.“ Problem Fachkräftemangel Auch der IT-Fachkräftemangel trifft die Verantwortlichen und stellt eine weitere Schwachstelle in Bezug auf die IT-Si- cherheit dar. Daher greifen viele Kliniken zunehmend auf die Unterstützung von professionellen IT-Dienstleistern zurück. „Wichtig ist, dass der Dienstleister die grundsätzlichen Abläu- fe in der Klinik kennt und Erfahrungen aus anderen Projekten zur Verfügung stellt. Nur dann er kann einen echten Mehr- wert liefern“, sagt Schreiner von der SWS AG. Mithilfe des Dienstleisters kann die Organisation dann ge- eignete Schutzmaßnahmen umsetzen, wobei man dabei nicht vergessen darf, dass Aspekte wie Verfügbarkeit und Patien- tennutzen eine ebenso wichtige Rolle wie die Sicherheit spie- len. Fragen, die immer wieder auftauchen, sind zum Beispiel: ƒ Wie integriert man IT-basierte Kameras sicher? ƒ Wie installiert man ein sicheres und flächendeckendes Pa- tienten-WLAN? ƒ Wie setzt man sicheres digitales Patientenmonitoring um? ƒ Wie schützt man die Anbindung und Integration von Be- legärzten und Zuweisern? ƒ Wie können Daten nach außen geschickt werden, zum Beispiel von Radiologien? ƒ Wie findet die Integration von Haus- und Patiententech- nik statt? ƒ Ist ein Eigenbetrieb denkbar oder sollte man Managed- Service-Partner nutzen? 4 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS . m o c . e b o d a k c o t s - S T R A N G I S E D : d l i B

Kurzinterview mit Christian Schreiner, SWS Top-down: Das Wichtigste zuerst KHZG, RIS, PACS, KIS und Telematik-Infra- struktur sind für die SWS AG keine Fremd worte. Das Unternehmen hat einen jahrzehntelangen Erfahrungsschatz aus zahl reichen Klinikprojekten aufgebaut. An oberster Stelle steht immer ein ganzheit- licher Security-Ansatz zum Schutz der hoch sensiblen Patientendaten. Im Inter- view mit IT-SICHERHEIT verrät Christian Schreiner, Vorstandsvorsitzender der SWS, was Krankenhäuser für mehr Cyber- sicherheit tun können. ITS: Warum ist die ständige Verfügbarkeit der IT beson- ders in einem Krankenhaus so essenziell? Christian Schreiner: Selbstverständlich ist in jeder Art von Unternehmen die Verfügbarkeit der IT unabdingbar. Bei einem Ausfall der IT entstehen beispielsweise in einem Pro- duktionsbetrieb jedoch meist „nur“ materielle Schäden, was durchaus tragisch ist und sogar zur Insolvenz des Unterneh- mens führen kann. In einem Krankenhaus steht bei einem solchen Ausfall jedoch viel mehr auf dem Spiel. So kann zum Beispiel nicht mehr auf Patientenakten zugegriffen werden und unter Umständen müssen lebenswichtige Operationen verschoben werden. So berichteten die Medien von einem Vorfall aus dem Jahr 2020, bei dem die Uniklinik Düsseldorf durch einen zufälligen Hackerangriff vier Wochen lang lahm- gelegt war. Abmeldung von der Notfallversorgung, Rettungs- wagen fuhren sie tagelang nicht an, und sogar der Tod einer Frau durch zu späte Behandlung waren die Folge. ITS: Es sind zahlreiche Maßnahmen notwendig, um die IT-Sicherheit zu gewährleisten. Eine Umsetzung solcher Maßnahmen in einem kurzen Zeitraum ist schon aus per- soneller Hinsicht oft nicht möglich. Wie würden Sie hier vor- gehen? Christian Schreiner: Es sind sicherlich schon einige Si- cherheitsmaßnahmen umgesetzt. Zunächst einmal ist auf- zulisten, welche Sicherheitsmaßnahmen heute bereits exis- tieren, um zu prüfen, inwieweit diese noch den aktuellen Anforderungen entsprechen. Sind sie nicht mehr auf dem 6 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS aktuellen technischen Stand, muss das unbedingt nachgeholt werden. Das ist normalerweise mit überschaubarem Auf-wand möglich. ITS: Ist das erledigt, wie würden Sie dann die nächsten Punkte angehen?Christian Schreiner: Danach ist zu prüfen, welche Maß-nahmen fehlen, um einen sicheren IT-Betrieb zu gewährleis-ten. Ich empfehle hier eine Top-down-Vorgehensweise: Die Maßnahmen mit dem größten Sicherheitseffekt würde ich hier zuerst umsetzen.ITS: Können Sie hier Beispiele nennen?Christian Schreiner: Es hilft nichts, wenn die Endgerä-te einen Virenscanner haben, die Server jedoch ungeschützt im Netzwerk stehen. Ich würde hier versuchen, meine „Kron-juwelen“, nämlich die Server und SAN-Systeme als Erstes zu schützen. Das funktioniert am besten mit einer Microsegmen-tierung des zentralen Datacenter-Netzwerkes. Als nächstes gilt es, die Systeme zu überwachen und automatisiert Ano-malien zu erkennen. Gerade in Zeiten von Fachkräftemangel ist es in einem komplexen Krankenhaus-IT-System schier un-möglich, ständig alle Systeme manuell zu überwachen. Des-halb ist hier ein Security-Information-and-Event-Manage-ment-(SIEM)-System empfehlenswert. Es prüft permanent Istzustände gegen Sollzustände aller relevanten Systeme, er-kennt Anomalien und warnt die IT-Administratoren proaktiv. Das sind jedoch nur zwei Beispiele von vielen.ITS: Wie ist die Vorgehensweise, wenn ein Krankenhaus trotz aller Schutzmaßnahmen Opfer eines Hackerangriffs wird?Christian Schreiner: Eine 100-prozentige Absicherung der IT ist leider nie möglich. Unser Ziel ist es jedoch, mit den Schutzmaßnahmen die Angriffsfläche zu minimieren und den Schaden so gering wie möglich zu halten. In so einem Fall analysiert unser Security-Operation-Center-(SOC)-Team zusammen mit der Klinik den Vorfall und leitet Maßnahmen zur Datenwiederherstellung und Verhinderung der weiteren Ausbreitung der Ransomware ein. Zudem werden forensisch der Einfallspunkt sowie die kompromittierten Systeme er-mittelt, um weitere Angriffe und eine Ausbreitung zu verhin-dern. Wir stehen dabei selbstverständlich bis zur vollständi-gen Rehabilitation an der Seite der Klinik. n

Daten im Gesundheitswesen sind für Cyberkriminelle besonders attraktiv Entscheidend ist der Mensch Mensch und Maschine im engen Zusammenspiel, das ist Alltag in Krankenhäusern. Tech- nologischer Fortschritt, der Einsatz von künstlicher Intelligenz (KI) oder auch einfach die stetige Verfeinerung digitalisierter medizinischer Arbeit haben zu einer effizienteren Medizin beigetragen. Ohne den Menschen jedoch, der die Maschinen bedient, fundierte Analysen trifft, richtige Diagnosen stellt und Strategien zur Heilung entwickelt, sind die Prognosen trübe. In der IT-Sicherheit gilt dasselbe Prinzip: Auch hier ist die Entwicklung ra- sant und das Potenzial der eingesetzten Sicherheitslösungen enorm hoch. Und doch reicht es für eine moderne Gefahrenabwehr nicht mehr, sich auf Firewall und Co. zu verlassen. D ie besondere Gefahr für Krankenhäuser und andere Einrichtungen des Gesundheitswesens fußt auf meh- reren Faktoren. Grundsätzlich sind die Motive hinter cyberkriminellen Aktivitäten vielfältig. Meist geht es darum, den Geschäftsbetrieb empfindlich zu stören oder gar gänzlich zum Erliegen zu bringen, hohe Erpressungsgelder zu erzielen oder aber erbeutete Daten im Darknet zu veräußern. Angrif- fe auf medizinische Einrichtungen sind für Cyberkriminelle aber besonders attraktiv. Sensible Datensätze wie Patienten- daten, Krankenakten oder anderweitige technologische, wis- senschaftliche oder personenbezogene Informationen sind im dunklen Markt der Cyberkriminellen unendlich wertvoll. Erst im Januar 2022 gelang es beispielsweise Hackern, bei einem Angriff auf das Internationale Rote Kreuz mehr als 500.000 Da- ten höchst schutzbedürftiger Personen zu erbeuten. Neben den hohen Erträgen auf dem einschlägigen Schwarzmarkt erhoffen sich die Cyberkriminellen zudem eine größere Bereitschaft der angegriffenen Gesundheits- einrichtungen, zum Beispiel im Fall einer Ransomware-Er- pressung die geforderten Lösegelder auch tatsächlich zu zah- len. Dramatik und Aufmerksamkeitswirkung solcher Angriffe können darüber hinaus im schlimmsten Fall zum Tod von Menschen führen. Ein anderer Aspekt für die Gefahr, die von der cyberkri- minellen Szene ausgeht, ist die Tatsache, dass man auch tech- nologisch dort heutzutage in einer ausgesprochen komfor- tablen Situation ist – entweder durch eigenes Können, was der seltenere Fall ist, oder aber durch die Unabhängigkeit von eben diesem: Wer cyberkriminelle Absichten hat, braucht kei- ne eigene Hacking-Expertise mehr, sondern kann aus einem breit aufgestellten, skalierbaren Service-Angebot an cyber- kriminellen Dienstleitungen wählen. Vom schnell gekauften kleinen Schadwarecode bis hin zu als Auftragsarbeiten aus- geführten komplexen und von Expertenhand gesteuerten An- griffen. Die Branche im Darknet boomt und mit ihr steigt die Professionalität auf der dunklen Seite der Macht. 8 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS

