Netzwerk ohne Nebenwirkungen

Klinikum Lichtenau – IT-Sicherheit sollte integraler Bestandteil moderner Krankenhausinfrastrukturen sein. Das Klinikum Lichtenau hat die bestehenden Sicherungsanforderungen effektiv umgesetzt.

Schon seit langem sind IT-Technologien in modernen Praxen und Kliniken von besonderer Bedeutung in der Verwaltung, Diagnostik und Forschung. Diagnosen in kürzester Zeit zu erstellen und den Patienten unmittelbar kompetent und wirksam der richtigen Therapie zuzuführen, ist oberstes Ziel. Service und Qualität sind für eine schnelle und effektive Versorgung wesentlich. Aber auch wirtschaftliche Aspekte, wie die Vermeidung von Fehlbelegungen, spielen eine große Rolle. Eine der Grundlagen ist die Vernetzung oder die Einführung elektronischer Dokumentation im Rahmen der elektronischen Patientenakte.

Bei all diesen Erfordernissen steht auch die Security im Mittelpunkt. Die Konfrontation mit gesetzlichen Vorgaben, einer riesigen Angebotsvielfalt und undurchschaubaren Bedrohungen ist die Folge. Zwar gehören Firewall und Anti-Virus-Programme zum Standard, aber die Bedrohungen haben sich gewandelt. Die Folge ist, dass die Abwehr ohne umfassende Konzepte oft ins Leere geht und den IT-Administrator und die Leitung an den Rand des Wahnsinns oder zumindest in die Nähe rechtlicher Konsequenzen bringt.

Die Messlatte für Ärzte und Kliniken liegt hoch. Die ärztliche Schweigepflicht verpflichtet zu besonderer Sorgfalt. Prozesse wie die Dokumentenübertragung beim Austausch mit Fachärzten oder bei der Abrechnung mit Krankenkassen bergen deshalb besondere Risiken. Auch andere Bereiche, zum Beispiel das Patienten-Monitoring, sind durch die vernetzte Technik risikobehaftet. Spyware, Rootkits, Trojaner, Hacker und Schwachstellen in Anwendungen und Betriebssystemen eröffnen viele unterschätzte Angriffsmöglichkeiten. Security bei der Kommunikation und Infrastruktur gewinnt so im Gesundheitssystem immer mehr an Bedeutung, ist echter Wirtschaftsfaktor und gesetzliche Notwendigkeit mit konkreten Auswirkungen auf das Wohl der Patienten.

Anwender Klinik Lichtenau
Unter dem Motto »heilen, pflegen, helfen« leisten täglich die Pflegekräfte, Ärzte und Therapeuten ihre Dienste in der Orthopädischen Klinik Hessisch Lichtenau. Die Orthopädische Klinik bietet umfassende moderne diagnostische und therapeutische Möglichkeiten. Sie ist in drei eigenständige Abteilungen, entsprechend den Anforderungen an eine zielgerechte medizinische Versorgung, gegliedert. Es besteht eine Abteilung für Allgemeine Orthopädie und Traumatologie mit integrierter orthopädischer Rheumatologie, eine Abteilung für Wirbelsäulenchirurgie mit einem Querschnittzentrum und als interdisziplinäre Abteilung ist das Fachgebiet Anästhesie und Intensivmedizin im Hause vertreten.

Für den kleinen Ort mit seinen rund 14000 Einwohnern ist das Klinikum ein wichtiger Wirtschaftsfaktor. Neben der Orthopädischen Klinik mit 173 Betten sind auch ein Rehabilitations- und ein Nachsorgezentrum, ein Pflegezentrum, ambulante und häusliche Pflege sowie ein Gästehaus eingerichtet.

Entsprechend groß ist die EDV-Infrastruktur, deren Kern eine Windows-2000-Domäne bildet. Neben dem zentralen Kommunikationsserver sind mehrere Datenbankserver für die medizinischen Anwendungen im Einsatz. Knapp 250 Anwender am Hauptstandort und in den Außenstellen stellen das interne Netz dar. Alle Außenstellen sind über klassische LAN-LAN-Kopplung an die zentrale Domäne angebunden. Für administrative Zwecke wurden ISDN-Einwahlmöglichkeiten mit besonderem Zugriffsschutz geschaffen.

