Datensicherheit -

Herausforderung auf mehreren Ebenen IT-Sicherheit im digitalen Gesundheitswesen

Mit Inkrafttreten der EU DSGVO am 25. Mai 2018 verschärfen sich die Anforderungen an die Datenverarbeitung und Speicherung weiter. Trotzdem sollen Informationen zwecks medizinischer Versorgung immer schnell verfügbar sein, v.a. in einem digitaler werdenden Gesundheitssystem eine Mammutaufgabe. Wie man dieser schrittweise in Abstimmung mit eigener Digitalisierungsstrategie entgegen gehen kann, erklärt Stephan von Gündell-Krohne, Director DACH bei ForeScout Technologies.

Themenseiten: Datensicherheit und Digitalisierung

Das Thema Digitalisierung stellt neue Anforderungen an den Healthcare-Sektor. Personal und Patienten möchten einerseits von den Vorteilen neuer Innovation profitieren, anderseits die vernetzte Welt jede Menge neue Ansprüche an das Thema Sicherheit und Datenschutz. In jedem Fall wächst der Druck zur Modernisierung, da Internetriesen wie Google und Microsoft bereits seit Jahren auf den Healthcare-Markt drängen und jetzt auch ein Auge auf Deutschland geworfen haben. Auch das Beispiel Telemedizin greift hier. Früher oder später werden Patienten und Angestellte die bessere Nutzerfreundlichkeit und weitere Vorteile als Standard voraussetzen. Werden Organisationen diesen Erwartungen nicht gerecht, droht der Verlust von Marktanteilen. Darum sollten IT-Entscheider schon jetzt damit auseinandersetzen und dies mit anderen Herausforderungen verbinden. Besonders wichtige Punkte sind dabei das Thema Cloudmigration, Internet der Dinge (IoT), Compliance und IT-Sicherheit.

Vorsicht virtuelle Kommunikation

Wie schnell es dabei zu Problemen kommen kann, zeigte sich im Lukaskrankenhauses in Neuss. Die Folgen der Ransomware-Angriffe sorgten 2016 für Schlagzeilen, da man dort Patienten abweisen musste. Zwar waren andere Krankenhäuser ebenfalls betroffen, allerdings setzte man in Neuss besonders stark auf virtuelle Kommunikation und Vernetzung. Die Schutzmechanismen wurden an besonders vielen Stellen durchbrochen – Neuss wurde in den Medien zum Sinnbild der kritischen Sicherheitslage im Healthcare-Bereich. Um Sicherheit zu gewährleiste brauchen IT-Verantwortliche daher eine zentrale Lösung, die alle Endpunkte, Application und Netzwerksegmente umfasst. Gerade medizinische Spezialgeräte, Privatgeräte und virtuelle Maschinen werden häufig nicht abgesichert, obwohl es entsprechende Sicherheitsmechanismen gibt, deshalb muss der Ansatz speziell auf die Einrichtungen der Healthcare-Branche zugeschnitten sein. Gleichzeitig muss eine Sicherheitsstrategie dem Wohlergehen der Patienten höchste Priorität einräumen. Operationale Störungen bedeuten eine Gefahr für Leib und Leben.

Modernisierung geht nur mit dem richtigen Sicherheitskonzept

Mit Inkrafttreten der EU DSGVO am 25. Mai 2018 verschärfen sich die Anforderungen an die Datenverarbeitung und Speicherung noch weiter. Die Erfüllung digitaler Anforderungen unter dem Aspekt von Datensicherheit ist eine Mammutaufgabe. Daher macht es Sinn, diese in einzelne Schritte zu unterteilen und die eigene Digitalisierungsstrategie entsprechend abzustimmen. Um IT-Abteilungen nicht zu überlasten, sollten die Prozesse dabei durch entsprechende Tools automatisiert werden. Wichtige Schritte sind dabei:

  • Erkennung eines Endpunktes, sobald dieser sich mit dem Netzwerk verbindet: Sichtbarkeit ist die erste Grundlage für Sicherheit. Trotzdem wissen oftmals IT-Sicherheitsbeauftrage nicht, wie viele Geräte aktuell mit ihrem Netzwerk verbunden sind. In einem aktuellen Beispiel in einem Krankenhaus in Florida fand man über 30.000 Endpunkte verteilt über 25 Niederlassungen – 15 Prozent mehr als von der IT-Abteilung erwartet. Organisationen müssen aber in der Lage sein, jeden Endpunkt inklusive IoT und BYODzu erkennen.
  • Verwaltung der Endgeräte: Im nächsten Schritt müssen diese Devices gemanaged werden. Hier geht es darum, abgestimmte Sicherheitspolicies durchzusetzen und mögliche Gefahren zu mitigieren. Im Idealfall werden die erkannten Geräte nach Typ und Verwendungszweck umgehend in VLANs segmentiert. Zudem sollten sie Compliance-Prüfungen unterzogen werden. Mögliche Punkte sind hierbei beispielsweise das Patch-Management der installierten Software, das Vorhandensein von Agenten zur Datenverschlüsselung oder Virenabwehr.
  • Der letzte Schritt ist die Orchestrierung: Hier geht es um die Sicherstellung der Arbeitsfähigkeit von Angestellten und Geräten. Besonders in der Medizin-Branche kommt eine weitere Schwierigkeit hinzu: Bei mitunter (über-) lebenswichtigen Geräten wäre ein Ausfall der Netzwerkfunktionalität fatal. Allerdings können auch medizinische IoT-Geräte innerhalb kürzester Zeit gehackt werden und somit ein Risiko für das gesamte Netzwerk darstellen. Daher sind die Isolation von Devices oder Terminierung von Prozessen wie beim Thema Ransomware ebenfalls Teil der möglichen Maßnahmen sein, die automatisch zur Abwehr von Gefahren umgesetzt werden sollten.
 

Durch die konsequente Umsetzung dieser drei Schritte schaffen Organisationen wichtige Grundlagen, um neue Innovation umgehend integrieren zu können. Dies ist entscheidend, um auf sich wandelnden Anforderungen reagieren zu können. Außerdem erlaubt die flexible Anpassung der Richtlinien eine sichere Umsetzung von rechtlichen Vorgaben wie der DSGVO; aber auch Branchenstandards wie HIPAA (Health Insurance Portability and Accountability Act) können umgesetzt werden. 

Wenn die Born Digitals kommen müssen Einrichtungen bereits sein 

Es ist wahrscheinlich, dass der Gesundheitssektor in Zukunft sich verstärkt mit dem Thema disruptive Technologe auseinandersetzen wird. Genau wie Amazon den Einzelhandel, AirBnB die Hotelbranche oder Facebook die Presselandschaft verändert, werden andere Born Digitals auf den Healthcare-Sektor stürmen. Momentan scheint dies noch befremdlich, allerdings ist es genau diese versteckte Dynamik, die die schnelle Umkrempelung von ganzen Branchen ausmacht.  

Trotz der ersten Anzeichen wie beim Thema Telemedizin ist die Herausforderung für alle Akteure in der Gesundheitsbranche ungleich schwerer. Gerade in Deutschland wird es noch einige Zeit dauern, bis ein neuer Rechtsrahmen für digitale Angebote stellt. Gleichzeitig gibt es aber gute Möglichkeiten, wie Organisationen von den Vorteilen der Digitalisierung profitieren können. Die wichtigste Grundlage, um solche neuen Innovationen implementieren zu können, ist eine passende Sicherheitsplattform, auf deren Basis Einrichtungen dann neue Technologien und Vernetzungsprozesse steuern können. Nur so lassen sich die zunehmende Anzahl an Endpunkten, die wachsende Virtualisierung, neue Compliance-Anforderungen, die wachsende Bedrohung durch Cyberattacken und veränderte Marktsituation meistern – ohne IT-Abteilungen zu überlasten.

© hcm-magazin.de 2018 - Alle Rechte vorbehalten
Kommentare
Bitte melden Sie sich an, um Ihren Kommentar angeben zu können.
Login

* Pflichtfelder bitte ausfüllen