Georg Thieme Verlag KG
kma Online

Projekt „Smart Hospitals“Die 40 wichtigsten Maßnahmen für besseren IT-Schutz in Kliniken

Hackerangriffe, Erpressungsversuche, Datenklau – in Krankenhäusern steht die IT-Sicherheit stark im Fokus. Im Projekt „Smart Hospitals“ untersuchen Wissenschaftler der Universität der Bundeswehr München, wie sich Kliniken besser schützen können. Jetzt liegt Ausgabe zwei ihres Maßnahmenkatalogs vor.

IT-Sicherheit
Song_about_summer/stock.adobe.com

Symbolbild

Das Werk ist 136 Seiten stark, sein Vorgänger brachte es im vergangenen Jahr „nur“ auf 100. Die Ausgabe zwei des „Maßnahmenkatalogs zur Verbesserung der IT-Sicherheit in bayerischen Krankenhäusern“ enthält neue Themengebiete – und ist wie die erste Version grundsätzlich für Häuser in allen Bundesländern anwendbar. Neu aufgenommen wurden etwa Themen wie „Cloud Computing“ oder „Datenschutz und rechtliche Konformität“. Dabei kommen zum Beispiel Fragen rund um „Bring-Your-Own-Device“ oder Telearbeit im Krankenhaus zur Sprache. Komplett neu sind außerdem Vorlagen für zentrale Dokumente, die gemeinsam mit mehreren Krankenhäusern und dem Landesamt für Sicherheit in der Informationstechnik (LSI) erstellt wurden.

„Die Verantwortlichen im Krankenhaus können sie an ihre Situation anpassen oder erweitern“, erklärt Prof. Wolfgang Hommel: „Damit stellen sie einen einfachen Einstieg in den Aufbau eines Informationssicherheits-Managementsysteme (ISMS) für das eigene Haus dar.“ Hommel gehört zum Projektteam „Smart Hospitals“, das für die 136 Seiten verantwortlich zeichnet. Die Experten arbeiten am Forschungsinstitut Cyber Defence (CODE) der Universität der Bundeswehr München in den Fakultäten für Informatik sowie für Staats- und Sozialwissenschaften – und sie betonen, dass die erweiterte und überarbeitete Ausgabe ihres Katalogs nicht zuletzt „auf Basis des Feedbacks der Krankenhäuser“ entstanden sei. Das Bayerische Staatsministerium für Gesundheit und Pflege (StMGP) fördert das Projekt im Rahmen von „Bayern Digital II”.

Autoren legen Fokus auf hohe Benutzerakzeptanz

Zum Projektstart hatten die Münchner Forscher zunächst flächendeckend die Situation von Digitalisierung und IT-Sicherheit in den bayerischen Krankenhäusern erfasst, sich dann einzelne Häuser genauer angeschaut und am Ende Ausgabe eins des besagten Maßnahmenkatalogs mit Lösungen zusammengestellt, von denen jetzt alle profitieren sollen. Dabei würden „nicht zwingend die theoretisch sichersten Maßnahmen“ vorgeschlagen, heißt es in München. Vielmehr bringe der Katalog „ein gesundes Maß an Pragmatismus mit“ und lege „den Fokus auf hohe Benutzerakzeptanz“.

Beschrieben werden rund 40 technische und organisatorische Maßnahmen, „die sich am aktuellen Stand der Technik orientieren und gezielt auf Krankenhäuser ausgerichtet sind“, betonen die Autoren. Genauso wichtig war ihnen „eine informelle und leserfreundliche Gestaltung“. Fast jede Maßnahme erklären sie mit viel Praxisnähe und Pragmatismus auf maximal zwei Seiten und verweisen dann auf weiterführende Literatur.

Innerhalb der Kapitel mit Titeln wie „Sicherheit von medizinischen Großgeräten und Endgeräten”, „Mitarbeiter-Awareness” oder „Gebäudesicherheit und physischer Schutz” sind die Maßnahmen nach Priorität angeordnet, erklärt Hommel auf Anfrage von kma. Insgesamt deckten die Kapital die Thematik Informationssicherheit jedoch in der Breite ab, und „sollten gleichermaßen angegangen werden”, betont Hommel: „Wir empfehlen dazu auch eine Orientierung am Reifegradmodell” – es ist im Katalog als Anhang A.1 enthalten.

Viele Möglichkeiten, um Mitarbeiter zu sensibilisieren

Im Mittelpunkt stehen technische und organisatorische Präventionsmaßnahmen. Dazu gehöre zum Beispiel die Absicherung der Datennetze und IT-Systeme in Krankenhäusern bis hin zu medizinischen Großgeräten, sagt  Hommel. Im organisatorischen Bereich seien für die Prävention unter anderem das Schaffen von Awareness beim Personal oder auch die Dokumentation der IT-Landschaft des Krankenhauses wichtig. Der Katalog zeige konkrete Möglichkeiten, um das umzusetzen, beispielsweise den Einsatz von Flyern, Rundmails, Übungen, IT-Security-Awareness-Spielen (z. B. Online-Quizzen) oder Möglichkeiten für einfache eigene technische Sicherheitstests.

Ein weiterer Fokus liege auf dem Ernstfall, wenn ein Schaden entstanden ist, sagt Hommel: „Eine sorgfältige Vorbereitung ist ausschlaggebend dafür, dass IT-Sicherheitsvorfälle schnell erkannt werden und professionell darauf reagiert wird.“ Die Maßnahmen sollen den Kliniken helfen, Handlungsanweisungen vorzubereiten, die regelmäßige Aktualisierung von Notfall- und Wiederherstellungsplänen zu organisieren und Übungen des Ernstfalls gezielt durchzuführen.

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!