Abwehrkräfte stärken: Spital-IT braucht ganzheitlichen Schutz

In fast allen Lebensbereichen spielen IT-gestützte Systeme heutzutage eine Rolle. Dies gilt auch für sogenannte kritische Infrastrukturen, also Einrichtungen und Anlagen, deren Funk­tionieren für das Gemeinwesen von entscheidender Bedeutung ist. Dazu gehören Energie- und Wasserversorgung, Telekommunikation, aber auch das Gesundheitswesen und die zugrunde liegende Infrastruktur als Kernbereiche der unmittelbaren Daseinsvorsorge.

Die Digitalisierung stellt Betreiber von Versorgungseinrichtungen vor völlig neue Herausforderungen. Computerbasierte Steuerungssysteme machen sie zur potenziellen Zielscheibe für Cyberkriminelle. Malware-Attacken wie Stuxnet, Duqu und Flame haben das Bedrohungspotenzial in der Vergangenheit Realität werden lassen. Dabei werden die Angriffe immer zielgerichteter. Für die Industrie haben Produktionsausfälle, drohender Datenverlust und Industriespionage mitunter drastische Folgen. Ein Datenleck kann zur ernsthaften Bedrohung für den Geschäftserfolg werden. Ungleich alarmierender sind die Szena­rien, wenn versorgungskritische Infrastrukturen ins Visier von Hackern geraten.

Medizinische Einrichtungen wie Kliniken und Spitäler gehören zu den neuralgischen Punkten, an denen ein Gemeinwesen am verwundbarsten ist. Hinzu kommt, dass die Digitalisierung das Gesundheitswesen längst erfasst hat. Spitäler sind inzwischen vernetzte Unternehmen. Viele der klinikinternen Abläufe erfolgen computergestützt, wie etwa im Bereich des Arzneimittelmanagements. Prozesse können so effizienter gestaltet und die Gefahr von manuellen Fehlern oder Informationslücken verringert werden. Auch Zukunftsinitiativen wie das elektronische Patientendossier (EPD), dessen Umsetzung dieses Jahr mit Inkrafttreten des entsprechenden Bundesgesetzes in der Schweiz startet, haben das Potenzial, die Qualität der medizinischen Versorgung nachhaltig zu verbessern. Die elektronische Verwaltung von Patientendaten ermöglicht einen konsistenten Informationstransfer: Laborergebnisse, Röntgenaufnahmen oder Medikationslisten können digital gespeichert werden und sind somit ortsunabhängig für jeden behandelnden Arzt verfügbar – ein entscheidender Vorteil mit Blick auf die Patientensicherheit.

Spitäler im Visier von Cyberkriminellen

Die flächendeckende Digitalisierung der Gesundheitswirtschaft macht medizinische Infrastrukturen jedoch auch – und das ist die Kehrseite – zu einem lukrativen Ziel für Cyberkriminelle. Zurückhaltung aus ethischen Gründen sucht man hier vergebens. Malware, wie etwa Cryptolocker, kann die IT von Spitälern vollständig lahmlegen. Bei Angriffen mit sogenannter Ransomware verschafft sich die Schadsoftware meist als Mail-Anhang getarnt Zugang. Wird die Datei geöffnet, verschlüsselt die Malware sämtliche Daten und gibt diese erst gegen Zahlung eines Lösegelds wieder frei. Bis zu diesem Moment ist jeder Zugriff blockiert. Das kann fatale und mitunter lebensbedrohliche Folgen haben, wenn zum Beispiel der behandelnde Arzt nicht mehr auf Patientendaten zugreifen kann, um über Therapie und Medikation zu entscheiden.

Eine weitere Herausforderung ergibt sich aus der zunehmenden Vernetzung medizinischer Geräte. Moderne diagnostische Verfahren arbeiten digital. Die entsprechende Hardware, wie Röntgengeräte oder Computertomografen, ist internetfähig und kann Bilder und Untersuchungsergebnisse in Echtzeit übertragen. Dies hat enorme Vorteile für Diagnostik und Therapie. Gleichzeitig erfordert die Vernetzung der Geräte einen besonderen Schutz, um sie vor Manipulation und unberechtigtem Zugriff zu schützen.