E-Mail-Daten DSGVO-konform aufbewahren Backup oder Archivierung? Krankenhäuser stehen täglich vor der Herausforderung, ihre hochsensiblen, persönlichen Informationen besonders zu schützen und unterliegen dabei strengen datenschutzrechtli- chen Anforderungen. Wichtig in diesem Prozess ist die Archivierung von E-Mails, die in Krankenhäusern eine wichtige Rolle bei der Kommunikation und der Aufbewahrung von Informationen spielen. Unsere Autorin erläutert, wieso eine E-Mail-Archivierung im Kran- kenhaus sinnvoll ist und wie sich diese von der Aufbewahrungsform Backup unterscheidet. E in wichtiger Grund für die Nutzung einer E-Mail- Archivierungslösung in Krankenhäusern ist die Ein- haltung rechtlicher Anforderungen. In Deutschland sind die meisten Unternehmen dazu verpflichtet, Korres- pondenzen, die ein Geschäft veranlassen, abschließen oder revidieren, sowohl vollständig als auch manipulationssicher und langfristig aufzubewahren sowie jederzeit verfügbar zu halten. Das gilt auch dann, wenn die Korrespondenz über E- Mail stattfindet. Grundlage dafür sind in erster Linie Bestim- mungen der Abgabenordnung (AO) und des Handelsgesetz- buches (HGB). Archivierung vs. Backup Die wichtigsten Unterschiede zwischen E-Mail-Archivie- rung und Backup sind: ƒ Erfüllung rechtlicher Anforderungen: Ein weitverbrei- teter Irrglaube unter IT-Administratoren ist: „Ich habe be- reits eine Backuplösung und brauche deshalb keine Archi- vierungslösung mehr.“ Einer Backuplösung fehlt es jedoch zumeist an wichtigen Funktionen zur Einhaltung rechtli- cher Vorgaben. Im Fall von Krankenhäusern und anderen Dienstleistern im Gesundheitswesen müssen zudem relevante Korrespon- denzen, die zum Beispiel Gesundheitsdaten oder Rechnungen über Behandlungskosten beinhalten können, unter denselben Vorgaben aufbewahrt werden. Diese sind laut Artikel 9 der Datenschutzgrundverordnung (DSGVO) besonders schutzbe- dürftig und dürfen nur mit expliziter Einwilligung des Patien- ten gespeichert, verarbeitet und versendet werden. Bei einem Backup werden üblicherweise Momentaufnah- men des E-Mail-Servers, sogenannte Snapshots, gemacht, die dann auf einem externen Speichermedium oder ei- nem Cloud-Dienst abgelegt werden. Allerdings können wichtige Patienten- oder Behandlungsdaten vor und zwi- schen den einzelnen Backups verloren gehen, zum Bei- spiel können Mitarbeiter des Krankenhauses wichtige In- halte aus Versehen löschen oder manipulieren. Eine professionelle E-Mail-Archivierungslösung kann Krankenhäuser dabei unterstützen, dass die Datengrundlage zu allen Zeiten lückenlos, vollständig und manipulationssicher verfügbar ist. Sie ist selbst dann sinnvoll, wenn bereits eine Backuplösung eingesetzt wird. E-Mail-Archivierungs- und Backuplösungen sind keineswegs das Gleiche. So ist der primäre Zweck eines Backups die Disaster-Reco- very, zum Beispiel im Fall von Systemausfällen oder Cyberat- tacken. Eine E-Mail-Archivierungslösung hingehen soll Kopi- en aller E-Mails und Anhänge – einschließlich des gesamten Verlaufs – über Jahre hinweg jederzeit verfügbar und wieder- auffindbar aufbewahren. Eine Archivierungslösung kann durch die vollständige, manipulationssichere und langfristige Archivierung von E-Mail-Daten und deren Anhängen die Erfüllung rechtli- cher Anforderungen ermöglichen. Mit einer guten Archi- vierungslösung ist zum Beispiel die sogenannte Journalar- chivierung umsetzbar, die alle E-Mails sofort bei Ein- und Ausgang archiviert und so erst die lückenlose Archivie- rung aller E-Mails möglich macht. Es gibt auch Unterschiede in der Aufbewahrungsdauer der Daten: Eine Backuplösung sichert E-Mail-Daten üblicher- weise kurz- bis mittelfristig, da der beschriebene Speicher nach einem gewissen Zeitraum gelöscht oder mit neuen 10 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS

Hilfe für den Datenschutz Sicherer Dateiaustausch tut nicht weh Besonders in der Medizinbranche ist die Digitalisierung noch nicht überall angekommen – manchmal werden wichtige Informationen weiterhin per Fax oder Post verschickt. Dabei ist diese Art alles andere als sicher, besonders wenn es um persönliche Daten geht. Dieser Problematik sind sich auch Cyberkriminelle bewusst, die Krankenhäuser gezielt angreifen, um an sensible Informationen zu gelangen. Dazu kommt, dass das Kommunizieren über diesen Weg sehr zeitintensiv ist. Aus diesen Gründen ist es essenziell, die digitale Kommunikation sicher sowie nachvollziehbar zu gestalten und den Datenaustausch zu vereinfachen. I n Krankenhäusern werden jeden Tag sensible Patien- tendaten, aber auch Mitarbeiterdaten verarbeitet und intern sowie extern ausgetauscht. Diese Daten werden beispielsweise mit anderen Abteilungen, Rentenversicherun- gen, Krankenkassen, niedergelassenen Ärzten oder Ämtern geteilt. Je nachdem, wie groß ein Krankenhaus ist, können sich so schnell haufenweise Akten stapeln. Doch nicht nur der überaus hohe Papierverbrauch und der damit einhergehen- de schlechte ökologische Fußabdruck sorgen dafür, dass die- ser Weg des Datenaustauschs optimierbar ist. Hinzu kommt, dass er veraltet sowie unsicher ist und die Arbeit unflexibel macht. Deswegen ist es für Krankenhäuser wichtig, eine di- gitale Lösung zu implementieren, mit der die Kommunikati- on einfach, schnell und datenschutzkonform gestaltet werden kann – für interne und externe Parteien. Das sieht auch das Krankenhauszukunftsgesetz vor, das für eine bessere digitale Infrastruktur sorgen soll, wie beispielsweise Patientenporta- le oder eine elektronische Dokumentation von Behandlungen, aber Krankenhäusern auch eine sehr starke IT-Sicherheit vor- schreibt. Dateiaustausch nachvollziehen Viele Daten im Gesundheitswesen werden mittlerweile nicht mehr per Fax oder Post, sondern per E-Mail verschickt. Doch gerade bei vielen Röntgenbildern oder Patientenakten mit mehrjährigen Krankheitsbildern kommen die Dateian- hänge an ihre Grenzen. Zudem garantiert eine E-Mail nicht, dass Informationen auf dem Weg zum Empfänger nicht in die Hände Dritter geraten. Alternativ zur E-Mail kann man Anhänge mithilfe einer File-Transfer-Lösung verschicken. Hierbei sollte man darauf achten, dass sich in der Lösung genau definieren lässt, wer auf . m o c . e b o d a k c o t s - 1 2 1 m a d a : d l i B 12 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS

Sicheres Arbeiten im Web Den Webbrowser vor Cyberangriffen schützen Der Browser ist eines der am häufigsten genutzten Programme im Arbeitsalltag – und er ist zugleich eines der Haupteinfallstore für Cyberkriminelle. Deshalb ist es wichtig, dass IT- Sicherheitsverantwortliche den Webbrowser maximal schützen. Ein Ansatz hierfür sind Remote-Controlled-Browser-Systeme (ReCoBS). W ebbrowser sind die meist verbreiteten, univer- sell nutzbaren Applikationen zur Betrachtung und Bearbeitung jeglicher im Internet angebo- tener Dateitypen und zur Bedienung von Programmen über deren Webschnittstellen. Um Anwendern ein beständig besseres Benutzererleb- nis zu bieten, zum Beispiel bei der Nutzung von Webmee- tings, Sharing-Plattformen und interaktiven Anwendungen, werden sie immer leistungsfähiger und komplexer. Der Be- dienungskomfort wird dabei maßgeblich durch aktive Kom- ponenten gestaltet. Diese machen die Organisationen jedoch für Browser-Exploit-Angriffe anfällig. Internetbrowser gehö- ren somit zu einer der größten Schwachstellen innerhalb der Krankenhaus-IT. antwortlichen in den Unternehmen. Auch nicht zu unter- schätzen ist die Gefahr des Datenabflusses über Websessions. Sei es infolge einer klassischen Phishingattacke, einer leicht- fertigen Preisgabe schutzbedürftiger Daten über Social-Me- dia-Plattformen oder dem Exploit von Daten im Zusam- menhang mit der Nutzung eines unsicheren Webspeichers. Webanwendungen mit Shared-Notepad-Funktionen ermög- lichen beispielsweise einen nicht nachvollziehbaren Datenab- fluss durch Kopieren und Einfügen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt daher den Einsatz sogenannter Remote-Con- trolled-Browser-Systeme (ReCoBS), um zu vermeiden, dass aktive Inhalte von Webbrowser-Sessions in das jeweilige LAN eindringen können. Zugleich werden die Methoden der Angreifer vielfälti- ger und technisch ausgefeilter. Beispielsweise durch Angrif- fe über UI-Redress-Attacken, Einbetten schädlicher iFrames oder Drive-by-Downloads. Hier genügt bereits eine Mausbe- wegung über ein unsichtbares Frame oder ein Mausklick auf ein getarntes Webseitenelement, um den Cyberangriff einzu- leiten. Findet die Websession mit vergleichsweise hohen Be- rechtigungsstufen statt, erhöht sich die Bedrohung bei einem Angriff. Die Vermeidung einer Endpoint- und Netzwerk-Kompro- mittierung ist eine wesentliche Aufgabe der Sicherheitsver- Um sich vor Angriffen über den Browser zu schützen, können Krankenhäuser auf vier Varianten zurückgreifen: Remote-Controlled Browser-Sessions, Secure-Browser-Sys- teme, DNS-Whitelisting und Remote-Browser-Isolation (RBI). Remote-Controlled Browser-Sessions Hierbei erfolgt der Webzugang über speziell gesicherte Terminalserver-Systeme, die häufig auf Linux basieren. Die Browsersessions finden nicht auf den Arbeitsplatz-PCs statt, sondern auf einem Terminalserver innerhalb eines geschütz- ten Segments und werden von den jeweiligen Arbeitsplät- . m o c . e b o d a k c o t s - t u n K : d l i B 14 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS

Branche unter den Top-Angriffszielen Gesundheitswesen im Fadenkreuz Global gut vernetzte und technisch bestens ausgestattete Cyberkriminelle nehmen verstärkt das Gesundheitswesen ins Visier. Das bereitet Verantwortlichen sowie Ärztin- nen und Ärzten große Sorgen. Sie kritisieren einen ungenügenden Schutz vor Angrif- fen auf Krankenhäuser und Praxen. I n Deutschland nimmt die Digitalisierung von Kranken- häusern und Arztpraxen immer mehr Fahrt auf. Gleich- zeitig greifen Cyberkriminelle sie öfter an; besonders gern nutzen sie dafür Ransomware. Das bestätigt auch eine im Mai und Juni letzten Jahres durchgeführte Studie des Si- cherheitsanbieters Trend Micro unter rund 3.000 IT-Entschei- dungsträgern aus 26 Ländern: Demnach räumten weit mehr als die Hälfte (57 Prozent) der befragten Healthcare-Unterneh- men ein, in den vergangenen drei Jahren durch Ransomware kompromittiert worden zu sein. 25 Prozent der Opfer gaben außerdem an, dass ihr Betrieb vollständig zum Erliegen ge- kommen sei. Weitere 60 Prozent erlebten eine Beeinträchti- gung ihrer Geschäftsprozesse. Im Durchschnitt dauerte es laut Studie bei den meisten Unternehmen Tage (56 Prozent) oder Wochen (24 Prozent), bis der Betrieb wieder vollständig her- gestellt war. Und nicht nur die IT-Entscheidungsträger sind besorgt, auch den Ärztinnen und Ärzten in Kliniken und Praxen berei- tet das Thema Cyberangriffe Kopfzerbrechen. So sehen drei Viertel (74 Prozent) der Ärzteschaft im Krankenhaus Klini- ken in Deutschland häufig nicht als ausreichend vor Cyberan- griffen geschützt. Das ist das Ergebnis einer Befragung vom Bitkom-Verband unter 535 Ärztinnen und Ärzten aller Fach- richtungen in Kliniken und Praxen in Deutschland. Weiterhin meinen 69 Prozent, Ärztinnen und Ärzte sollten sich stärker mit IT-Sicherheit beschäftigen – und zwei Drittel (66 Prozent) sorgen sich konkret vor Cyberangriffen auf Krankenhäuser. Unter den niedergelassenen und angestellten Ärztinnen und Ärzten in Praxen und Versorgungszentren ist die Sorge vor Cyberangriffen auf Praxen und medizinische Einrichtungen mit 83 Prozent sogar noch größer. 82 Prozent sagen zudem, Praxen seien häufig nicht ausreichend vor Cyberangriffen ge- schützt. Zwei Drittel (68 Prozent) aus dieser Gruppe wünschen sich, dass sich Ärztinnen und Ärzte generell stärker mit IT-Si- cherheit beschäftigen. Ein Grund für die vielen Angriffe auf Krankenhäuser und ähnliche Organisationen ist die mit zunehmender Digitalisie- rung einhergehende größere Angriffsfläche. Ein weiterer ist die Vermutung der Kriminellen, dass Krankenhäuser stark 16 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS . m o c . e b o d a k c o t s - k a a s I r o t k V i ; m o c . e b o d a k c o t s - . m o c . s e g a m e p o e p l i : r e d l i B daran interessiert sind, ihre Daten zurückzubekommen oder ihre Systeme wieder starten zu können. Darüber hinaus ha-ben die Teilnehmer der Studie von Trend Micro Schwachstel-len in der Lieferkette als eine der größten Herausforderungen genannt: ƒ43 Prozent sind der Überzeugung, ihre Partner hätten sie zu einem attraktiveren Angriffsziel gemacht. ƒ43 Prozent geben außerdem an, ein Mangel an Transpa-renz in der gesamten Ransomware-Angriffskette habe sie anfälliger gemacht. ƒ36 Prozent nennen einen mangelnden Überblick über ihre Angriffsoberfläche als weiteren Grund, der sie verstärkt zu einem Ziel für Attacken gemacht habe.Es gibt aber auch gute Nachrichten: So hat laut Trend Micro ein Großteil der Gesundheitseinrichtungen (95 Prozent) bei vor allem nach außen sichtbaren Systemen regelmäßig Patches eingespielt, während ein fast ebenso großer Anteil (91 Prozent) E-Mail-Anhänge einschränkt und so das Mal-ware-Risiko verringert. Viele befragte Unternehmen würden zudem darüber hinaus Tools für Network-, Endpoint- oder Extended-Detection-and-Response nutzen. Auch werden laut Bitkom-Studie immerhin 42 Prozent der Befragten Ärztinnen und Ärzte an ihrer Klinik regelmäßig zum Thema IT-Sicherheit geschult, eine Mehrheit von zwei Dritteln (68 Prozent) wünscht sich allerdings mehr Informa-tionen zum Umgang mit dem Thema. „IT-Sicherheitsstandards sind gesetzlich sowohl für Kran-kenhäuser als auch für Arztpraxen jeglicher Größe geregelt“, sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. Da-bei gehe es nicht nur darum, Geräte- und Betriebsausfälle zu vermeiden, sondern auch um den Schutz sensibler Patienten-daten. „Insgesamt sind die Gesundheitsdaten der in Deutsch-land gesetzlich Versicherten im internationalen Vergleich her-ausragend gut geschützt“, so Rohleder weiter. nS.F.

– ADVERTORIAL – Risikopatient IT EINE GUTE VORSORGE SORGT FÜR CYBERSICHER- HEIT IM KRANKENHAUS Krankenhäuser und Gesundheitszentren sind exponierte Services und menschliche Expertise kombiniert. Nur so lassen sich Cyber­ kriminelle abwehren, die mit ausgesprochen hoher Kenntnis, mit starker krimineller Energie und vor allem in bestens organisierten Gruppen das Healthcare ins Visier nehmen. Angriffsziele für Cyberkriminelle. Die Organisationen haben wertvolle Daten zu schützen, sie sind intern und extern hoch vernetzt und sie müssen unter allen Umständen den Betrieb auf­ rechterhalten. Immerhin geht es um nichts weniger als das Wohlergehen oder sogar die Rettung von Menschen. Diese hochsensible IT­Umgebung ruft unweigerlich Cyberkriminelle auf den Plan. Diese wissen sehr ge­ nau, dass aufgrund der exponierten Situation von Krankenhäusern und Gesundheitszentren ein Angriff hoch profitabel sein kann. Und zur Auf­ rechterhaltung des teils lebensrettenden Betriebs und zum Schutz der sensiblen Daten sind solche Einrichtungen eher gewillt, hohe Erpres­ sungssummen zu bezahlen als andere Organisations­ oder Wirtschafts­ zweige. Leider bestätigen dies auch die Studienergebnisse des Sophos „The State of Ransomware in Healthcare 2022“ Reports: Das Gesund­ heitswesen war 2021 zu 66 Prozent von Ransomware betroffen. Im Jahr zuvor war es mit 34 Prozent nur knapp die Hälfte. Fazit: Mit einer jährli­ chen Steigerungsrate von 94 Prozent an Ransomware­Angriffen ist der Healthcare­Bereich einer der gefährdetsten überhaupt. Ist Ihre Organisation im letzten Jahr von Ransomware betroffen gewesen? 2021: 253 Befragte aus dem Gesundheitswesen; 2020: 113 Befragte aus dem Gesundheitswesen: Ja. (Quelle:Sophos) Dieser Gefahr und zum Schutz der Einrichtungen und der Patienten kann nur mit einer ausgeklügelten Security­Strategie entgegengetreten wer­ den, die zusätzlich zu klassischen Sicherheitslösungen auch Security­ 18 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Die Antwort auf moderne Cybergefahren: Managed Detection and Response Mit den Sophos Managed Detection and Response (MDR) Services lagern Unternehmen den Sicherheitsbetrieb an externe Experten aus. Das hilft nicht nur die Knappheit an erfahrenem Security­Fachpersonal zu lösen, es sorgt zudem für ein wesentlich höheres Schutzniveau. Zu den Service­ leistungen gehören der Betrieb und/oder die Kontrolle der eingerichteten Security­Lösungen an den Endgeräten, Netzwerken und Servern sowie allem voraus die Echtzeitanalysen durch ein Expertenteam, das die Bedro­ hungssuche (Threat Hunting) und Überwachung durchführt. Diese Teams übernehmen zudem die Reaktion auf Vorfälle. Zusammengefasst wird mit MDR ein Security­Ökosystem etabliert, das automatisierte, KI­basierte Security mit der Expertise menschlicher Spezialisten kombiniert. Das Sicherheitslevel dieses Ökosystems ist von drei Aspekten abhängig: der Leistungsfähigkeit der vernetzten Security­Lösungen inklusive der künstlichen Intelligenz (KI), dem Know­how, Geschwindigkeit und Schlag­ kraft der menschlichen Experten und der zur Verfügung stehenden Infor­ mationsbasis, dem sogenannten Data Lake. Automatisierte Abwehr Die Zeit einzelner Security­Insellösungen ist vorbei. Cyberkriminelle wis­ sen die Lücken zwischen den separaten Sicherheitstechnologien unter­ schiedlicher Hersteller effizient auszunutzen. Von Vorteil ist daher eine Security­Infrastruktur, die im Verbund ein intelligentes Security­Netz über die gesamte Organisation hinweg spannt. Endpoint­Security­Lösungen, Firewalls und Tools zum Schutz der Cloud­Instanzen kommunizieren in­ teraktiv miteinander und reagieren bei Gefahr mithilfe einer hoch entwi­ ckelten künstlichen Intelligenz automatisch. Sophos nennt diese Kommu­ nikation zwischen den Security­Instanzen passenderweise „Heartbeat“ und sorgt damit für eine maximal automatisierte Sicherheit vor Cyberan­ griffen oder Kompromittierungen intern. Bild: ART STOCK CREATIVE - stock.adobe.com

