les IT-Sicherheitsmanagement (ISMS) definiert die Standards
        und kontrolliert kontinuierlich deren Einhaltung. Detektion   Auditsicherheit in vier Schritten
        vor IT-Sicherheitsvorfällen kann durch einzelne Maßnahmen
        wie IDS (Intrusion Detection Systems), SIEM (Security Incident   1.  Erstellung des Protokollierungskonzepts
        and Event Management), Malware Multiscanner oder durch
        eine IT-Sicherheitszentrale (SOC), in der alle Informationen zur   2.  Übernahme der Anforderungen/Einführung
        IT-Sicherheit zusammenlaufen, erreicht werden. Logfiles, also   der Softwarelösung
        kleine Protokolldateien, die Ereignisse dokumentieren, spie-  3.  Audit-sichere Alarmierung und Berichte
        len bei der Prävention und Detektion dabei eine zentrale Rol-
        le. Von professionellem Log-Management spricht man, wenn   4. Aktualisierung und Pflege der Compliance
        Logfiles manipulationssicher, pseudonymisiert und mit ein-  Berichte durch den Hersteller
        deutigem Zeitstempel abgespeichert werden. Da die meisten
        Logdateien für die Detektion von IT-Sicherheitsvorfällen nicht
        entscheidend sind, müssen Filter wichtige Ereignisse sichtbar
        machen und bei Anomalien die Verantwortlichen alarmieren.  Anbieter von Log-Management-Software den Service an, die
                                                             Berichtspakete im Rahmen der regelmäßigen Updates zu ak-
           Log-Management kann aber zusätzlich den dedizierten   tualisieren.
        Ansatz haben, den Nachweis zur Einhaltung von geforderten
        Regulatoriken zu erreichen und nachzuweisen.         Fazit

        Auditsicherheit in vier Schritten möglich              Es gibt drei Gründe, die den Einsatz von Log-Management
                                                             in kritischen Infrastrukturen im Gesundheitswesen wie Kran-
           Der erste Schritt, die Protokollierung, erfasst alle für die   kenhäusern und Kliniken notwendig machen. Das sind zum
        IT-Sicherheit und die geforderte(n) Regulatorik(en) wichtigen   einen Compliance-Vorschriften, aber auch der fortlaufend zu
        Komponenten, Applikationen sowie die darauf zugreifenden   gewährleistende störungsfreie IT-Betrieb und die damit zu-
        Personen und definiert deren Kritikalität im Hinblick auf die   sammenhängende IT-Sicherheit. Für diese Felder ist die Log-
        zu schützenden Ziele: Authentizität, Verfügbarkeit, Vertrau-  file-Analyse eine wichtige und vielfach auch vorgeschriebene
        lichkeit und Integrität. Die Protokollierung sollte zusammen   Informationsquelle. Bei der Menge an Logfiles, die täglich be-
        mit zertifizierten Dienstleistern durchgeführt werden. Die   reits in kleinen IT-Infrastrukturen anfallen, gleicht die Filte-
        Angaben, deren Bewertungen und Anforderungen werden   rung von relevanten Logdateien der Suche nach der „Nadel im
        im zweiten Schritt eins zu eins in das Log-Management über-  Heuhaufen“. Aber professionelles Log-Management kann aus
        nommen. Alle damit im Zusammenhang stehenden Logfiles,   „Big Data“ nützliche Informationen für die Verfügbarkeit der
        die in Beziehung zu den relevanten IT-Systemen, Applikati-  IT und deren Absicherung erkennen.
        onen und Anwendern stehen, werden in den Compliance-
        Berichten berücksichtigt.  Technische Maßnahmen für den   Die finanzielle Unterstützung durch Krankenhausstruk-
        Datenschutz, wie Pseudonymisierung und Rollenkonzepte,   turfonds und Krankenhauszukunftsfonds bietet eine günstige
        sollten hierbei genauso berücksichtigt werden wie organisa-  Gelegenheit, um auch Maßnahmen für die Verfügbarkeit der
        torische Maßnahmen, beispielsweise ein N-Augen Prinzip bei   Krankenhaus-IT beziehungsweise -OT zu gewährleisten und
        der De-Pseudonymisierung. In Anbetracht aller Vorgaben ist   damit auch die Voraussetzungen für die überfällige Digitalisie-
        der Einsatz von professionellen Log-Management-Lösungen   rung im Gesundheitswesen zu schaffen.  n
        alternativlos.

           Geloggte, unkritische Ereignisse dienen zum Nachweis der   Wichtige Links
        Einhaltung der gesetzlichen Vorgaben (Compliance). Werden
        Cyberangriffe erst nachträglich erkannt, werden aus zunächst   Krankenhausstrukturfonds:
        harmlosen Logdateien wichtige Informationen, die zur Auf-  https://www.krankenhauszukunftsfonds.de/DE/
        klärung der Angriffsmethoden und den daraus resultierenden   Krankenhauszukunftsfonds/krankenhauszukunftsfonds_
        Folgen notwendig sind.                                 node.html

           Oft sind bei internen und externen Angriffen mehrere IT-  Krankenhauszukunftsfonds:
        Komponenten involviert. Das SIEM fügt die einzelnen Puzzle-  https://www.bundesamtsozialesicherung.de/de/themen/
        teile zu einem erkennbaren Bild zusammen, alarmiert die   innovationsfonds-und-krankenhausstrukturfonds/
        Verantwortlichen und ermöglicht so die Einleitung definier-  krankenhausstrukturfonds/
        ter Gegenmaßnahmen.

           Im dritten Schritt werden aus allen relevanten Logdateien
        Alarme generiert und Berichte erstellt, die „Audit-sicher“ sein
        müssen. Ändern sich die Vorgaben in Regulatoriken, müssen
        Anwender diese Änderungen in der Regel selbst anpassen. Al-        Robert Korherr,
                                                                           Geschäftsführer der ProSoft GmbH
        ternativ, und das ist der vierte Schritt, bieten vorausschauende



                                                                      SPECIAL_1/2022  IT-SICHERHEIT IM KRANKENHAUS  15