PSW Group: Zeit für ein Update der Cybersicherheit
Lob für Enisa-Notfallplan für mehr Cybersicherheit in Krankenhäusern
Im vergangenen Jahr sorgten diverse Sicherheitsvorfälle im Gesundheitssektor für mediale Aufmerksamkeit: 2019 erlitten zwei Drittel der Organisationen im Gesundheitssektor Cybersicherheitsvorfälle. Darunter sowohl Hacker-Angriffe mit Ransomware wie Emotet als auch Datenpannen. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam und verweisen auf eine vor Kurzem erschienene Leitlinie für Krankenhäuser der EU-Agentur für Cybersicherheit (Enisa): "Die EU-Behörde ist überzeugt, dass Cybersicherheit in Krankenhäusern ein immer wichtigeres Thema wird. IT-Sicherheit muss ganzheitlich in die unterschiedlichen Prozesse, Komponenten und Stufen integriert werden", fasst Patrycja Tulinska, Geschäftsführerin der PSW Group, zusammen.
Der neue Enisa-Leitfaden ergänzt die bisherigen KRITIS-Leitfäden. Beschaffungsbeamten in Krankenhäusern, aber auch CISOs/CIOs soll so ein umfassendes Instrumentarium zur Verfügung stehen, um Sicherheit von Gesundheitsdaten über den kompletten Lebenszyklus der eingesetzten IT-Systeme hinweg zu optimieren. Außerdem werden Best Practices aufgezeigt. "Der Leitfaden ist so konstruiert, dass Krankenhäuser ihn an den individuellen Beschaffungsprozess anpassen können. Ziel ist es, ihnen alle Tools an die Hand zu geben, um sicherzustellen, dass gesetzte Ziele in der Cybersicherheit auch erreicht werden können", erläutert Tulinska.
Neben gängigen Industriestandards zeigt der Leitfaden Verfahren und Empfehlungen, die der Cybersicherheit im Krankenhaus dienen. "Insgesamt bildet der Leitfaden eine gute Basis für Cybersicherheit in Krankenhäusern und zeigt, wie wichtig der IT-Schutz in diesem äußerst sensiblen Bereich ist", lobt Tulinska. Der Enisa-Leitfaden teilt drei Phasen ein, die für die Cybersicherheit im Krankenhaus relevant sind. Nachdem die Beschaffungsprozesse kategorisiert sind, gilt es, die mit jedem Schritt verbundenen Cybersicherheitsanforderungen zu identifizieren. Durch Vorschläge zum Nachweis dazu, wie sich Anforderungen von Anbietern erfüllen lassen, gestaltet sich das ganze Vorgehen deutlich einfacher.
In der ersten Phase, der Planphase, geht es um die Analyse der Bedürfnisse eines Krankenhauses. Außerdem sammeln die Beteiligten aus den internen Abteilungen die Anforderungen. Bei der Beschaffung eines neuen Cloud-Services beispielsweise sollte der CTO nicht nur die Bedürfnisse ermitteln, sondern auch verstehen und vermitteln können, welchen Nutzen dieser Service nach sich zieht. "In dieser Phase werden beispielsweise Risikobewertungen durchgeführt, Bedrohungen identifiziert, Netzwerke getrennt und Eignungskriterien für Lieferanten entworfen", sagt Tulinska. In der anschließenden Beschaffungsphase sind die bestehenden Anforderungen in technische Spezifikationen zu übersetzen.
Im Rahmen eines Sourcing-Prozesses lassen sich beispielsweise entsprechende Ausschreibungen veröffentlichen, die eingehenden Angebote durch einen Ausschuss bewerten und die geeignetsten Produkte in die engere Wahl nehmen, bis der Auftrag schließlich an ein Unternehmen geht. "Hier geht es darum, Zertifizierungen zu empfehlen oder vorzuschreiben, Datenschutz-Folgeabschätzungen durchzuführen und Legacy-Systeme anzusprechen, Schulungen in Cybersicherheit im Krankenhaus anzubieten, aber auch Reaktionspläne für Vorfälle zu entwickeln. Zudem müssen Lieferanten in das gesamte Vorfallmanagement einbezogen sein, Wartungsarbeiten organisiert und Fernzugriffe sicher hergestellt werden", erklärt die IT-Sicherheitsexpertin weiter.
In der dritten Phase, der Verwaltungsphase, werden die Verträge dem Geschäftsinhaber des Krankenhauses zugewiesen, einschließlich der Verwaltung und Überwachung des Vertrags. Nebst dem Abschluss der Ausschreibung verantwortet der beauftragte Mitarbeiter auch das Feedback der Benutzer über die tatsächliche Leistung, die der Ausrüstung, dem System oder der Dienstleistung entspringt. "Die dabei zu erledigenden Schritte sind unter anderem das Bewusstsein über Cybersicherheit zu erhöhen, ein Bestands- sowie Konfigurations-Management durchzuführen, Zugangskontrollmechanismen für die medizinische Geräteeinrichtung einzurichten und zu verwalten sowie regelmäßige Penetrationstests durchzuführen", so Tulinska weiter.
Weitere Informationen stehen unter: www.psw-group.de/blog/enisa-notfallplan-fuer-mehr-cybersicherheit-im-krankenhaus/7421 zur Verfügung.
Lesen Sie mehr zum Thema