– ADVERTORIAL – MailStore Server und die datenschutzkonforme E-Mail-Archivierung im Gesundheitswesen Täglich verarbeiten und übermitteln Krankenhäuser und Arztpraxen Daten, die den Gesund- heitsstatus, die Behandlung sowie private Informationen von Patienten beinhalten. Angesichts der strengen Gesetzeslage sind Gesundheitseinrichtungen dazu verpflichtet, diese hoch- sensiblen Daten umfassend und dauerhaft aufzubewahren – E-Mails eingeschlossen. Autorin: Kristina Waldhecker Manager Product Marketing bei MailStore Krankenhäuser und Arztpraxen sind wahre Datenschätze, weshalb sie immer häufiger und aggressiver ins Visier von Cyberkriminellen geraten. Ransomware­Attacken stellen dabei die verbreitetste Vorgehensweise von Angreifern dar. Sie verschlüs­ seln die IT­Systeme und Daten der Gesundheitseinrichtungen, legen da­ mit den gesamten Betrieb lahm und fordern immense Lösegeldsummen für die Freigabe. Wie der Fall der Uni­Klinik Düsseldorf im Jahr 2020 zeigt, können Patienten dabei in lebensbedrohliche Gefahr geraten. IT-Ausfälle mit drastischen Folgen Solch eine böswillige Manipulation durch Außenstehende geht in der Regel mit beträchtlichen IT­Störungen einher, doch stellen sie nicht die einzige Ursache von Betriebs­ und Systemausfällen dar. Einfache An­ wenderfehler, die bewusste Löschung von Daten, beschädigte Hardware 20 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS sowie Störungen in Rechenzentren und bei Cloud Service Providern können den gesamten Betrieb einschränken oder vollständig zum Still­stand bringen.All diese Ursachen führen jedoch immer zum gleichen Ergebnis: Betroffe­ne Mitarbeiter können bis zur Wiederherstellung, die je nach Reaktions­zeit und Recovery­Strategie mehrere Stunden bis Tage dauern kann, nicht auf kritische Ressourcen wie lokal oder in der Cloud gespeicherte Doku­mente, Anwendungen und/oder E­Mail­Server zugreifen. Das Risiko eines erheblichen Datenverlustes – einschließlich sensibler Informationen, die via E­Mail kommuniziert wurden – ist in solchen Fällen enorm. In Anbe­tracht der strengen Datenschutzvorschriften auf Bundes­ und EU­Ebene, denen das Gesundheitswesen unterliegt, müssen betroffene Einrichtun­gen bei Nichteinhaltung oder Vernachlässigung mit juristischen Konse­quenzen und hohen Bußgeldern rechnen.Bild: sdecoret - stock.adobe.com

– ADVERTORIAL – IT-SICHERHEIT IM KRANKENHAUS – SO GEHT’S Für Krankenhäuser mit ihren zahlreichen Mitarbeitern, medizinischen Geräten, IT-Systemen und den hochsensiblen Daten, die täglich anfallen, spielt Sicherheit die tragende Rolle. Das hier nötige Hochmaß an Security und Datenschutz, aber auch die Einhaltung gesetzlicher Vorgaben lässt sich nur mit einer Kombination aus verschiedenen IT-, IoT- und OT-Sicher- heitslösungen sowie organisatorischen Maßnahmen erzielen. 22 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Bild: iStock.com/alvarez Informations­ und Kommunikationstechnologie ist aus dem moder­nen Krankenhausbetrieb nicht wegzudenken. In der Regel umfas­sen die Netzwerke dort das Krankenhausinformationssystem (KIS), diverse IT­Systeme, Server, PCs und Tablets und die zugehörige Software. Hinzu kommen vielerlei medizinische Geräte, vom Patientenmonitor bis hin zum Magnetresonanztomografen (MRT), die ebenfalls auf Informa­tions­ und Kommunikations­Technologie (ITK) basieren und oft mit dem Internet verbunden sind .Gleichzeitig bedroht die zunehmende Cyberkriminalität das Gesundheits­wesen in besonderem Maß, denn es gehört zur kritischen Infrastruk­tur. Krankenhäuser brauchen also besonders starken und umfassenden Schutz, denn Sicherheit ist hier noch entscheidender als in der Wirtschaft. Hierzu bedarf es Lösungen aus verschiedenen Bereichen, die in einem Gesamtkonzept aus technischen Herangehensweisen, organisatorischen Maßnahmen und Compliance mit gesetzlichen Vorgaben zusammenspie­len müssen. So muss beispielsweise klar sein, wo die Risiken liegen, wem welche Daten zugänglich sind oder welche das Krankenhaus verlassen dürfen – was in Zeiten cloudbasierter Software und Dienste oft keine ein­fache Aufgabe ist. Die Basics: Segmentierung und ZugangskontrolleNicht alle Geräte im Krankenhausnetzwerk dürfen nach Belieben mitein­ander kommunizieren. Daher wird das Netzwerk in verschiedene Zonen segmentiert, die voneinander getrennt funktionieren – zum Beispiel separate Zonen für Clients, Server, Medizingeräte, Klinik­WLAN, Gäste­

