Page 77 - IT-S-SPECIAL_Krankenhaus_2021_2_eMagazin_PDFA_1b
P. 77
– ADVERTORIAL –
zu minimieren. Zumal auch Haftungsrisiken für Geschäftsführer und Das WISAG-Prinzip:
Prokuristen bestehen: Bei unzureichender IT-Sicherheit können additive Täter nutzen meist ein kombiniertes System verschiedenster
Bußgelder, die vier bis zehn Prozent des weltweiten Jahresumsatzes Angriffs- und Planungsmöglichkeiten. Es ist deshalb strategisch
betragen können, verhängt werden. sinnvoll, als Klinik ebenfalls mehrdimensional gewappnet zu
sein. Safety, Security und IT-Sicherheit (SecIT) kombiniert als
SICHERHEITSLÜCKEN KONSEQUENT ganzheitliches Konzept bieten deshalb die stärkste Abwehr.
SCHLIESSEN
Bei der Abwehr von Angriffen auf die IT-Infrastruktur geht es nicht nur
um digitale Schutzmechanismen wie Antivirenprogramme oder Firewalls. MITARBEITER ALS FIREWALL
Größtmögliche Effektivität können Krankenhäuser erzielen, wenn drei Einer der Aspekte, die oftmals vernachlässigt werden, ist die IT-Awareness
Bereiche interdisziplinär ineinandergreifen: der Mitarbeiter. Wie wichtig dieser Punkt ist, zeigt der Hackerangriff auf
das Lukaskrankenhaus in Neuss im Jahr 2016. Ein Verschlüsselungs-Trojaner,
IT-Sicherheit der über einen infizierten E-Mail-Anhang eingeschleust wurde, behinderte
physische Security die Arbeit in der Einrichtung über einen Monat lang. Die Kosten, die dem
Safety Klinikum dadurch entstanden, beliefen sich auf rund eine Million Euro. 3
Um in puncto Mitarbeitersensibilisierung eine innovative Lösung anbieten
Die WISAG Sicherheit Service entwickelt ganzheitliche Sicherheits- zu können, arbeitet die WISAG mit dem Cyber-Security-Start-up IT-Seal
konzepte, die diese drei Aspekte optimal in Einklang bringen: Sicherheit zusammen. Das Unternehmen entwickelt Lösungen, die dafür sorgen, dass
gegenüber Angriffen von Außen- und Innentätern (Security und IT- das Krankenhauspersonal selbst als Firewall agieren kann. Wie geht das?
Security) sowie Sicherheit gegenüber menschlichem und technischem Angreifer zielen häufig nicht nur darauf ab, technische Sicherheitslücken
Versagen oder Unfällen (Safety). Dabei werden die Fluchtwege (Safety) als ausfindig zu machen. Stattdessen versuchen die Täter, den Menschen als
Angriffsvektor im Security-Kontext ebenfalls abgesichert. Durch dieses „Schwachstelle“ auszunutzen. Sie verschicken gut getarnte Phishingmails,
integrierte Vorgehen können bestehende Sicherheitslücken wirksam – deren Anhänge oder Download-Links bei Aktivierung extrem schnell
und vor allem ganzheitlich – geschlossen werden. Schadsoftware verbreiten. IT-Seal bietet Online-Trainings an, die sich als
Training on the Job unkompliziert in den Arbeitsalltag einbetten lassen und
OPFER WERDEN AUSSPIONIERT die IT-Awareness der Belegschaft messbar stärken.
Kliniken zu schädigen – sei es durch einen Cyberangriff oder einen
klassischen Diebstahl – ist häufig ein Ziel organisierter Kriminalität. SCHUTZ IST AM BESTEN GANZHEITLICH
Ihr Fokus: einen möglichst großen finanziellen Nutzen aus den Taten Um sich wirkungsvoll gegen Cyberattacken zu schützen, müssen die
zu ziehen. Hier bietet sich neben der Erpressung durch Datendiebstahl Sicherheitsverantwortlichen genauso denken wie die potenziellen
auch die Entwendung teurer medizinischer Geräte an. Der Schaden Täter – und die nutzen jeden Angriffspunkt. Daher steht am Anfang
durch letztgenannte Vergehen beläuft sich seit dem Jahr 2015 auf jedes Sicherheitskonzeptes der WISAG eine umfassende Schutzziel-
über 25Millionen Euro. Bei der Planung und Durchführung setzen die und Schwachstellenanalyse. Sind die Schwachstellen erkannt,
2
Kriminellen häufig auf eine Kombination von digitalen Attacken und wird auf dieser Grundlage ein Gesamtkonzept erarbeitet, dessen
physischen Erkundungen vor Ort. Sie hacken beispielsweise Systeme, um Handlungsempfehlungen bei Umsetzung zu einer Enthaftung der
an Bau- und Lagepläne sowie Zutrittskontrollsysteme zu gelangen. So Geschäftsführung führen können. Das Besondere dabei: IT-Sicherheit,
finden sie heraus, wo Geräte gelagert werden und was der günstigste Safety und physische Security greifen ineinander und reduzieren so die
Fluchtweg ist. Vor Ort werden dann weitere Erkundungen durchgeführt, Ansatzpunkte für Kriminelle auf ein absolutes Minimum. n
wobei wirkungsvolle Maßnahmen der physischen Security, etwa durch
durchdacht platzierte Sicherheitstechnik, Zugangskontrollen oder auch 1 https://www.heise.de/news/Bundesregierung-Deutlich-mehr-Cyberangriffe-auf-Kliniken-und-
die Präsenz von Sicherheitsmitarbeitern, abschrecken und ein Verbrechen Versorger-4971283.html Stand: 26.03.2021
verhindern können. 2 https://lka.polizei-bw.de/diebstahl-von-medizinischen-geraeten-nimmt-zu/. Stand: 24.03.2021
3 https://www.heise.de/newsticker/meldung/Trojaner-im-OP-wie-ein-Krankenhaus-mit-den-
Folgen-lebt-3617880.html. Stand: 26.03.2021
Doch sogar, wenn es das Ziel ist, Daten zu stehlen oder verschlüsseln,
nutzen die Täter oftmals verschiedene Zugänge, um Zugriff auf
die IT-Infrastruktur zu erhalten. Nicht selten versuchen sie, vor Ort
auszuspionieren, an welcher Stelle sie am besten in ein IT-System
eindringen können. Gibt es beispielsweise im Gebäude Angriffsvektoren,
um Fremdgeräte zu platzieren? Bei einem solchen Szenario sind es
ebenfalls physische Security-Maßnahmen, die den geplanten Angriff auf
die IT erschweren.
An beiden Beispielen wird deutlich, dass es nicht sinnvoll ist, IT-Sicherheit
losgelöst von der physischen Sicherheit einer Einrichtung zu betrachten.
Die WISAG hat durch ein interdisziplinäres Beratungsteam einen Rundum-
Blick auf die Sicherheit eines Krankenhauses, der über die reine IT-Security
hinausgeht.
SPECIAL_2/2021 IT-SICHERHEIT IM KRANKENHAUS 77
