Kritische Infrastrukturen
vorausschauend schützen

G DATA Ratgeber

Im Jahr 2016 ist die IT-Sicherheit in deutschen Krankenhäusern stark in den Blickpunkt gerückt. Dazu kam es, nachdem innerhalb weniger Tage mehrere, schwere IT-Zwischenfälle ganze Krankenhäuser lahmlegten. Schnell kam die öffentliche Diskussion auf, ob Kliniken und andere medizinische Einrichtungen genug in ihre IT-Sicherheit investieren.

Am 10. Februar 2016 wurde bekannt, dass das IT-System am Lukas-Krankenhaus im rheinischen Neuss das Opfer eines Schadsoftware-Angriffs mit Ransomware wurde. Die Folgen waren weitreichend: Aufnahmen und Operationen mussten verschoben werden. Presse und Fernsehen berichteten ausführlich. Wenige Tage später traf es das Krankenhaus im sauerländischen Arnsberg. Ein Wochenende lang fiel hier die IT aus. Auch hier mit ganz ähnlichen Folgen: Die Aufnahme von Patienten musste verschoben werden, umliegende Krankenhäuser mussten einspringen.

In beiden bekannt gewordenen Fällen kam die Frage auf, ob Krankenhaus-IT-Systeme nicht sicher genug sind, weil die Hersteller das Thema nicht ernst genug nehmen. Oder sind es vorrangig die Krankenhausbetreiber, die ihre IT-Abteilungen personell und finanziell darben lassen? Einfach lassen sich diese Fragen nicht beantworten – wie so häufig dürften mehrere Faktoren ausschlaggebend sein.

Klar ist aber, dass der Ausfall ihrer gesamten IT die Kliniken teuer zu stehen kommt. Konkrete gesetzliche Konsequenzen sind auch schon in Ausarbeitung: Zumindest große Klinikbetriebe werden bald mit zentralen Meldestellen arbeiten müssen und Zwischenfälle ab einer bestimmten Größenordnung an das Bundesamt für Sicherheit in der Informationstechnologie (BSI) melden müssen. Denn auch sie zählen zu den Kritischen Infrastrukturen (KRITIS). Genaue Vorgaben für Krankenhäuser sowie Unternehmen aus dem Gesundheitssektor sollen im Frühjahr 2017 finalisiert werden.

Auch die Forderung nach einer Umsetzung des IT-Grundschutz und der ISO 27001 wird wohl gesetzlich geregelt werden. Die notwendigen Investitionen hierfür dürften sich freilich bezahlt machen, wenn man die fortlaufend entstehenden Schäden betrachtet.

Teure Schadensfälle

Aktuelle Analysen haben ergeben, dass europäische Unternehmen im Schnitt mehrere Millionen Euro pro Jahr durch solche IT-Ausfälle verlieren. Drei kritische IT-Ereignisse pro Monat gelten inzwischen als Durchschnittswert. Als kritische Ereignisse werden dabei Vorkommnisse definiert, die für den Ausfall einer Geschäftsanwendung oder Infrastruktur sorgen oder wenn unerklärliche Fehlfunktionen auftreten. Die Folge in allen diesen Fällen ist, dass Geschäftsprozesse zum Stillstand kommen. Die Mitarbeiter können ihre Aufgaben nicht mehr ausführen – der Betrieb ist lahmgelegt. Branchenbeobachter schätzen, dass jeder Ausfall in diesem Umfang durchschnittlich einen Schaden in Höhe von 115.000 Euro verursacht.

Umfragen unter IT-Verantwortlichen ergeben, dass die Vermeidung solcher Ausfälle inzwischen eine höhere Priorität genießt als die allgemeine IT-Sicherheit. Noch nie zuvor waren Unternehmen ebenso wie Klinikbetriebe im Hinblick auf ihre Kernprozesse so abhängig von einer funktionierenden IT.

Wie sehen mögliche Lösungsansätze aus?

Mögliche Lösungsszenarien können sein, einen Teil der IT-Infrastruktur auszulagern. Denkbar ist auch ein Parallelbetrieb von internen und externen Systemen, so dass eine bessere Redundanz entsteht. Dabei stehen jedoch gerade medizinische Einrichtungen vor dem Problem, strenge Datenschutzbestimmungen einhalten zu müssen. Als deutscher IT-Security-Hersteller bietet G DATA gemeinsam mit seinen Partnern im Healthcare-Bereich eine Managed Endpoint Security an. Der Vorteil für Unternehmen: Der Betrieb einer eigenen IT-Security-Infrastruktur entfällt weitestgehend und die notwendigen Services erfolgen bei Bedarf durch spezialisierte Partnern. Die Sicherheits-Architektur wächst unproblematisch mit und selbst stark heterogene Netzwerke sind so problemlos in den Griff zu bekommen. Der Partner betreibt dabei für seinen Kunden einen virtuellen Management Server in der Microsoft Cloud Deutschland – eine Plattform, die dank der Einhaltung der strengen deutschen Datenschutzgesetze den Compliance-Anforderungen für Public-Cloud-Lösungen gerecht wird.

Ein weiterer Aspekt im Kampf gegen IT-Ausfälle ist die Einführung von Reaktionsteams mit IT-Experten. In diesem Zusammenhang kann auf Maschinendaten basierende, effektive Operational Intelligence die Sicht auf die zugrundeliegenden Ursachen schärfen. Ständig in Bereitschaft gehaltene IT-Teams benötigen im Ereignisfall die nötigen Einblicke, um mögliche Ursachen ausfindig zu machen und Services so schnell wie möglich wieder online zu stellen. Das allerdings ist kostspielig und wird daher noch von wenigen Institutionen im Gesundheitssektor realisiert. Da wundert es nicht, dass die Experten der G DATA Advanced Analytics alle Hände voll zu tun haben. Als externe Helfer unterstützen sie Unternehmen und Institutionen nach einem Angriff dabei, ihr System möglichst schnell wieder funktionsfähig zu machen. Überaus nützlich ist der Einsatz solcher IT-Sicherheitsexperten übrigens nicht nur dann, wenn ein Angriff bereits erfolgt ist. Als Berater helfen sie Krankenhäusern und Unternehmen aus dem Health-Sektor dabei, ihre Infrastruktur gesetzeskonform abzusichern, so dass sie die vom Gesetzgeber vorgeschriebenen Mindestanforderungen an IT-Sicherheit erfüllt. Auch die Erstellung von klaren Regeln für einen etwaigen Ereignisfall ist entscheidend. Denn so können sich IT-Retter und Krankenhausmitarbeiter besser untereinander koordinieren und produktiver miteinander arbeiten, so dass nach einem Angriff auf die Krankenhaus-IT der Regelbetrieb schnell wieder aufgenommen werden kann.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren und Schutz-Tipps
  • Speziell für Unternehmen