– ADVERTORIAL – B3S Gesundheit für Krankenhäuser mit QSEC am Beispiel Harzklinikum Dorothea Christiane Erxleben GmbH Autorin: Ellen Wüpper, Geschäftsführung Vertrieb/Marketing der WMC GmbH K rankenhäuser mit mehr als 30.000 vollstationären Fällen pro Jahr sind aufgrund der KRITIS-Verordnung verpflichtet, ihre IT­Sicherheitsmaßnahmen auf den jeweils aktuellen Stand der Technik zu bringen, diesen zu halten und die Erfüllung der Anforderungen an Betreiber kritischer Infrastrukturen alle zwei Jahre nachzuweisen. Damit diese Verpflichtungen erfüllt werden können, wird seitens des BSI (Bun­ desamt für Sicherheit in der Informationstechnik) auf die Umsetzung des anerkannten branchenspezifischen Sicherheitsstandards (B3S Gesundheit) verwiesen. In der Praxis wird somit der Aufbau eines Informationssicher­ heitsmanagementsystems (ISMS), dass die B3S­Anforderungen erfüllt und auch das Risikomanagement entsprechend berücksichtigt, unerlässlich. Will man die oben genannten Anforderungen des B3S erfüllen und gleichzeitig auch weitere Themen, wie zum Beispiel den Datenschutz, das Risiko­ und Compliance­Management, in einem System umsetzen, ist das mit Bordmitteln und ohne eine datenbankgestützte Softwarelö­ sung wie QSEC aufgrund der Komplexität der Materie wirtschaftlich und nachhaltig kaum möglich. Die im Krankenhausumfeld vielfach erprobte GRC-(Governance, Risk & Compliance­) und ISMS­Softwarelösung QSEC bildet den Informationssi­ cherheitsprozess über alle Phasen des Plan­Do­Check­Act­Zyklus lückenlos ab und unterstützt alle Anforderungen aus dem B3S Gesundheit. Dabei integriert sich das System in die IT­Landschaft des Krankenhauses und bereits vorhandene, für die Umsetzung erforderliche Daten, können aus schon im Einsatz befindlichen, führenden Systemen übernommen werden. QSEC-Startseite-Krankenhäuser QSEC-Datenmodelldarstellung-Krankenhäuser 24 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Kontaktinfo: WMC GmbH Zimmerstraße 1, 22085 Hamburg Tel: +49 40 650336-0 E-Mail: info@wmc-direkt.de · www.wmc-direkt.de Mit QSEC werden nicht nur die KRITIS-Anfor-derungen im Krankenhaus optimal umgesetzt, sondern auch ƒdie Nachweisbarkeit der Compliance sichergestellt; ƒdie Risiken transparent dargestellt und nachhaltig behandelt (reduziert, akzeptiert, etc.); ƒBest­Practice­Prozesse etabliert (die Methodik wird von QSEC zur Verfügung gestellt); ƒSynergien durch die Verbindung von Informationssicherheit und Datenschutz erzielt; ƒdie Effizienz im Sicherheitsmanagement bei gleichzeitiger Optimierung von Ressourcen und Investitionen erhöht; ƒImagegewinne und Wettbewerbsvorteile erzielt.Bei der Harzklinikum Dorothea Erxleben GmbH wurde QSEC gemeinsam mit dem QSEC Vertriebspartner Cancom, IT­Dienstleister mit Sitz in Mün­chen, implementiert, sodass heute alle Aktivitäten zu den Themen Da­tenschutz, ISMS, B3S Gesundheit und zum Risikomanagement nachhaltig dargestellt und lückenlos belegt werden können. Die etablierten Prozesse und Informationen bieten eine valide und fundierte Basis in Bezug auf alle compliance­ und risikorelevanten Entscheidungen.„Die Auditierung unserer Infrastruktur wurde mit der Unterstützung von QSEC wesentlich einfacher und effizienter. Aufgrund der positi-ven Bewertung der Auditoren in Bezug auf die Leistungsfähigkeit des Systems werden wir QSEC in weiteren Schritten entsprechend unserer Anfordernisse ausbauen.“ Zitat: Hardy Krüger, Informationssicherheits-beauftragter.Die komplette Case Study: „Harzklinikum Dorothe Christiane Erxleben – Datenschutz, Informationssicherheit und Risiko-management als Managementaufgabe“ finden Sie hier.

– ADVERTORIAL – Sicherer Umgang mit Daten DSGVO-konforme Digital-Work- place-Lösung – Ihr Rezept für einen sorgenfreien Klinikalltag Nicht erst seit dem Inkrafttreten des branchenspezifischen Krankenhaussicherheitsstan- dards B3S sind Sicherheit und Datenschutz in Kliniken von entscheidender Bedeutung. Denn gerade in Krankenhäusern werden äußerst sensible Daten verarbeitet, insbesondere Patientendaten, die es umfassend zu schützen gilt. Trotzdem kommen in vielen Einrichtun- gen noch immer veraltete, unsichere Methoden zum Einsatz, um sensible Informationen etwa mit dem Klinikpersonal oder mit Patienten auszutauschen. Dabei gibt es inzwischen geeignete Lösungen auf dem Markt, um eine sichere und nachvollziehbare digitale Kom- munikation zu gewährleisten, die noch dazu den Datenaustausch deutlich vereinfachen. Krankenhäuser arbeiten täglich mit zahlreichen sensiblen Daten. Der Austausch dieser Daten – Patienten­ und auch Mitarbeiterdaten – mit anderen Abteilungen und externen Parteien wie Rentenversicherungen, Krankenkassen sowie Ämtern erfolgt heutzutage häufig noch über Faxe, CDs/DVDs und E-Mails. Dies hat sich auch mit dem Start der elektronischen Patientenakte noch nicht geändert. Dabei sind diese veralteten Methoden alles andere als sicher. So kann es relativ schnell passieren, dass Faxe, CDs und E­Mails nicht den gewünsch­ ten Empfänger erreichen. Dies kann zu Datendiebstahl, ­missbrauch und Datenverlust führen. Elektronische Patientenakte – die Lösung für Datensicherheit im Klinikalltag? Durch die Einführung der elektronischen Patientenakte werden Pati­ entendaten inzwischen schon elektronisch erfasst – mit dem Ziel, dass Informationen auf diese Weise besser verfügbar sind und einfacher be­ schafft sowie weitergegeben werden können. Doch auch die elektronische Speicherung sensibler Patientendaten kann problematisch sein – dann nämlich, wenn die Cybersicherheit nicht ge­ wisse Standards erfüllt. Aus diesem Grund definiert der branchenspezifi­ 26 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS sche Sicherheitsstandard B3S Richtlinien für die IT­Sicherheitsstrukturen im Gesundheitswesen. Zu den Anforderungen, die Organisationen in diesem Bereich erfüllen müssen, gehören die Verfügbarkeit des IT­Sys­tems, die Integrität der Daten, die Authentizität und Vertraulichkeit der Informationen sowie der Schutz vor der Preisgabe von Informationen. Ob die elektronische Patientenakte diesen Anforderungen gerecht werden kann, wird auch heute, zwei Jahre nach ihrer Einführung, immer wieder diskutiert. Um also sensible Daten bestmöglich vor unbefugten Zugriffen schützen zu können und den erforderlichen Standards zu entsprechen, wird in Kli­niken eine professionelle, digitale Lösung benötigt, bei der Informationen verschlüsselt sind und nur Zugriffsberechtigten zur Verfügung stehen. Zudem muss eine sichere Dateiübertragung gewährleistet sein – sowohl intern als auch mit externen Partnern.Worauf es bei einer Digital-Workplace-Lösung für den Klinikalltag ankommtBei der Auswahl einer passenden Lösung stehen Verantwortliche in Kli­niken vor diversen Herausforderungen. Neben den branchenspezifischen und individuellen Bedingungen gilt es, auch die gesetzlichen Anforderun­Bild: ipopba - stock.adobe.com

Digitale Sensibilisierung Der Faktor Mensch in der Cybersicherheit: Mitarbeitersensibilisierung im Gesundheitssektor Dennis Schünke und Christoph Schultejans, CSX Academy GmbH Das Fundament einer erfolgreichen Digitali- sierung: der Mensch In der digitalen Transformation steht der Gesundheitssektor vor der Herausforderung, Kosten durch digitale Lösungen zu reduzieren und zugleich die Informations- und IT-Sicherheit zu gewährleisten. Für den Erfolg der Umsetzung steht nicht die Software allein, sondern das Personal im Fokus. Konfrontiert mit der Einführung neuer Technik, Prozesse und Anforderungen ist die Sensibilisie- rung essenziell — trotz Schichtbetrieb. Sensibilisierung ist gesetzliche Pflicht Kein Nice-to-have, sondern regulatorische Anforderung. Die DS- GVO und die KRITIS-Verordnung bzw. der branchenspezifische Sicherheitsstandard (B3S) für die Gesundheitsversorgung for- dern Nachweise für entsprechende Sensibilisierungen in Praxen und Krankenhäusern — andernfalls drohen rechtliche Konse- quenzen. Digital für digitale Risiken schulen Ungeachtet aller technischen Sicherheitsvorkehrungen steht die Mitarbeitersensibilisierung weiterhin im Vordergrund. Präsenzvorträge sind im Krankenhausalltag keine wirtschaft- liche Option. Zudem können analoge Schulungen nur einge- schränkt authentisch auf Cyberrisiken vorbereiten. 28 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Mitarbeitende müssen mögliche Datenschutzverstöße und digitale Risiken wie Phishingmails erkennen können. Gefordert sind Partizipation und Interaktion anstelle passiv rezipierter Vorträge und Videos.Sensibilisierungen für Datenschutz und Cyber Security haben erst eine hohe User-Akzeptanz, wenn sich die Mitarbeitenden in den Lerninhalten wiederfinden und spielerisch ihre Kennt-nisse und Fähigkeiten weiterentwickeln: am Stationsarbeits-platz, bei der Visite im Mehrbettzimmer, am Telefon oder beim Bearbeiten eines virtuellen Posteingangs in der Patienten-verwaltung. Online-Trainings sind deutlich wirtschaftlicherEs kommt beim Lernen nicht auf die Dauer, sondern auf die Qualität an. In einem Sektor mit ohnehin wenig Zeitressour-cen ist ein ausgewogenes Verhältnis von Schulungsumfang und -wirkung zu finden. Ein modular aufgebautes, digitales Training über eine halbe Stunde kann mehr erreichen als ein einstündiger Präsenzvortrag. Ergänzende Maßnahmen wie Phishingsimula-tionen können die Wirksamkeit verstärken.Eine digitale Schulung muss keineswegs an den IT-Arbeitsplatz im Krankenhaus gebunden sein. Unsere Trainings können von überall per Browser über Notebook, Smartphone oder Tablet bearbeiten werden.– ADVERTORIAL –