Ein so großes Netz mit vielen vertraulichen Daten und vielen möglichen Angriffspunkten verlangt eine umfassende Sicherheitslösung. Insbesondere bei der Verwaltung von Patientendaten, sowohl für Abrechungen als auch bei den gesundheitlichen Protokollen, hat der Gesetzgeber sehr umfassende Anforderungen gestellt. Der Datenschutz und die Vertraulichkeit der Informationen erfordern sehr strikte Regelungen und den Einsatz entsprechender Technologien. Die Verwaltung ist verpflichtet diese nicht nur zu implementieren, sondern auch regelmäßig das Einhalten der Sicherungsanforderungen nachzuweisen.

Anforderungen an Netz und Security
Im Jahre 2006 wurde deshalb das gesamte Netz neu organisiert und mit Hilfe einer umfassenden Security-Lösung alle Anforderungen umgesetzt. Folgende Kriterien wurden dabei in der Hauptsache gefordert: Die zentrale Ausgangslage war der Schutz vor Viren, der Aufbau eines wirksamen Spam-Filters und die Implementierung eines SMTP-Relay.

Für den Zugang von Patienten zum Netz sollte eine DMZ eingesetzt werden, die als eigenständiger Netzbereich zwischen externem Internet-Zugang und dem eigentlichen, durch die Firewall geschützten internen Netzbereich fungiert. Dass die Lösungen dabei stabil funktionieren sollten, ist selbstverständlich. Allerdings wurde eine Grundanforderung an die Lieferanten gestellt: schnelle, verständliche und professionelle Supportleistungen. Insofern war der Hersteller Securepoint aus Lüneburg die erst Wahl. Weiterhin sollte die Gesamtlösung mit der Hilfe einer Security-Appliance erfolgen, so dass diese Aufgabe unabhängig von anderen Servern, einfach bei der Aktualisierung und zentral bei der Administration erfolgen kann.

Eine DMZ befindet sich zwischen dem internen Netz und dem Internet. In der DMZ werden häufig Server, die Dienste für Internet-Nutzer und interne Netze zur Verfügung stellen, eingerichtet. Der DMZ-Bereich ist ein separates, abgesichertes Netz und wird durch die Firewall vor Angriffen geschützt. Ebenfalls wird der Zugriff von den anderen Netzen, wie dem Internet, auf die DMZ geregelt. Sie stellt somit eine zweite Verteidigungslinie dar, da kein direkter Zugriff auf das interne Netz besteht. Dies hat den Vorteil, dass das interne Netz auch dann noch geschützt ist, wenn ein Angreifer bis zum Web-Server gelangen konnte.

Umsetzung und Netzaufbau
Als geeignete Appliance wurde eine Securepoint-RC5 mit Xenon-Prozessor, 2 GByte Hauptspeicher, gespiegelten SCSI-Platten und zehn LAN-Interfaces mit Gigabit-Ethernet gewählt, um längerfristig allen Anforderungen gerecht werden zu können. Die Security-Lösung Securepoint-Security-Suite-v2006nx umfasst neben der auf Linux basierenden Firewall einen leistungsstarken Gateway-Virenschutz, einen Spam- und Content-Filter sowie diverse Proxy-Server und umfassende VPN-Funktionalitäten (IPSec, L2TP und PPTP) sowie alle gängigen sicheren Verschlüsselungstechniken. Ein Update- und Supportvertrag mit dem Hersteller wurde geschlossen. Die zeitnahe und durch den Vertrag kostenlose Bereitstellung der jeweils neuesten Updates/Versionen sowie die umfassende Betreuung durch den Hersteller bei allen Fragen rund um die Administration, stellen für die Klinik Lichtenau einen wesentlich Vorteil dar.

