"Absolute Sicherheit wird es kaum geben, oder sie ist nicht bezahlbar"

Wo sehen Sie die grössten Herausforderungen im Bereich IT-Sicherheit von Spitälern?

Roger Wattenhofer: Die Herausforderung liegt darin, den Bedürfnissen der Mitarbeiter trotz der erforderlichen Sicherheitsmassnahmen gerecht zu werden. Hiermit meine ich den Spagat, die Sicherheit von Geräten und Infrastruktur ohne grössere Einschränkung der täglichen Arbeit auf ein hohes Niveau zu heben. Hinzu kommt, dass in Spitälern in der Regel viele nicht IT-affine Personen arbeiten und das Bewusstsein für IT-Sicherheit nicht im Vordergrund steht.

Wie sind Schweizer Spitäler bei der IT-Sicherheit im europäischen Vergleich aufgestellt?

Ich habe hierzu keine Vergleichszahlen, gehe aber davon aus, dass die Sensibilisierung für das Thema Security in der Schweiz einen hohen Stellenwert hat. Im Umkehrschluss sind Schweizer Spitäler für finanziell motivierte Attacken sicherlich ein bevorzugtes Ziel. Dies erfordert entsprechende Vorkehrungen.

Welche IT-Sicherheitsrisiken werden mit dem elektronischen Patientendossier auf uns zukommen?

Noch mehr mobile Daten, die geschützt werden müssen. Durch die Sensibilität der Daten und den Anspruch, diese jederzeit und lokal unabhängig abrufen zu können, erweitert sich der Fokus vom reinen Schutz der Daten auf den Schutz und die Verwaltung mobiler Geräte. Ärzte oder Pflegekräfte, die vor Ort beim Patienten die Dossiers aufrufen, sollten dies nur über gemanagte und gesicherte Geräte tun können.

Sie empfehlen Spitälern eine ganzheitliche ­Sicherheitsarchitektur, die alle Bedrohungsszenarien berücksichtigt. Wie soll das funktionieren?

Absolute Sicherheit wird es kaum geben, oder sie ist nicht bezahlbar. In der Regel haben Spitäler heute einen dedizierten Security Officer. Das ist bereits ein sehr guter Ansatz. Wir sind der Meinung, dass man zunächst verstehen muss, was geschützt werden muss – sozusagen die Kronjuwelen einer jeden Firma – und wovor man sich schützen muss. Darauf sollte das Security-Konzept aufbauen. Wichtig hierbei ist das Zusammenspiel der Komponenten und die Durchgängigkeit der Lösung. Es soll kein Flickwerk, sondern eine durchdachte und stabile Architektur sein.

Wie können Pflegekräfte in Spitälern für die ­IT-Sicherheit sensibilisiert werden?

Die Frage muss eher lauten, ob wir unser Konzept auf diese Sensibilisierung stützen wollen. Der Ansatz sollte vielmehr sein, Regeln und Prozesse einzuführen, die Mitarbeiter vor irrtüm­lichem Fehlverhalten schützen, ohne sie in ihrer Arbeit einzuschränken. Es lässt sich etwa mit einfachen Mitteln verhindern, dass ein Mitarbeiter unfreiwillig eine Ransomware öffnet und somit der ganzen Organisation und im Extremfall den Patienten schadet. Genau hier setzen wir an, indem wir verhindern, dass Programme, die nicht klar als «sauber» erkannt und deklariert wurden, überhaupt heruntergeladen beziehungsweise ausgeführt werden können.

Heat Software hat sich mit Landesk zu Ivanti zusammen­geschlossen. Welche zusätzlichen Möglichkeiten ergeben sich dadurch für Ihre Kunden im ­Gesundheitswesen?

Der Zusammenschluss beider Firmen birgt für unsere Kunden ein riesiges Potenzial. Mit unserer «Best of Both»-Strategie können wir ein komplettes Lösungsportfolio anbieten, das die Bereiche IT Service Management, IT Asset Management, Unified Endpoint Management und Security Configuration Management durchgängig adressiert. Gerade im Gesundheitswesen gibt es von der Bettenbelegung bis zum Management von Fuhrpark und Mitarbeiterwohnungen unzählige Prozesse, nicht nur in der IT. Durch die Ganzheitlichkeit unserer Lösungen unterstützt Ivanti Gesundheitsträger dabei, sämtliche Workflows effizienter, kostengünstiger und sicherer zu gestalten und so die Vorteile der Digitalisierung aktiv für sich zu nutzen.