– ADVERTORIAL – Vertraue niemandem! Zero Trust: Unverzichtbar für alle Accessverfahren Unsere IT­Infrastrukturen unterliegen starken Veränderungs­ Remote Access sollte nicht ausschließlich unter den Aspekten Homeoffice und Anbindung privater PCs an die Krankenhaus­IT betrachtet werden. Leistungsfähige Remote­Access­Plattformen ermöglichen die Ad­hoc­Be­ reitstellung geschützter Zugänge, beispielsweise für externe Dienstleister, verbundene Einrichtungen oder zur Einholung von Expertisen. prozessen. Klassische LAN-Ausprägungen mit definiertem Perimeter wurden durch die Bereitstellung zahlreicher Homeoffice-Arbeitsplätze aufgebrochen. Die Nutzung internetbasierter Dienste wie Cloud­Services, Webmeetings und mehr nimmt beständig zu. Mobile, vernetzte Endgeräte, Smartphones und Tablets revolutionieren das Gesundheitswesen und werden zum Standard für Kommunikation, Dia­ gnostik und mobilen Zugriff auf Daten und Anwendungen. Alle diese Entwicklungen haben eines gemeinsam: Sie vergrößern die An­ griffspunkte und erfordern starke Schutzmaßnahmen, damit sich Unbe­ fugte keinen Zugang zu Krankenhausnetzwerken verschaffen können. Das Zero­Trust­Konzept verfolgt dabei den Ansatz, dass Organisationen weder ihren Mitarbeitern, Kunden, Partnern noch den Anwendungen ohne entsprechende Überprüfung vertrauen. Als wesentliche Bestandteile einer Zero­Trust­Architektur gelten die Au­ thentifizierung der Endgeräte, die Identitätsprüfung des Nutzers sowie der dynamisch regelbare und einschränkbare Zugriff auf Ressourcen. Zero Trust Remote Access COVID­19 hat gezeigt, wie wichtig die Aufrechthaltung einer Business Continuity ist. Viele Einrichtungen und Organisationen mussten improvi­ sieren, um ihren Beschäftigten die geforderten Homeoffice-Arbeitsplätze zu ermöglichen. Durch die damit verbundene zwangsläufige Öffnung des Perimeters mit vielen unkontrollierbaren Endpunkten ergaben sich viele neue Angriffsflächen. 30 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Dabei unterstützen sie den Zugriff via nativer App oder installationsfrei­ em HTML5-Client. Zwei-Faktor- oder Multi-Faktor-Authentifizierung mit RADIUS­Anbindung sorgen dafür, dass die Zugangs berechtigungen durch mehrere unabhängige Merkmale überprüft werden. Unsere Remote­ Access­Lösungen arbeiten VPN­los und erlauben feingranular bestimm­ bare Zugriffe auf zentrale oder cloudbasierte Anwendungen. Eine effiziente Protokollbeschleunigung ermöglicht die verlustfreie Remote- Betrachtung bildgebender Befunddaten. Mehr über unsere Remote-Access-Technologien erfahren Sie unter https://www.giritech.de/zt-remote-access Zero Trust mobile collaboration Die sichere Anbindung von Smartphones und Tablets an die Kommunika­ tion, den Datenaustausch und deren Zugriff auf eine zentrale Anwendung ist eine Herausforderung. Die krankenhausinterne Kommunikation, der Datenabgleich mit exter­ nen Leistungserbringern und Belegärzten, erfordert einen zuverlässigen, schnellen und sicheren Informationsaustausch. Dabei gilt es, die höchst Bild: ArtemisDiana - stock.adobe.com

– ADVERTORIAL – PC-Prophylaxe: Wie Krankenhäuser ihre Netzwerke sichern können Wenn ein Virus den heimischen Rechner infiziert, ist das zugegeben ärgerlich. Wird aber das Netzwerk eines Krankenhauses attackiert, geht es an die kritische Infrastruktur und es kann schlimmstenfalls lebensbedrohliche Folgen haben. Deshalb brauchen Kliniken und Klinikverbünde eine engmaschige Kontrolle ihrer verteilten Client-Landschaft – möglich ist dies durch eine Software für Unified-Endpoint-Management (UEM). A n großen Universitätskliniken gibt es nicht selten Tau­ sende von PCs und Notebooks, verteilt über alle Kliniken und Verwaltungseinheiten – viele davon, soweit fachlich möglich, inzwischen auch im Homeoffice. Auf ihnen laufen Standard-Of­ fice-Tools, ERP-, Finanz- und Personalanwendungen, Krankenhausinfor­ mationssysteme, Röntgensoftware und vieles mehr – oftmals sehr kom­ plexe Programme. Sie müssen ständig auf dem aktuellen Stand gehalten und mit Updates und Patches versehen werden, damit Sicherheitslücken erst gar nicht entstehen. Ransomware, Schwachstellen und offene/falsch konfigurierte Online-Ser­ ver gehören laut BSI zu den Top­Bedrohungen. Jederzeit mit dem Internet verbundene Endgeräte und veraltete Software­ und Betriebssystemversi­ onen öffnen Schadsoftware Tor und Tür. Hinzu kommt der Faktor Mensch in Form von hoher Personalfluktuation und fehlenden Fachkräften. Security Orchestration, Automation and Response Mit der klassischen Turnschuh­Administration ist es für das IT­Personal ei­ nes Krankenhauses nicht mehr zu schaffen, einen vollständigen Überblick zu bekommen und jederzeit alles aktuell zu halten. Einzig eine moderne Cybersicherheitsarchitektur kann dem entgegenwirken. Konkret sind zen­ trale Unified-Endpoint-Management-Lösungen das Mittel der Wahl, um Endgeräte zu jeder Zeit mit dem höchsten Maß an Sorgfalt „sauber“ (also sicher) zu halten. Aufgaben der Security Orchestration, Automation and Response, kurz SOAR, lassen sich damit gebündelt abarbeiten. UEM­Plattformen verschaffen die notwendige Übersicht, können Soft­ ware punktgenau und gebündelt aktualisieren und sparen der IT­Abtei­ lung dadurch viel Aufwand und Zeit. Der UEM­Spezialist Aagon hat in den letzten Jahren eine Reihe von Krankenhäusern mit seiner ACMP Suite aus­ gestattet, die damit ihre IT­Sicherheit massiv verbessern konnten. 32 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Arbeitsgrundlage jedes IT-Administrators IT­Fachleute brauchen in einer UEM­Lösung vor allem zwei Essentials: zum einen eine intuitive Abfrageverwaltung, die per Mausklick auf einen Blick preisgibt, wie viele Arbeitsplätze mit welcher Ausstattung am Netz­ werk registriert sind. Eigentlich eine Selbstverständlichkeit, aber trotzdem muss man bei manchen Anbietern dafür erst den Support bitten, entspre­ chende Abfragen per SQL­Skript zu starten. Wichtig ist außerdem eine leistungsfähige Skriptierungs­Engine, mit der man sich Softwareskripte in einer großen Vielfalt per Drag­and­drop und nachvollziehbar zusammen­ stellen kann. Clients erhalten automatisch alle Sicherheitspatches Eine leistungsstarke Lösung wie etwa die ACMP Suite verbindet sich mit allen Clients im Netzwerk. Sie ist modulartig aufgebaut und vereint alle Security-Tools unter einer Oberfläche. Module für Inventarisierung, Lizenz­ und Asset­Management eruieren als Grundlage den Istbestand. Anschließend übernimmt das Modul Desktop Automation als Herzstück der Plattform die automatisierte Softwareverteilung. Dies funktioniert bei Aagon nicht mehr über Skripte oder unübersichtliche Gruppenrichtlinien, sondern mittels sogenannter Client Commands – Routinen, über die sich detaillierte Parameter vorgeben lassen, wie die Installation im Einzelnen aussehen soll. Die IT­Abteilung kann dynamisch Gerätegruppen zusammenfassen und automatisiert mit dedizierten Softwarepaketen bespielen. Wird etwa eine Gruppe „SAP in Version xy“ eingerichtet, sucht das System alle PCs, die genau diese SAP-Konfiguration aufweisen. Wird das System vom PC deinstalliert oder erhält nur dieser eine neuere Version, eliminiert das Cli­ ent Management ihn automatisch aus der Gruppe. Dadurch bietet sich der IT­Abteilung die Möglichkeit, alle PCs schnell und einfach mit Software zu bespielen. Bild: iStock.com/Panuwat Sikham