Ganzheitlicher Endgeräteschutz

Um dies zu gewährleisten, ist eine mehrschichtige und ganzheitliche Sicherheitsarchitektur notwendig, die alle Bedrohungsszenarien berücksichtigt und die Klinik-IT und alle angeschlossenen Geräte zuverlässig schützt. Das Schlagwort für ganzheitlichen Schutz im Hinblick auf zukunftsweisende Trends wie Digitalisierung und E-Health lautet Unified Endpoint Management (UEM). Gemeint ist die Verbindung von traditionellem Client- und Lifecycle-Management mit Funktionalitäten für Mobile Device Management und Endpoint Security in einer inte­grierten Lösung. Spitäler sind dadurch in der Lage, sämtliche Geräte über eine einzige Plattform zu schützen und zu verwalten. Auch die Durchsetzung von Compliance-Richtlinien – ebenfalls ein hochgradig sicherheitsrelevantes Thema – wird auf diese Weise sichergestellt.

Entscheidend beim Thema Endgeräteschutz ist, dass Security-Lösungen netzwerkübergreifend konzipiert sind und sämtliche Assets miteinschliessen. Mehrere Abwehrlinien sorgen dabei für zuverlässigen Schutz. Zu den Kernfunktionen gehören Patch-Management, Application Whitelisting und Device Control: Eine moderne Patch-Management-Lösung stellt sicher, dass alle kritischen Systeme (und dies nicht nur Microsoft-basiert) und Anwendungen automatisch mit den neuesten Patches und Updates versorgt werden. So kann das Risiko potenzieller Sicherheitslücken auf der Betriebssystem- und Applikationsebene minimiert werden. Application Whitelisting erlaubt es, die Nutzung von Applikationen durch Richtlinien so zu beschränken, dass nur ausdrücklich autorisierte Anwendungen ausgeführt werden können. Device Control schliesslich sorgt für umfassende Kontrolle und Compliance auf der Endgeräte-Ebene. Eine Device-Control-Lösung ermöglicht die Festlegung übergreifender Nutzungsrichtlinien für Endgeräte und Ports von zentraler Stelle. Ausserdem können Daten auf mobilen Medien verschlüsselt werden, um sie gegen Verlust oder Diebstahl zu schützen. Durch den mehrschichtigen Aufbau bieten Unified-Endpoint-Management-Lösungen effektiven End-to-End-Schutz sowohl für stationäre, mobile und virtuelle Clients als auch für die Steuerung medizinischer Geräte oder anderer versorgungskritischer Systemkomponenten.

Automatisiertes IT Service Management

Ausser auf dedizierte IT-Security-Lösungen sollten Spitäler und Leistungserbringer in der Gesundheitswirtschaft auch auf durchgängige und transparente Prozesse achten, indem sie die Serviceerbringung so weit wie möglich automatisieren. Für die Abteilungen – egal, ob es sich um IT, HR, Facility, Finance oder weitere Bereiche eines Unternehmens, einer Behörde oder einer medizinischen Einrichtung handelt – ist es heutzutage schlicht nicht mehr praktikabel, auf Basis manueller Prozesse zu operieren. Zu gross sind der Zeit- und Kostenaufwand sowie das Risiko für menschliches Fehlverhalten. Besonders bei repetitiven Aufgaben, wie sie auch in Bereichen ausserhalb der IT wie HR (z. B. Eintritt eines neuen Mitarbeiters), Finance (z. B. Rechnungsgenehmigung) oder Facility (z. B. Ausstellen eines Zugang-Badges) anfallen, können Prozesse mit entsprechenden Softwarelösungen automatisiert und dadurch effizienter und kostengünstiger gestaltet werden. In Zeiten steigenden Kostendrucks ist dies für Klinikbetreiber von entscheidender Bedeutung. Die Automatisierung wirkt sich ausserdem positiv auf die Prozessqualität aus, indem manuelle Fehler vermieden und Workflows von Anfang bis Ende transparent, steuerbar und compliant sind. Durch das Loggen der einzelnen Schritte kann auch im Nachhinein eruiert werden, wer zu welchem Zeitpunkt welche Genehmigung getätigt hat. Ein automatisiertes Service-Management senkt somit nicht nur die Kosten und den Arbeitsaufwand, sondern erhöht auch die Sicherheit und Widerstandsfähigkeit der Klinik-IT.

Um für ihre Patienten eine bestmögliche medizinische Versorgung sicherzustellen, müssen Spitäler zunächst die Abwehrkräfte ihrer IT stärken. Ganzheitlicher Endgeräteschutz und automatisiertes IT Service Management tragen massgeblich dazu bei.