Durch den Einsatz der Firewall konnte die Gefahr einer Vireninfektion des internen Netzes durch E-Mail-Verkehr oder Internetnutzung reduziert werden. So gab es seit der Implementierung keine unkontrollierbare Situation. Die immer größer werdende Belästigung durch Spam-E-Mails konnte auf ein niedriges Niveau gesenkt werden. In konkreter Erfassung ist festzustellen, dass bis zu 90 Prozent der ankommenden Spam-E-Mails gefiltert werden.

Das Einführen einer Security-Lösung erfordert zunächst die Definition der Policies. So führte der Wunsch, Patienten und Mitarbeiter auf das Netz zugreifen zu lassen, zu sinnvollen Veränderungen in der Netzinfrastruktur. Die Security-Appliance ermöglichte die Einrichtung einer demilitarisierten Zone. In diesem eigenständigen Netzsegment zwischen Internet-Zugang ins öffentliche Netz und den internen Bereichen des Netzes wurde die ISDN-Einwahl etabliert und der Zugriff auf das Netz gegenüber den internen Netzsegmenten abgesichert. Mitarbeiter, die die Netzinfrastruktur von außen, von unterwegs oder vom Heimarbeitsplatz aus nutzen möchten, können sich sicher einwählen.

Das Einloggen mit Benutzername und Passwort reicht allerdings für eine gute und sichere Lösung nicht aus. Solche Zugangsdaten lassen sich erschleichen oder durch »Brute-Force-Angriffe« erraten. Mehr Schutz bietet eine Public-Key-Infrastructure (PKI), die verschlüsselte Zertifikate zur Signatur und Kontrolle verwendet. PKI ist hinsichtlich Implementierung und Konfiguration jedoch sehr komplex. Ein in die Security-Appliance integrierter PKI-Server kann das Management erheblich vereinfachen, vor allem, wenn er wie bei Securepoint in die Sicherheitsstruktur der Appliance eingebunden ist.

Einsatz einer PKI
Der Schutz im Austausch der Patienten- und Abrechungsdaten gelingt mit einem VPN-Verfahren wie Preshared. RSA-Signatur und X.509-Zertifikate sind dabei wichtig. Der Aufwand ist höher als die Arbeit mit einfacher Passwortvergabe, doch eine PKI ermöglicht erheblich sicherere Fernzugänge per VPN auf das Netzwerk.

IPsec arbeitet auch mit statischen Pre-Shared-Keys. Ein echter Schutz mit hohem Anspruch wird nur mit VPN-Zertifikaten erreicht. Den größten Komfort bietet ein integrierter VPN-Server in der Appliance.

Eine Besonderheit der UTM von Securepoint ist der User-Verification-Agent (SPUVA), der Anwendern individuelle Rechte für Arbeitsplätze trotz DHCP-Adressverteilung zuteilt. Der Anwender authentisiert sich über den SPUVA und erhält an jedem Arbeitsplatz seine individuelle Security-Policy, egal an welchem Punkt im Netz er sich einloggt. Inzwischen stehen im Netz des Klinikums weitere Veränderungen und Erweiterungen bevor. Ein WLAN wird eingerichtet und die Appliance wird mit der neuen Security-Suite-v2007nx ausgestattet.

»Das Netz muss ständig neu aktualisiert werden und wir stecken eigentlich immer mitten im Umbau«, kommentieren die EDV-Verantwortlichen Andreas Keuchel und Karl-Heinz Pfetzing die Frage nach dem Erfolg der Security-Lösung. »Im Bereich des Spam-Filters gab es am Anfang ein paar Probleme, der durch den Hersteller-Support zeitnah gelöst wurden. Nun sind wir sehr gespannt auf den Einsatz der neuen Version, die jetzt eingepflegt wird. Wir empfehlen jedem Anwender auf Unternehmen mit leistungsfähigem Support zuzugehen und sich immer begleiten zu lassen. Es war eine gute Entscheidung, mit Securepoint ein deutsches Produkt zu wählen. Allein der Zeitverlust wegen unterschiedlicher Zeitzonen bei Produkten aus Übersee verzögert jede Herstellerunterstützung erheblich. So etwas können und wollen wir uns nicht leisten.«

Hartmut Bauer