Aufbau einer gehärteten IT-Security-Infrastruktur Case Study: indevis unterstützt Klinikum Lippe nach Cyberangriff Im November 2022 wurde das Klinikum Lippe Opfer eines Cyberangriffs einer internationalen Hackergruppe. Die Angreifer verschlüsselten Daten und legten große Teile der IT-Infrastruktur lahm. Der Klinikverbund mit etwa 2.800 Mitarbeitern und drei Standorten in Westfalen war zeitweise nur noch per Telefon oder Fax erreichbar. indevis unterstützte das Klinikum zusam- men mit weiteren Akteuren bei der Eindämmung der Cyberattacke und arbeitet am Aufbau einer neuen, gehärteten Security-Infrastruktur. Das Klinikum Lippe gehört mit den drei Standorten Det­ mold, Lemgo und Bad Salzuflen sowie rund 2.800 Mit­ arbeitern zu den größten kommunalen Krankenhäusern Deutschlands. Zudem ist es auch Teil des Universitätsklinikums OWL (Ost­ westfalen­Lippe) der Universität Bielefeld. Als kritische Infrastruktur un­ terliegt das Klinikum Lippe den KRITIS­Bestimmungen des Bundesamts für Sicherheit­ und Informationstechnik (BSI) in Bezug auf Cybersicherheit. Trotz sehr guter vorhandener Schutzmaßnahmen griff eine international organisierte Hackergruppe den Klinikverbund am 17. November 2022 er­ folgreich an und legte alle drei Standorte lahm. Klinikum holt sich Unterstützung von indevis Als Mitarbeiter des Klinikums Lippe die Cyberattacke bemerkten, zogen sie unmittelbar die Experten von indevis hinzu. Zu diesem Zeitpunkt be­ stand noch keine weitreichende vertragliche Zusammenarbeit mit dem Managed Security Service Provider (MSSP) aus München. Wohl aber gab es losen Security­Consulting­Kontakt: Bereits im Vorfeld hatte indevis ein Proof­of­Concept (POC) im Klinikum Lippe gestartet, um Optionen zur 34 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Verbesserung der Cybersicherheit aufzuzeigen. Die getestete Endpoint­ Security­Lösung konnte nach Bekanntwerden des Angriffs schnell mithilfe von Testlizenzen skalieren und zur Begrenzung der Cyberattacke einge­ setzt werden. Zudem kannte der stellvertretende CIO Infrastruktur des Klinikums Lippe indevis bereits aus früheren gemeinsamen Projekten und war von der Kompetenz des indevis­Teams überzeugt. Noch am Tag des Angriffs schalteten sich die indevis­Experten remote zu, um den Angriff zurückzudrängen und waren bereits am Tag nach der Attacke vor Ort. Dank des eigenen breiten Netzwerks von strategischen Partnern konnte indevis auch sofort den Forensik­Spezialisten Grand Thornton als BSI-zertifizierten Advanced Persistent Threat Responder (APT­Responder) mit ins Boot holen. Schadensbegrenzung nach der Attacke In der unmittelbaren Cyber Incident Response identifizierte indevis konta­ minierte Subnetze und isolierte diese, um weiteres Vordringen der Hacker zu verhindern. Die digitale Kommunikation des Klinikverbunds wurde Bild: ArtemisDiana - stock.adobe.com– ADVERTORIAL –

– ADVERTORIAL – Medizingeräte – die unterschätzte Gefahr Wenn Cyber-Security auf Patientensicherheit trifft Autor: Carsten Fehler W ährend es vor 12 bis 24 Monaten noch nötig war, Krankenhäu­ ser über die Notwendigkeit von Cyber­Security zu evangeli­ sieren, stellt man heute fest, dass die Sensibilisierung gewirkt hat: Immer mehr Health­CIOs kommen mit uns zu strategischen Security­Themen und ­Projekten ins Gespräch. Nicht nur die verschärfte Rechtslage bewegt Entscheider dazu, über eine betreute IT­Sicherheit nachzudenken, auch das weltweit gestiegene Bedrohungsszenario sorgt bei vielen für ein erhöhtes Risikobewusstsein. Cyberkriminelle agieren längst nicht mehr nach dem Zufallsprinzip ohne Organisation. Das Geschäftsmodell der Hackangriffe hat eine grundlegende Professionalisierung erfahren: Einige Hackerorganisationen haben sich durch Spezialisierung auf die Entwick­ lung von Malware fokussiert, während andere sich „vertrieblich“ um die gezielte Akquisition von Opfern mittels verschiedener Angriffsvektoren bemühen. In solchen Organisationen finden sich – wie in „echten Unter- nehmen“ – teilweise sogar HR­ und Support­Prozesse wieder. Diese Situation hat die IT­Abteilungen dazu bewegt, sich mit spezialisierten Partnern in der Managed Security stärker aufzustellen. Mit einer verwalteten MIoT­Security werden potenziell bedrohte Geräte identifiziert. Neben dem Schließen von Sicherheitslücken, wenn Patches verfügbar sind, stehen in der Netzwerksegmentierung weitreichende Möglichkeiten zur Verfügung, um jegliche Risiken für Datenabfluss und Manipulation zu verringern. Wir haben einen Service auf Krankenhäuser zugeschnitten, der IT und Medi­ zintechnik bei dem sicheren Betrieb von Medizingeräten aktiv unterstützt. Denn bei Medizintechnik ist Cyber-Security mehr als eine lästige Pflicht – diese ist die Voraussetzung für eine sichere Patientenversorgung. n Beim Einstieg in eine betreute Cybersicherheit ist für die meisten die User Awareness der schnellste und effektivste Weg. Die kurzfristige positive Auswirkung auf die PPP – Phish­Prone­Percentage – die Wahrscheinlich­ keit in einer Organisation, mit der Nutzer auf eine Phishing­E­Mail rein­ fallen – bestärkt IT­Leitungen in ihrer Entscheidung, die Aufmerksamkeit der Belegschaft zu schärfen und sie zu „Human Firewalls“ auszubilden. Bei weiteren Häusern kommen auch weitreichendere Managed Services zum Einsatz: Für die kontinuierliche Überwachung und die Behandlung von Sicherheitslücken führen wir Lösungen für das Schwachstellenmana­ gement ein. Für die Echtzeitüberwachung und die Analyse von Angriffen und Ausfällen findet das schon bald verpflichtende Frühwarnsystem SIEM seinen disruptiven Einsatz. Was ist denn nun mit Medizingeräten? Bei Gesprächen mit CIOs und den Security­Experten in unserem SOC stellen wir fest, dass eine Disziplin noch sehr wenig Beachtung erhält: Medical­Internet­of­Things­(MIoT­)Security oder einfacher gesagt, die nachhaltige Absicherung von vernetzten Medizingeräten. Medizingeräte werden unter anderem vom Medizinproduktegesetz ge­ regelt. Durch den Dokumentationsaufwand in den Produktionsprozes­ sen sowie die Nutzung von Embedded­Systemen, sind Updatevorgän­ ge bei den Herstellern nicht so schnell durchführbar wie bei klassischer Software. Auch die Abhängigkeit von bestimmten Betriebssystemen erschwert das Schließen von Sicherheitslücken. Dem gegenüber steht der Einsatzzweck von Medizintechnik und den damit verbundenen Risiken: Diese Geräte kommen nicht nur mit hochsensiblen Patientendaten in Be­ rührung, sondern können bei Fehlkonfiguration, Manipulation oder Aus­ fall eine große Bedrohung für die Patientensicherheit darstellen. 36 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Kontakt: März Internetwork Services AG info@maerz-network.de +49 201/87244-50 www.maerz-network.de ƒ6,2 Schwachstellen pro Medizingerät ƒ40 Prozent der Medizingeräte sind bei End-of-Life und bald ohne Sicherheitsupdates(Quelle: FBI Cyber Division, 09/2022) ƒVon 2020➡2021 ein Zuwachs von 14,5 Prozent an vernetzten Medizingeräten. ƒ30 Prozent aller Geräte hatten bis zu zwei kritischen Schwachstellen(Quelle: MEDIGATE by Claroty, Partner der März Managed Security)Bei MIoT-Security müssen IT und Medizintechnik zusammen arbeiten

Die drei Säulen für sicheren Fernsupport im Gesundheitswesen Ein leistungsfähiger IT-Fernsupport ist im Bereich Healthcare längst alternativlos. Aber: Im Spannungsfeld von Digitalisierung, gesetzlichen Vorschriften und dem Wohl der Patientin- nen und Patienten ist es für die IT nicht einfach, die richtige Lösung für den Fernsupport komplexer Anwendungen und Geräte zu finden. Die Fernsupport-Experten von Rescue diskutieren hier die drei wesentlichen Säulen eines leistungsstarken Fern supports im Ge- sundheitswesen und zeigen, welche Faktoren IT-Verantwortliche bei der Wahl des richtigen Produkts berücksichtigen können, um die bestmögliche Lösung zu finden. B eim Fernsupport im Gesundheitswesen geht es um die schnelle und reibungslose Unterstützung aller Geräte und medizinischen Apparate von Mitarbeitenden und Patien­ ten. Hier sind einfache Bedienung, vorschriftskonforme Sicherheit sowie Möglichkeiten zur flexiblen Verwaltung die entscheidenden Größen für IT­Teams. Im Einzelnen heißt das: Ein leistungsfähiger Fernsupport muss schnellen und unkomplizierten Ad­hoc­Support für alle Geräte bieten. Sie müssen eine Verbindung zu anderen Geräten in Sekundenschnelle herstellen kön­ nen und alles, was Sie zur Fehlerbehebung benötigen, direkt parat haben. Schließlich sollte das Administrationscenter der Fernsupport­Lösung aus­ reichende Konfigurationsmöglichkeiten für Techniker, Administratoren und Master­Administratoren bieten. So kann sichergestellt werden, dass alle Teilnehmenden jeweils nur den Zugriff haben, den sie benötigen, und dass Ihr Unternehmen sämtliche gesetzlichen Vorgaben einhalten kann. Bei Rescue bieten wir eine breite Palette von Konfigurationsmöglichkei­ ten, um die individuellen Anforderungen jedes einzelnen Unternehmens abbilden zu können. Das heißt: Bedienbarkeit, Sicherheit, Verwaltung – genau wie Sie es brauchen. Sehen wir uns die Voraussetzungen dafür genauer an. Die zweite Anforderung: Ihre Fernsupport­Lösung sollte lückenlose Sicher heit bieten. Dank vordefinierter DS-GVO-konformer Einstellungen, TLS 1.2 (Transport Layer Security) und 256­Bit­AES­Verschlüsselung, die zum Beispiel auch von Regierungen eingesetzt wird, sind Verbindungen absolut sicher. Zwei-Faktor-Authentifizierung macht den Diebstahl von Zugangsdaten quasi unmöglich. Erstens: So geht einfache und schnelle Bedienbarkeit Ein plattformübergreifender Support leistet Hilfe für beliebige Mobilge­ räte oder Computer/Betriebssysteme (PC, Mac, iOS und Android) und User können unkompliziert eine Remote­Sitzung aufbauen. Im Idealfall bietet die Lösung mehrere Verbindungsmethoden an. Vorkonfigurierte Integra­ 38 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Bild: iStock.com/sturti– ADVERTORIAL –

– ADVERTORIAL – Man kann sich nur gegen das verteidigen, was man sieht Die IT-Sicherheit in Krankenhäusern benötigt den Blick auf Netzwerk und Endpunkte. Regelmäßige Attacken auf Krankenhäuser belegen, dass Cyberkriminelle in ihnen ein lohnendes Angriffsziel sehen. Viele Betreiber müssen erst die Grundlagen einer zeitgemäßen IT-Sicherheit legen und ihre IT-Infrastruktur umfassend überwachen. K rankenhäuser wiegen sich in IT­Sicherheit, aber ihre EDV ist verletz­ lich. Gerade im Gesundheitswesen mangelt es an Personal­ und IT­ Ressourcen, um potenziell gefährliche Attacken rechtzeitig kommen zu sehen. Der allgemeine Mangel an IT-Sicherheitsfachpersonal und der finan­ zielle Druck auf Kliniken durch steigende Energiekosten lässt befürchten, dass Abhilfe nicht zu erwarten ist. Falsche Sicherheit Viele Entscheider wiegen sich zudem in einer falschen Sicherheit, dass me­ dizinische Geräte der Operational Technology (OT) schwierig anzugreifen seien. Diese sind aber gar nicht das Ziel. Hacker haben andere Prioritäten. Schon die herkömmliche EDV anzugreifen, genügt für ein wirksames Droh­ potenzial einer Ransomware­Lösegeldforderung: durch die Blockade des Krankenhausbetriebs oder durch das Offenlegen von Patientendaten. Häufig ist eine einfache Phishingmail an einen Mitarbeiter Auftakt für kom­ plexe und langwierige Attacken. Deshalb benötigt die IT im Gesundheits­ wesen umfassende, aber zugleich handhabbare IT­Sicherheitstechnologien und externe Hilfe. Fortschrittliche Technologien sind mittlerweile innerhalb der Reichweite kleiner IT­Budgets. ƒ Eine Network Detection and Response (NDR) zum KI- und ML-ge- steuerten Überwachen des Netzwerkdatenverkehrs: Sie analysiert den externen und internen Datenverkehr und definiert innerhalb kurzer Zeit ein Modell des normalen Datenverkehrs im Unter­ nehmensnetz. Davon abweichendes Verhalten deutet auf einen Angriff hin. Eine NDR alarmiert die IT, um Abwehrmaßnahmen durch EDR oder Firewall zu veranlassen. Sie analysiert Angriffe für die Prävention von Folgeangriffen. Mehr dazu unter: https://www.forenova.com/de/novacommand ƒ Eine Endpoint Detection and Response (EDR), die auf dem End- punkt die Ausführung gefährlicher Angriffe verhindert: Eine solche ebenfalls KI­gestützte Lösung ergänzt die NDR um den Schutz an zentral verwalteten Endpunkten wie PCs, Notebooks, virtuel­ len Instanzen, Servern oder Cloud­Servern. EDR und NDR tauschen ihre Informationen untereinander aus. Die komplexen Angriffe der Gegen­ wart erfordern die Kombination beider Ansätze. Mehr dazu unter https://www.forenova.com/de/novaguard Abbildung 2: Übersicht des Sicherheitszustandes eines Endpunktes durch ForeNova NovaGuard. ƒ Externe Hilfe durch Managed Detection and Response (MDR): Kleine IT­Teams sind kompetenz­ und ressourcentechnisch oft schon mit der Abwehr kleiner Angriffe überfordert. Die Prävention fällt ange­ sichts anderer Aufgaben oft von vornherein unter den Tisch. IT­Verant­ wortliche benötigen deshalb die Expertise und die Ressourcen externer Cybersicherheitsanalysten in einem Security Operation Center (SOC) – als kontinuierlichen Dienst, im Rahmen einer einmaligen Analyse des Sicherheitsstatus oder zur akuten Hilfe bei einem laufenden Angriff. Mehr dazu unter https://www.forenova.com/de/securityservices Wirksame Hilfe durch NDR, EDR und MDR basiert im Sinne der DS­GVO lediglich auf Metadaten des Datenverkehrs und greift nicht in bestehen­ de Abläufe ein. Die Daten zur Analyse liegen bei ForeNova daher in einem eigenen Rechenzentrum in Frankfurt am Main. n Kontakt: Thomas Krause Regional Director DACH Mail: Thomas.Krause@forenova.com Telefon: +31 20 700 8895 www.forenova.com ForeNova Technologies B.V. Kingsfordweg 151 1043GR Amsterdam Netherlands Abbildung 1: Vorgänge im externen und internen Datenverkehr auf einen Blick. ForeNova NovaCommand. 40 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS

– ADVERTORIAL – Business Continuity Informations sicherheit: Aufrechterhaltung des Betriebs ist von zentraler Bedeutung Was haben das Städtische Klinikum Wolfenbüttel, die Uniklinika Düsseldorf und Aachen, die Kliniken Friedrichshafen und Tettn­ ang oder auch die Urologische Klinik München­Planegg gemeinsam? Wie viele weitere Leistungserbringer wurden sie zu Opfern von Cyberkrimina­ lität. Eine Studie von Check Point Research aus 2021 zeigte eine Zunah­ me der Cyberangriffe auf deutsche Krankenhäuser um 220 Prozent. Vor diesem Bedrohungshintergrund stehen Krankenhäuser vor der Aufgabe, Risiken zu managen, Compliance zu erfüllen – und sich gegen Schäden zu versichern. Den Rahmen schaffen IT­Sicherheitsgesetz, KRITIS und B3S sowie künftig wohl der Digital Operational Resilience Act (DORA, bislang in Kraft für die Finanz­ und Versicherungswirtschaft). Neben der Gefahr für Leib und Leben von Patienten zählt die Beeinträch­ tigung des Betriebs zu den wichtigsten Folgen – bis hin zu stillstehen­ den OPs, den Haupteinnahmequellen für Krankenhäuser. So waren laut einer Befragung durch Roland Berger bei zwei Dritteln der „erfolgreichen“ Angriffe anschließend temporäre Systemausfälle zu beklagen. Auch die Cyberversicherer sehen hier die wichtigsten Effekte: Kostentreiber bei den Policen sind insbesondere Betriebsausfall und Datenwiederherstellung, sagt ein Produktmanager für Cyberversicherung bei Ecclesia. Zur Risikoer­ mittlung dienen Kriterienkataloge, in die Versicherer technisch­organisa­ torische Maßnahmen ebenso einbringen wie Backup­Strategien. Den Weiterbetrieb gewährleisten Eine kostengünstige, unaufwendige und alltagstaugliche Lösung zur Aufrechterhaltung des Betriebs kommt von healthcare consulting (hcc) nahe München. „Werfen wir einen Blick auf die OPs“, schlägt Joachim Mollin als Beispiel vor. „Ihre Nutzung setzt IT voraus – ersatzweise einen enorm produktivitätsmindernden Einsatz von Papier und die Nachar­ beitung der Interimsdokumentation ab IT­Wiederverfügbarkeit“, so der hcc­Geschäftsführer. Was lässt sich im Fall eines Ausfalls tun, um den 42 SPECIAL_1/2023 IT-SICHERHEIT IM KRANKENHAUS Weiterbetrieb der Patientenversorgung sicherzustellen – in den OPs und sämtlichen anderen Abteilungen? Ein Ausfall­KIS (Krankenhausinformati­ onssystem) bietet die Antwort auf diese geschäftskritische Frage. Mollin beschreibt den Ansatz von TwinKIS: Beginnend mit der Patienten­ aufnahme wird während der Behandlung jedes Element der Dokumenta­ tion zu jedem Patienten per HL7­Kommunikation an das Open­Source­ KIS myCare2x weitergereicht und dort gespeichert. Über Push oder Pull gelangen Dokumente zu Aufklärung, Diagnosen, Laborberichte und weitere relevante Patienteninformationen in das Parallelsystem vor Ort beziehungsweise in der Cloud. Den sicheren Einsatz in der Cloud ermög­ licht Web­Technologie; die Datenbank wird verschlüsselt, der Transfer geschieht über https. In einem Bedrohungsfall stehen die Patienteninformationen über das TwinKIS für den berechtigten Zugriff zur Verfügung. Nach Entlassung – erkennbar durch die ADT­Entlassmitteilung (ADT: Admission, Discharge, Transfer, also Aufnahme, Entlassung und Verlegung) – wird innerhalb einer abgestimmten Sicherheitsfrist die gespeicherte Dokumentation au­ tomatisch gelöscht. Die Pufferung der angefallenen Daten erleichtert den Neustart des Bestands­KIS. „Die Aufmerksamkeit für unsere Lösung ist hoch“, freut sich Joachim Mollin. „Für ein überschaubares Budget und geringen eigenen Aufwand erhalten Krankenhäuser mit TwinKIS eine Lösung, die ihren Weiterbetrieb sichert.“ n www.TwinKIS.de Bild: RioPatuca Images - stock.adobe.com

Rescue, von GoTo. Fernsupport leicht gemacht.